Geschrieben am 11.07.2017 von:
Beinahe wöchentlich werden neue Fälle von Datendiebstahl bekannt. Besonders aktuell sind z.B. der noch immer nicht eingegrenzte Großangriff auf Yahoo mit derzeit über 30 Millionen betroffenen Nutzern oder der Datendiebstahl bei 950.000 Besuchern des amerikanischen Musikfestivals Coachella. Häufig erfahren die Betroffenen erst durch solche Meldungen, dass ihre Daten von Dritten erbeutet wurden. Manchmal bleiben solche Sachverhalte sogar gänzlich unbemerkt.
Wie werden Daten gestohlen?
Hacker haben mittlerweile zahlreiche Methoden entwickelt, um Daten zu stehlen.
Bei der wohl direktesten Methode verschaffen sie sich Zugang zum System von Unternehmen über Sicherheitslücken. Dort können sie dann beliebig viele Daten kopieren und vielleicht auch verändern, ohne dass dies bemerkt wird. Ein solcher Angriff erfolgte beispielsweise bei Yahoo.
Eine weitere weit verbreitet Methode ist das sogenannte Phishing. Dabei entwerfen Hacker E-Mails, die in Bezug auf Layout und Text denen großer Unternehmen zum Verwechseln ähnlich sind. Die Empfänger dieser E-Mails können häufig nur an geringfügigen Abweichungen erkennen, ob es sich um eine echte oder gefälschte E-Mail handelt. In Phishing-E-Mails werden die Empfänger aufgefordert, bestimmte Kundendaten preiszugeben. Häufigster Fall dürfte hier der Diebstahl von Zahlungsdaten im Rahmen von Online-Banking sein.
Dann gibt es noch das sogenannte Social Engineering. Dabei werden keine Sicherheitslücken genutzt und auch keine gefälschten E-Mails verschickt. Vielmehr werden hierbei der Leichtsinn und die Mitteilungsfreudigkeit der betroffenen Personen ausgenutzt. Beim Social Engineering werden nämlich alle Daten genutzt, die die Betroffenen ganz freiwillig öffentlich preisgegeben haben. Besonderes relevant sind hier Angaben auf sozialen Medien.
Was passiert mit den Daten?
Im schlimmsten Fall werden die gestohlenen Daten dazu verwendet, Straftaten zu begehen. Denkbar sind hier vor allem Betrugsfälle über das Internet. Die betroffene Person gerät so automatisch in das Visier der Strafverfolgungsbehörden und muss dann beweisen, dass sie nicht als Täter in Frage kommt. Dies kann unter Umständen durchaus schwer fallen.
Weiterhin können die Daten verwendet werden, um Käufe abzuwickeln. Die betroffene Person wird dann als Käufer und Rechnungsempfänger angegeben, obwohl die Lieferung der Ware an eine völlig andere und unter Umständen anonyme Adresse erfolgt (z.B. eine Paketstation).
In diesen beiden Fällen erfährt der Betroffene zwangsläufig irgendwann, dass seine Daten missbraucht wurden.
Wie kann man einen Datendiebstahl feststellen?
Manchmal werden die Daten jedoch so verwendet, dass der Betroffene nie etwas vom Datendiebstahl erfährt.
Dieses Problem versuchen verschiedene Institutionen und Aktivisten zu lösen, indem sie online kostenlose Software zur Überprüfung der eigenen Daten zur Verfügung stellen. Mit deren Hilfe kann man dann überprüfen, ob die eigenen Daten im Internet zum Verkauf angeboten und veröffentlicht wurden.
Empfehlenswert sind hier insbesondere die Seiten des Potsdamer Hasso-Plattner-Instituts, welches den sogenannten Leak-Checker anbietet. Alternativ ist auf den Seiten des australischen Datenschutz-Aktivisten Troy Hunt ein vergleichbares Programm zu finden. Im Zweifel empfiehlt es sich die Nutzung beider Programme, da keiner der Anbieter die abschließende Richtigkeit der Ergebnisse garantiert.
Welche Pflichten haben Unternehmen?
Unternehmen, bei denen Kundendaten gestohlen wurden, müssen über den Diebstahl informieren. Das Problem dabei ist jedoch, das sie den Diebstahl selbst erst einmal bemerken müssen. Dies kann wie im Fall von Yahoo durchaus etwas länger dauern.
Unternehmen in Deutschland sind nach § 42a BDSG verpflichtet, über den Diebstahl bestimmter Daten zu informieren, wenn dadurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Das Bundesdatenschutzgesetz wird ab Mai 2018 von der europaweit unmittelbar gültigen Datenschutzgrundverordnung abgelöst, die in Art. 33 DS-GVO eine vergleichbare Regelung zur Meldung eines Datendiebstahls enthält. Allerdings sieht Art. 34 DS-GVO zahlreiche Ausnahmeregelungen vor, bei denen die betroffenen Personen nicht informiert werden müssen.
Was ist zu tun?
Erfährt man, dass die eigenen Daten gestohlen wurden, gibt es einige leichte Möglichkeiten, den drohenden Schaden zu begrenzen. Passwörter sollten geändert und Bankkonten überprüft werden. Unter Umständen empfiehlt sich auch eine Mitteilung an die Bank und eine Strafanzeige.
Schließlich bietet die Arbeitsgruppe „Identitätsschutz im Internet“ ein Beratungstelefon für die Opfer von Phishing-E-Mails an. Außerdem beraten auch die jeweils zuständigen Landesdatenschutzbeauftragten.