Datendiebstahl: Millionenschaden für Unternehmen und Bürger – Der neue Goldrausch in der digitalen Unterwelt

Screenshot youtube.com Screenshot youtube.com

Datenschutzexperte.de: „Jeder Betroffener hat das Recht, Informationen über sich preis zu geben – oder auch das Recht, sich frei zu entscheiden, keine Informationen preis zu geben. Zudem haben Betroffene das Recht zu entscheiden, was mit ihren Daten geschieht und wofür sie nicht verwendet werden dürfen.“ – Es dürfte wohl eine der besten Zusammenfassung von Urteil des Bundesverfassungsgerichts sein.

„Das Recht, sich frei zu entscheiden, keine Informationen preis zu geben“

Leider zeichnet die gelebte Rechtspraxis doch ein ganz anderes Bild der Realität ab: Denn kaum ein anderes Bürgerrecht wird so sehr mit Füßen getreten. Kriminelle greifen ganz ungeniert Daten ab. Computer mit sensiblen Daten finden sich – für wenig Geld – auf dem Gebrauchtmarkt bei IT-Geräten wieder. Mancher Polizist greift auf Datenbanken zu, um eine Liebesbeziehung anzubandeln oder wahlweise seinem Nachbarn zu ärgern. Aber manchmal werden auch – aus ganz hohen Ämtern – die Daten vom Bürgern an Dritte weitergegeben. Doch meist reicht schon ein trivialer Hackerangriff.

„Trojanerangriff aufs Kammergericht“

>>Legal Tribune Online<<

„Trojanerangriff aufs Kammergericht – Ein Rechner wird mit dem berüchtigten Trojaner „Emotet“ infiziert, er macht den Weg frei für weitere Schadsoftware. Die wird anschließend nachgeladen und verschafft dem unbekannten Angreifer den Zugriff auf das Computersystem des KG (Kammergericht, Anmerkung der Redaktion). … „Wir weisen jedoch ausdrücklich darauf hin, dass ein Angreifer höchstwahrscheinlich in der Lage gewesen ist, einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren während gleichzeitig die Spuren verschleiert werden.“

Datendiebstahl beim Gericht? – Das große Schweigen und Dementieren

Allgemein weckt das Vorgehen der Behörden wenig Vertrauen: Ursprünglich wurde eine technische Störung als Ursache für die – Nichterreichbarkeit des Kammergerichts – angegeben. Erst als der öffentliche Druck zunahm, musste die Verwaltung schlussendlich den erfolgreichen Hackerangriff eingestehen: Aber mit der ausdrücklichen Betonung: Das keine Daten gestohlen worden seien. Allerdings die explizite Verneinung des Datendiebstahls mutet angesichts der Faktenlage doch sehr Unglaubwürdig an. Ohnehin gibt man nur das Öffentlich zu, was sich nicht mehr Leugnen lässt: Vertrauensbildende Maßnahmen sehen jedenfalls anders aus.

Verneinung des Datendiebstahls? – Faktenlage zeigt jedoch ein anderes Bild

Vereinfacht: Wozu sollte sich ein Hacker solch eine Mühe geben und dann ohne Beute abziehen? – Das ergibt keinen Sinn. Immerhin dürften die Daten sicherlich Millionen wert sein. Ein gewöhnlicher krimineller Dieb würde ja schließlich seine gemachte Beute wohl kaum einfach links Liegen lassen.

Daten sind heutzutage pures Geld wert

Tatsächlich sind Daten heutzutage pures Geld wert. Je aussagekräftiger die Daten sind, desto mehr Geld lässt sich in der Regel damit erzielen. Die Nachfrage nach jenen Daten ist beständig hoch und Datenhändler die im legalen, grauen oder schwarzen Bereich operieren: Die gibt es wie Sand am Meer. Die ganze Entwicklung hat sogar direkt zu einer neuen Sorte von Schadprogrammen geführt: Diese sind Spezialisiert auf das Abgreifen von Informationen.

Schadprogramme: Spezialisiert auf das Abgreifen von Informationen

>>Datenschutzbeauftragter-Info.de<<

„Die Malware ist bereits seit März 2013 im Umlauf und hat sich seitdem stetig weiter entwickelt. Auch Anfang dieses Jahres wurde bereits über die Malware berichtet. Dabei hatte sich die Schadsoftware hinter einer gefälschten App mit dem Namen „Super Mario Run“ versteckt. Ist das vermeintliche Spiel einmal installiert gewesen, hatten Angreifer vollen Zugriff auf den Datenverkehr … „

Schadprogramme zum Ausspähen von Bankdaten

In der Regel werden solche Schadprogramme für das Ausspähen von Bankdaten – respektive PIN und TAN – genutzt. Auch Programme und Erweiterungen aus offiziellen Quellen sollten – Grundsätzlich – immer mit Vorsicht genossen werden. Am Allerbesten ist es immer noch einen separaten Computer für Banktransaktionen zu verwenden: Das muss keinesfalls der allerneuste Modell sein, aber frei von unnötigen Programmen und immer mit aktuellen Sicherheitsaktualisierungen versorgt. Alleine dieser Bereich des Datendiebstahls verursacht pro Jahr einen Millionenschaden.

Ausspähen von Bankdaten: Einzelbereich des Datendiebstahls verursacht Millionenschaden

Doch die besten Sicherheitsvorkehrungen sind Wirkungslos, sobald ubekannte Dritte die Verwaltung von Daten übernehmen.

