Interview zur Zunahme von Datenleaks

Interview zur Zunahme von Datenleaks

Friday, January 28

Die letzten Jahre haben die Anzahl der Datenleaks, die an die Öffentlichkeit gekommen sind, massiv zugenommen. Dies ist nicht nur ein Phänomen in der Schweiz, sondern betrifft die ganze Welt. In einem ausgiebigen Interview bespricht Marc Ruef dieses vielschichtige Thema mit dem Journalisten Enrique Heer von SRF. Es werden Hintergründe, Entwicklungen und Abläufe besprochen. Weitere Informationen zum Handel mit gestohlenen Daten finden sich in unseren Fachpublikationen.

SBB/Swisspass, meineimpfungen.ch, Swisstransplant etc. Scheint es nur so, oder nehmen Datenlecks in der Schweiz in letzter Zeit zu?

In der Tat, die Anzahl der Leaks nimmt stetig zu. Und die Berichterstattung dazu ebenso. Dies gilt nicht nur für die Schweiz, sondern für die ganze Welt.

Warum ist das so?

Organisationen und Behörden sammeln zunehmend Daten über Benutzer und ihr Verhalten. Da ist es halt dann nur eine Frage der Zeit, bis irgendwo ein Fehler passiert und diese Daten geleakt werden. Nicht umsonst predigen Cybersecurity-Spezialisten seit Jahren “Datensparsamkeit”.

Zudem erkennen immer mehr Leute den Wert, der solchen Daten beigemessen werden kann. So mancher möchte in einem der vielen Datenmärkte das schnelle Geld machen. Das ist aber meist schwieriger, als man sich das als Laie vorstellt.

Gibt es Zahlen zur Häufigkeit von Datenleaks/Hackerangriffen in der Schweiz?

In der Schweiz sind uns rund 9 Millionen geleakte Konten bekannt. Diese Zahl ist aber mit Vorsicht zu geniessen, da eine hohe Dunkelziffer von Fällen, die nie oder erst sehr stark verzögert an die Öffentlichkeit kommen, vermutet werden muss. Viele Firmen bemühen sich in absolut egoistischer Weise darum, dass bei Leaks keine Details nach Aussen dringen. Und dies, obwohl sie zu einem gewissen Grad sowohl eine rechtliche als auch eine ethische Pflicht hätten, die Endkunden zu informieren. Das totalrevidierte Datenschutzgesetz sieht aber zukünftig vor, dass betroffene Personen konsequent informiert werden müssen (Art. 24 revDSG).

Welche Folgen hat das für zukünftige Digitalisierungsprojekte (E-ID, ev. digitale Abstimmungen)?

Zu meinem Bedauern in den meisten Fällen wahrscheinlich keine. Nach wie vor zelebriert man die digitale Transformation mit einer gefährlichen Naivität. Cybersecurity wird vielerorts ignoriert oder vernachlässigt. Da können langfristig tatsächlich nur konkrete gesetzliche Vorgaben und konsequente Strafen helfen.

Nun aber zu behaupten, dass sämtliche Digitalisierungsprojekte nichtig sind, wäre zu einfach. Für viele digitalen Probleme gäbe es Ansätze, die Risiken zu minimieren. Gerade die zentralen Projekte des Bundes geniessen in dieser Hinsicht eine erhöhte Aufmerksamkeit.

Ist jeweils überprüfbar, ob die Daten vor dem Hack des Experten nicht bereits in falsche Hände gelangten?

Es gibt forensische Möglichkeiten, Angriffe nachvollziehen zu können. Diese sind aber oftmals sehr aufwändig und können selten abschliessenden Erkenntnisse liefern. Aber spätestens wenn die Daten im Darknet zum Verkauf angeboten werden, hat man unliebsame Gewissheit. Für Unternehmen wird es also wichtig, die entsprechenden Datenmärkte im Auge zu behalten.

Welche (juristischen) Folgen drohen einem Unternehmen nach einem grossen Datenleck?

Das neue Datenschutzgesetz in der Schweiz tut es der EU-Datenschutzgrundverordnung (DSGVO) gleich und sieht Bussen bis zur Höhe von CHF 250’000 vor. Wie konsequent diese ausgesprochen werden, wird aber erst die Zukunft zeigen. Vor allem, da ausschliesslich eventualvorsätzliches Verhalten von natürlichen Personen bestraft werden soll (Art. 60 ff. revDSG).

Welche rechtlichen Konsequenzen haben solche Leaks für die Firmen und wie müssen Sie kommunizieren?

Unternehmen, die Cybersecurity vernachlässigt haben, suhlen sich in ihren PR-Berichterstattungen in ihrer vermeintlichen Opferrolle. Dabei sind sie ebenso Täter und massgeblicher Teil des Problems. Für betroffene Endkunden wird es aber schwierig, dies zu beweisen und Schadensansprüche privatrechtlich durchzusetzen. Kurzfristig bleibt ihnen nur übrig, Verträge zu künden. Aber ob die Mitbewerber die Sache ernster nehmen, steht meist in den Sternen…

Was geschieht mit solchen geleakten Daten?

Diese werden in der Regel zuerst verkauft und zu einem späteren Zeitpunkt in der Szene getauscht. Irgendwann tauchen sie meist “frei” zugänglich in Foren oder Tauschbörsen auf.

Der Erwerb der Leaks dient in der Regel dazu Identitätsdiebstahl, Angriffe auf Passwort-Authentisierung oder Phishing umzusetzen. Auch Jahre später können sie durch Cyberkriminelle genutzt werden, um die betroffenen Personen zu belästigen.

Wie kann ich meine eigenen Daten am besten schützen?

Man sollte selber Datensparsamkeit leben und auf das Erstellen unnötiger Konten und die Angabe nicht zwingend erforderlicher Daten verzichten. Das Nutzen der stetig gleichen Passwörter sollte vermieden und diese regelmässig geändert werden. Dadurch kann man zwar einem Leak nicht vorbeugen, aber den Wert der gestohlenen Daten und die eigene Angreifbarkeit massgeblich mindern.

Links

Tags

Is your data also traded on the dark net?

We are going to monitor the digital underground for you!