Was tun, wenn persönliche Daten im Netz landen? Marc Ruef hat sich anlässlich dieser Frage mit Tobias Bolzern von blick.ch zu dieser Thematik ausgetauscht. Darin bestätigt Ruef, dass Unternehmen Cybersicherheit lange nicht ernst genommen haben. Mit der Digitalisierungskampagne vieler Unternehmen steige eben die Angriffsfläche für Cyberkriminelle, die mittlerweile ihr Geschäftsmodell professionalisiert haben. Ob Patientendaten, gestohlene Passwörter oder Lohnausweise: Die Leidtragenden sind oft die Mitarbeitende selber, wenn Unternehmen von Hacker angegriffen werden. Deswegen rät Ruef, dass Cybersecurity als integraler Bestandteil der digitalen Transformation betrachtet werden muss.

Xplain, Concevis, Baden (AG), Zollikofen (BE), Saxon (VS), Montreux, Rolle (VD) – die Liste von gehackten Daten vom Bund und verschiedener Gemeinden wird immer länger. Wieso?

Hier spielen drei Effekte zusammen: Einerseits haben viele Organisationen das Thema Cybersecurity lange Zeit nicht ernst genommen. Hinzu kommt, dass mit zunehmender Digitalisierung die Komplexität und mit ihr die Angriffsfläche wächst. Und dies wird halt zunehmend durch Cyberkriminelle, die sehr professionell ihr Geschäftsmodell verfolgen, ausgenutzt.

Was können Angreifer mit den geleakten Daten tun? Wo liegen da die Gefahren?

Angreifer wollen heutzutage Geld verdienen. In einem erster Schritt wird in der Regel eine Erpressung der kompromittierten Organisation angestrebt. Alternativ können auch die betroffenen Mitarbeiter und Kunden erpresst werden. Gerade, wenn es sich um sensitive Daten wie Lohnabrechnungen oder Patientendaten handelt.

Ein Weiterverkauf der Daten ist ebenso denkbar wie der Missbrauch eben dieser. Gestohlene Passwörter können für weitere Angriffe genutzt werden und personenbezogene Daten begünstigen Betrugsversuche.

Offenbar gibt es grössere Schwachstellen in der Cybersicherheit des öffentlichen Sektors. Wie könnten diese behoben werden?

Cybersecurity muss ein integraler Bestandteil der digitalen Transformation sein. Auf Funktionen, die nicht benötigt werden, gilt es zu verzichten. Und wenn sie notwendig sind, ist deren Risiko zu eruieren. Danach gilt es zu entscheiden, ob man das Risiko akzeptieren oder mit Massnahmen reduzieren möchte. Das kostet Erfahrung, Zeit und Geld. Drei Dinge, die man oft nicht mitbringt. Aber wer ohne Cybersecurity digitalisiert, der handelt schlichtweg fahrlässig.

Es ist also so: Auch wenn ich alles richtig mache und meine Daten so gut wie möglich schütze, landen sie so über Umwege im Darknet. Was kann ich gegen diese Ohnmacht tun?

Daten sind da, um mit ihnen zu arbeiten. Und in einer vernetzten Welt werden diese halt auch herumgereicht und verteilt. Die Chancen steigen also ständig, dass diese dann irgendwo von einem Zwischenfall betroffen sind. Als Endanwender kann man nur versuchen möglichst wenig Daten anfallen zu lassen und diese sehr restriktiv zu teilen. Komfortable Mechanismen wie elektronische Fahrtenkarten, Patientendossiers und Steuererklärungen machen es aber halt nicht einfach, sich zu wehren.

Was können Bürgerinnen und Bürger machen, wenn ihre Daten kompromittiert wurden? Etwa Steuerdaten oder sensibleres.

Als erstes ist wichtig sich bewusst zu werden, dass Daten gestohlen wurden und nun missbraucht werden können. Dies hilft einem dabei sich selbst zum Beispiel vor zielgerichtetem Phishing zu schützen. Als nächstes gilt es zu bestimmen, welche Daten gestohlen wurden und wie ein Missbrauch stattfinden könnte. Je nachdem muss man Passwörter ändern, Zugriffe auf Konten überwachen oder andere über Personen die anstehende Bedrohung informieren.

Gibt es Schritte, die sie unternehmen sollten, um sich zu schützen?

Der Service https://haveibeenpwned.com des US-Amerikaners Troy Hunt feiert soeben sein 10-jähriges Bestehen. Dort kann man sich anmelden und wird dann über neue Breaches und Leaks, die einem betreffen, informiert. Mit relativ wenig Aufwand kann man so ein Gespür vor anstehende Bedrohungen erhalten.

Welche ethischen und moralischen Fragen werfen die jüngsten Cyberangriffe auf, besonders wenn sensible Daten von Bürgerinnen und Bürgern betroffen sind?

Cyberkriminelle sind relativ konsequent einem gewissen Kodex gefolgt, dass zum Beispiel keine Daten von Kindern und Patienten kompromittiert werden. Diese Hemmungen sind mittlerweile gefallen. Das Recht auf Privatsphäre ist ein Menschenrecht. Wer persönliche Daten kompromittiert ist eines: Ein rücksichtsloser Verbrecher. Bei kommerziell getriebenen Angriffen gibt es also gar keinen Diskussionsspielraum in Bezug auf Ethik und Moral.

Was glaubst du: Welche langfristigen Strategien sollten ergriffen werden, um die Cybersicherheit in der Schweiz zu stärken?

Die westlichen Länder haben das Problem, dass sie sich in ihrer selbstüberschätzenden Art zu “sicher” fühlen und zu bequem sind. Dieser kleingeistige Hochmut muss einer klugen und besonnenen Art weichen, sich systematisch mit Risiken auseinanderzusetzen zu wollen. Solange das nicht passiert, müssen wir gar nicht erst über Budget oder Technologien reden.

Links

• https://www.blick.ch/digital/it-sicherheistexperte-gibt-antwort-was-tun-wenn-persoenliche-daten-im-netz-landen-id19215945.html

Tags