„Gebrauchthardware aus Behördenbeständen“ – „Quell ungewollten Datenreichtums“

>>Heise.de<<

„Gebrauchthardware aus Behördenbeständen erweist sich immer wieder mal als Quell ungewollten Datenreichtums: So fanden sich etwa auf einer SSD, die ein c‘t-Leser über eBay erworben hatte, Zehntausende Bürgerdaten aus der Kfz-Zulassungsstelle und dem Jugendamt des Landratsamtes Coburg. Ebenfalls entdeckte c‘t auch den Fall eines Systemtelefons, das die Stadtwerke Norderstedt mit ungelöschtem Speicher in den Verkauf gegeben hatte.“

Datendiebstahl: Bekannten Fälle nur die Spitze eines Eisbergs

Selbst Daten zur militärischen Verteidigung sind keinesfalls sicher: Die Pläne eines Raketenwerfer „Mars“ tauchten auf einen gebrachten Computer auf, genauso wie die Unterlagen eines Flugabwehrsystems. Die bekannten Fälle dürften ohnehin nur die Spitze eines Eisbergs sein: Denn die Behörden selbst haben dem „Datenverlust“ für gewöhnlich nicht einmal bemerkt: Erst die Käufer stellten mit Verwunderung fest, was sie da alles zusätzlich „Erworben“ haben. Es dürfte daher auf der Hand liegen, das Manche solche Daten einfach an Datenhändler oder Geheimdienste weiterverkaufen. Ergo: Wo kein Kläger – da kein Richter.

Datendiebstahl: Wo kein Kläger – da kein Richter

Hinzu kommt die Dummheit von so manchen Politiker, welche förmlich mit dem Messer zu schneiden ist: Ganz offen wird der Verkauf von anonymen – oder vielmehr pseudonymen – Daten propagiert. Als wenn niemand diese Daten wieder realen Personen zuordnen könntewas sehr wohl möglich ist.

Wie Fahrlässigkeit erst Datendiebstahl möglich macht

Neben Unwissenheit so manch politischer Akteure, Fahrlässigkeit und ganz offenen Datendiebstahl kommt noch ein weiteres Phänomen hinzu. Über die Jahrzehnte sind riesige Datenbanken bei dem Behörden über nahezu jeden Bürger entstanden. Nur ein paar Mausklicks genügen und eine wahre Schatzkammer tut sich auf. Alleine die Neugier weckt natürlich Begehrlichkeiten, aber auch andere menschliche Triebe wollen befriedigt werden.

„Datenmissbrauch bei der Berliner Polizei“

>>T-Online<<

„Polizisten nutzten interne Daten, um „Nachbarn zu ärgern“ … Datenmissbrauch bei der Berliner Polizei … So wurden Drohbriefe mit Daten aus Polizeidatenbanken verschickt. … Drohbriefe an Protagonisten der linken Szene verschickt wurden, die Lichtbilder und Informationen von 21 Personen enthielten, auf die nur Polizei- oder Justizbehörden Zugriff haben konnten.“

„Drohbriefe mit Daten aus Polizeidatenbanken verschickt“

>>Legal Tribune Online<<

„Ein Polizist aus Baden-Württemberg lernt privat eine Frau kennen, merkt sich ihr KfZ-Kennzeichen, recherchiert im Zentralen Verkehrsinformationssystem ihren Namen, fragt bei der Bundesnetzagentur ihre Telefonnummer ab und ruft sie an. Eine Rechtsanwältin erhält mehrere rechtsextreme Drohschreiben, nachdem ihre Anschrift von einem Frankfurter Polizeirevier aus abgerufen wurde.“

Datenbanken laden zum Missbrauch ein

Solche Datenbanken laden nun mal auch zum Missbrauch ein. Sobald diese Informationen erstmal vorhanden sind, hat der Bürger praktisch keine Kontrolle mehr darüber. Zu allem Überfluss muss der Betroffene dem Datenmissbrauch der Behörde rechtlich erstmal nachweisen können: Nicht selten ein hoffnungsloses Unterfangen: Denn gegen den berühmten „Korpsgeist“ der Polizeiund auch anderer Behörden – ist bisher noch kein Kraut gewachsen.

Jedem Bürger steht das Grundrecht auf informelle Selbstbestimmung zu

Zwar steht formal jedem Bürger das Grundrecht auf informelle Selbstbestimmung zu, aber auch so manch politischer Akteur geht augenscheinlich mit jenen Grundrecht sehr flexibel um.

„Staatsknete aus dem Parlament abgreifen“ 

>>Zeit<<

„Die Abgeordneten sollten „Staatsknete aus dem Parlament abgreifen“ und „Informationen aus dem Staatsapparat den Bewegungen zuspielen“. Und klar: Weil das Parlament eben eine Bühne sei, auf das „die Medien so geil“ seien, müsse auch die Linkspartei sie nutzen. „Aber alles, was darüber hinausgeht, brauchen wir nicht unbedingt.“

„Informationen aus dem Staatsapparat den Bewegungen zuspielen“

Informationen aus dem Staatsapparat den Bewegungen zuspielen“ – Solche Aussagen lassen natürlich aufhorchen: Denn sobald ein Minister, Staatssekretär oder hochgestellter Beamter erstmal eine Schlüsselposition bekleidet: Dann ist faktisch die rechtliche Kontrolle ausgehebelt. Zudem verstehen offensichtlich manche ihr Amt weniger als öffentliche Aufgabe gegenüber ihrem Bürgern, sondern mehr als Hebel um einer „Bewegung“ diverse Informationen aus dem Staatsapparat zu zuspielen. Allerdings wird sich das Ganze wohl kaum juristisch wasserfest nachweisen lassen und noch weniger dürfte ein Richter sich trauen: Ein mutiges Urteil zu den augenscheinlich rechtswidrigen Gebaren zu sprechen.