Datenschutz/Internet-Sicherheit – Hacker-Super-Gau, Staatsaffäre, Katzund-Maus-Spiel mit den Behörden – wieder erschütterte ein bundesweiter Datenskandal die Nation. Hat man sich doch gerade erst von den weitreichenden Vorfällen um Cambridge Analytica, Google, Marriott und Co. aus dem vergangenen Jahr halbwegs erholt, geht’s in 2019 gleich munter weiter. Passend dazu wird nicht nur traditionell am 28. Januar der Welttag des Datenschutzes begangen – vom Europarat 2007 initiiert, um das Bewusstsein für dieses doch so essenzielle Thema zu schärfen. Anfang Februar finden sogar noch weitere Aktionstage statt, wie der Ändere-dein- Passwort-Tag am 1. Februar und der Safer Internet Day am 5. Februar. Aber braucht’s hier wirklich noch solche Maßnahmen? Sollte mittlerweile nicht besser jeder Tag, sei es in der Wirtschaft oder im Privaten, in gewisser Weise ein Datenschutz- und Internet-Sicherheitstag sein? Von Kerstin Albrecht-Aigner
Ein Schelm, der Böses dabei denkt und in der Vorweihnachtszeit hinter einer Art Social-Media-Adventskalender einen ernst zu nehmenden Datenmissbrauch vermutet? – Und doch tauchten gezielt ab dem 1. Dezember letzten Jahres täglich aufs Neue gut proportionierte „Päckchen“ mit sensiblen und teils sehr persönlichen Daten von deutschen Mitbürgern massenhaft im Internet auf. Groß, und auf nahezu allen Medien-Kanälen präsent, war hier nach Entdeckung des Datenklaus der Aufschrei, handelt es sich bei den Betroffenen doch um Personen des öffentlichen Lebens wie Politiker, Prominente aus der Musik- und der Filmbranche, aber auch um Journalisten. Was entwendet und veröffentlicht wurde: Berufliche und private Informationen und Dateien wie Telefonnummern, Mail-Adressen, Kopien von Personalausweisen und Mietverträgen, Privatadressen, außerdem ganze Chatverläufe, Rechnungen, Geburtsurkunden und Briefe. Sogar private Chats und Sprachnachrichten von Ehepartnern und Kindern. Und warum das alles? – Weil sich ein 20-jähriger Schüler über die Politik geärgert hat – echt wahr!
Man sollte meinen, die heutige Jugend hätte Besseres zu tun, als sich in Online-Accounts anderer Leute zu hacken und eine Datenbank fremden digitalen Eigentums anzulegen. Doch an diesem Beispiel wird wieder mal deutlich, welchen Gefahren gerade auch die nachrückenden Generationen durch die wuchernde Digitalisierung des Alltags ausgesetzt sind: Man denke da etwa an die schleichende Vereinsamung und die soziale Entfremdung durch die Isolation am Bildschirm, aber schlimmer noch an kriminelle Vorgehensweisen wie zum Beispiel dem Cybergrooming, einer besonderen Form der sexuellen Belästigung im Internet. Allerdings ist uns Menschen ebenso zu eigen, aus Erfahrungen lernen zu können und so lässt sich auch aus dieser „Angelegenheit“ noch etwas Positives herausziehen. Denn, was sagt uns das, wenn sogar schon ein „Normalo“-ITler aus dem Kinderzimmer heraus beim Hacken derart erfolgreich ist?
Recht, Verantwortung, Bewusstsein: Alle sind gefragt
Das Thema „Datenschutz“ kommt also nicht von ungefähr. Zwar noch relativ jung, ist die Bedeutung des damit in Verbindung stehenden Begriffs der „Persönlichkeitsrechte“ seit Entwicklung der Digitaltechnik stetig und in enormem Maße gestiegen: Ausgangspunkt waren die Pläne der US-Regierung unter John F. Kennedy Anfang der 1960er Jahre, ein Nationales Datenzentrum zur Verbesserung des staatlichen Informationswesens einzurichten. Dort wollte man die Daten sämtlicher US-Bürger registrieren, was allerdings in den darauffolgenden Debatten als Eingriff in das verfassungsrechtlich postulierte „Right to be alone“ betrachtet wurde. Ausgehend von den Diskussionen in den Staaten, suchte man Ende der 60er auch in Europa nach einem passenden Begriff. In Anlehnung an den „Maschinenschutz“ wurde in der Wissenschaft das Wort „Datenschutz“ geschaffen. Zunächst wegen seiner Missverständlichkeit – nicht die Daten werden geschützt, sondern die Menschen – kritisiert, ist dieses Wording inzwischen international gebräuchlich.
