Wer Daten nicht schützt, soll gefälligst zahlen

Kaum ein Tag vergeht derzeit ohne Katastrophenmeldungen zur IT-Sicherheit von Unternehmen und Haushalten. Besonders hohe Wellen schlug in diesem Jahr das Geständnis von Facebook, dass dem sozialen Netzwerk die persönlichen Daten von über 50 Millionen (!) Nutzern gestohlen wurden. Und natürlich spielten die Verantwortlichen – wie in solchen Fällen üblich – den Vorfall herunter. "Bisher", so hieß es offiziell, hätte man keine Indizien gefunden, dass die geraubten Account-Token auch den Zugang zu anderen Online-Seiten wie Instagram oder Tinder erlauben würden, bei denen sie ebenfalls eingesetzt werden. Account-Token verschaffen Mitgliedern eines Netzwerks einen konstanten Zugang, ohne dass sie sich jeweils neu einloggen müssen.

Über weitere Bedrohungsszenarien berichteten zeitgleich zum Facebook-Hack "The Hacker News". So machte die Website – Slogan: "Security in a serious way" – beispielsweise auf eine Warnung aufmerksam, die von verschiedenen US-Behörden wie FBI, Schatzamt und Department of Homeland Security (DHS) veröffentlicht worden ist. Demnach hat eine Hackergruppe namens Hidden Cobra einen konzertierten Angriff gegen Geldautomaten in zahlreichen Ländern gestartet. Dabei greifen die Hacker, wenn jemand Geld abhebt, sensible Daten wie Name, Bankkonto und Geheimzahl ab und plündern damit anschließend systematisch die Konten ihrer Opfer.

Gefährlich werden solche und ähnliche Hackerangriffe in unserer Zeit vor allem aus zwei Gründen: Zum einen gehört das Sammeln und Wiederverwerten persönlicher Daten und Vorlieben essenziell zu den Geschäftsmodellen vieler Unternehmen, auch und gerade der riesigen sozialen Netzwerke. Das gilt selbst für einen scheinbar so nützlichen und bisher kostenlosen Messenger- und Telefon-Service wie WhatsApp.

Zum anderen tun die betroffenen Konzerne in vielen Ländern einfach viel zu wenig, um die bei ihrer Geschäftstätigkeit anfallenden Daten der Anwender zu schützen. Selbst der Schutz von solch neuralgischen Geräten wie Geldautomaten oder auch von Kreditkarten wird nicht ernst genug genommen.

Angesichts dieser Lage ist es Zeit, eine Lanze zu brechen für die EU-Datenschutz-Grundverordnung (DSGVO), die sonst wegen ihrer Komplexität und der damit verbundenen Aufwände stark in der Kritik steht. Sie könnte sich nämlich als wirksamer Hebel gegen leichtsinnige Datensammelwut und unzureichenden Datenschutz erweisen.

Laut Irish Data Protection Commission stammen etwa 10 Prozent der bei Facebook gestohlenen Daten aus der EU. Facebook drohen deshalb bis zu 1,63 Milliarden Dollar an Strafgeldern, wenn der Nachweis erbracht werden kann, dass es nicht genügend zum Schutz seiner Nutzer getan hat. Die DSGVO legt an etlichen Stellen, darunter Artikel 5, 17 und 25, klar fest, dass Unternehmen "angemessene" Maßnahmen zum Schutz der bei ihnen gespeicherten persönlichen Daten ergreifen müssen, die über einen bloßen Schutz vor Diebstahl hinausgehen. Dazu zählen Backup und Wiederherstellung von Daten sowie eine Disaster-Recovery-Strategie. Das detaillierte DSGVO-Regelwerk trägt so vielleicht zumindest etwas dazu bei, die ganz großen Datendiebstähle einzudämmen, weil die Konzerne aus Furcht vor Bußgeldern die Security-Barrieren nachdrücklich anheben. Denn es gilt: Wer sich der DSGVO nicht fügt, muss zahlen.