Und wie sieht es mit den Verantwortlichkeiten für den Datenschutz und der Wahrung von Persönlichkeitsrechten aus? – Hier gibt es mit der neuen, vielbeschworenen DSGVO mittlerweile klare gesetzliche Regelungen und einen entsprechenden Maßnahmen-Katalog für Unternehmen wie für Privatpersonen. Heißt aber auch, dass jeder, der sich beruflich und/oder privat im Netz bewegt, ein Stück Eigenverantwortung trägt. Im aktuellen Datenmissbrauchsfall geht man davon aus, dass sich der 20-Jährige vor allem Schwachstellen in der Passwort-Wiederherstellungsprozedur zunutze machen konnte, darüber hinaus wurden überwiegend durch schwache Passwörter und ungenügend abgesicherte Accounts angezapft. Grund genug für uns, im Folgenden nochmal auf Möglichkeiten hinzuweisen, die Passwortsicherheit zu erhöhen:
Stark, stärker, am stärksten: Hackern ein Schnippchen schlagen
Mittlerweile sicherlich vielen bekannt, da als Richtlinien vielfach kommuniziert, sind die Basics eines guten Passworts: So gewähren eine Kombination aus Groß- und Kleinbuchstaben, Nummern, Sonderzeichen und Symbolen Komplexität und Mindestsicherheit. Aber wer kennt die einfache, leicht zu merkende und trotzdem starke Alternative der Passphrase? Hier werden die jeweiligen Anfangsbuchstaben von Wörtern eines individuellen und einzigartigen Satzes generiert: Beispielsweise wird dann aus „Ich gehe am 22. August 2019 in den Urlaub und erstelle eine Passphrase mit 21 Zeichen“ das Passwort Iga22A2019idU&eePm21Z.
Zu den größten Risiken in Sachen Account-Sicherheit zählt die Mehrfachverwendung von Passwörtern. Denn, war ein Hacker beim Knacken eines Kontos erstmal erfolgreich, hat er logischerweise Zutritt auf alle anderen. Wichtig gerade auch für die Unternehmenssicherheit ist, dass Mitarbeiter dazu angehalten werden, für ihre beruflichen und persönlichen Konten völlig unterschiedliche Passwörter zu verwenden. Wo möglich, empfiehlt sich sogar die Verwendung von Zwei- oder Multi-Faktor-
Authentifizierung, da sie eine zusätzliche, starke Sicherheitsebene gegen potenzielle Angreifer bietet.
Zwar vielfach diskutiert, inzwischen aber gängige Praxis ist ein regelmäßiger Passwort-Wechsel. Hier ist allerdings auf ein gewisses Augenmaß zu achten, da viele Nutzer bei häufigem Ändern der Kennwörter dazu neigen, auf möglichst einfache Phrasen zurückzugreifen. Diese lassen sich zwar leicht merken, sind aber von Programmen auch schnell zu knacken. Müssen dagegen komplexe Passwörter vergeben werden, kann man beobachten, dass Nutzer ihre Kennwörter auf Zettel schreiben – auch das ist kontraproduktiv. Hier unterstützen Passwort-Manager bei der Verwaltung der Kennwörter.
Aktiv, aktiver, am aktivsten: Alte Gewohnheiten umkrempeln
Passwörter sind für viele nach wie vor ein Thema mit begrenztem Spaßfaktor. Dies verführt leider schnell dazu, sie stiefmütterlich zu behandeln. Was aber – wie man jetzt wieder mal gesehen hat – nicht wirklich zu empfehlen ist. So ist auch eine „Ach, mir passiert schon nichts“- Mentalität hier nicht angebracht. Denn erhalten die Falschen Zugriff auf Online-Dienste, droht mächtig Ärger. Daher unser NIC-Tipp, damit es gar nicht erst soweit kommt: Gestalten Sie Datenschutz und Passwort-Sicherheit als Aktivposten! Seien Sie sich jeden Tag aufs Neue bewusst, wo, wie und warum Sie berufliche oder persönliche Daten ins Netz stellen! Und stellen Sie sich die Frage, ob dies tatsächlich immer notwendig ist!