Illustration mit dem Schriftzug "System Hacked" und mehreren Schlössern
Aktuell rollt förmlich eine Welle von Betrugsversuchen über Handys in Deutschland. Dahinter stecken Kriminelle. (Symbolbild) Bildrechte: IMAGO / Westlight

Analyse Datenschutz und Datensicherheit: Das große Missverständnis

28. Januar 2023, 05:00 Uhr

Am europäischen Datenschutztag sollen Bürgerinnen und Bürger für Datenschutz sensibilisiert werden. Dass das nötig ist, zeigt die aktuelle Welle an Betrugsversuchen. Aber Expertinnen und Experten meinen: Datenschutz allein bringt nichts. Wir müssen auch über Datensicherheit reden.

Ein großer Mann mit Locken und Brille steht vor einer Betonwand.
Bildrechte: MDR/Viktoria Schackow

Es ist derzeit eine wahre Plage auf den Handys in Deutschland: Anrufe oder SMS von Nummern, die der Angerufene nicht kennt. Wer darauf eingeht, soll am Ende Geld überweisen. Hinter der Masche stecken Kriminelle, die im großen Stil Telefonnummern abgreifen und massenhaft Nachrichten verschicken.

"Mama, Papa, mein Handy ist kaputt. Das ist meine neue Nummer", heißt es dort zum Beispiel. Wer darauf eingeht, erhält als nächstes die Nachricht, dass auch das Online-Banking des angeblichen Kindes nicht mehr funktioniert und man seinem angeblichen Kind doch bitte Geld überweisen solle. Allein die Polizei in Sachsen-Anhalt hat im vergangenen Jahr 880 Anzeigen in diesem Zusammenhang gezählt – in fast 240 Fällen waren die Kriminellen erfolgreich und haben fast 550.000 Euro erbeuten können.

Schaden durch WhatsApp-Betrug in Sachsen-Anhalt

So häufig wurde WhatsApp-Betrug in Sachsen-Anhalts Regionen angezeigt

Wie Kriminelle an unsere Telefonnummern kommen

Nur: Woher haben die Kriminellen die Nummern? Sie können sie sich auf drei Wegen besorgt haben: Auf Internetseiten oder Online-Telefonbüchern, auf denen Internetnutzer und -nutzerinnen ihre Nummer selbst veröffentlicht haben. Oder, indem sie die Zahlenkombinationen der Telefonnummern durchtesten. Oder die Kriminelle haben die Telefonnummern auf Rechnern von Firmen, Behörden oder Institutionen erbeutet, in deren Rechner sie eingedrungen sind. Gerade staatliche Institutionen sind eine Goldgrube: Die Daten sind nämlich garantiert echt – anders als Internetseiten, auf denen sich die Nutzer vielleicht mit einer Wegwerf-E-Mail-Adresse oder unter Pseudonym anmelden können.

Wie Sie sich aktuell selbst schützen können

  • Verwenden Sie bei jedem Internet-Dienst ein anderes Passwort.
  • Nutzen Sie einen Passwort-Manager.
  • Schützen Sie vor allem den Zugang zu Ihrem E-Mail-Konto besonders.
  • Nutzen Sie Einmal-E-Mails oder legen Sie sich für Dienste, die Sie zunächst nur ausprobieren wollen, eine andere E-Mail-Adresse zu.
  • Halten Sie alle Ihre Programme und Apps auf dem neuesten Stand.
  • Deinstallieren Sie nicht genutzte Apps.
  • Klicken Sie nicht sofort auf jeden Link – auch nicht bei Suchmaschinen.
  • Überprüfen Sie in der Zeile im Browser die URL der Webseite auf Tippfehler oder ungewöhnliche Endungen wie biz oder co.
  • Zeigen Sie Betrugsversuche bei der Polizei an. Das geht online.
  • Sollte Geld von Ihrem Konto verschwunden sein, sprechen Sie mit Ihrer Bank.

Kriminelle nutzen auch geklaute Daten

Bei Unternehmen und Behörden versuchen IT-Kriminelle sogar mehrfach zu Geld zu kommen: Indem sie die Firmen erpressen und die erbeuteten Daten ausnutzen oder weiterverkaufen. Diese Ransomware-Angriffe sind derzeit eine wahre Plage und es vergeht kaum eine Woche, in der nicht über einen solchen Angriff berichtet wird: Continental hat es zweimal erwischt. Der Rheinpfalz Kreis, die Stadt Potsdam, die TU Freiberg, das Fraunhofer-Institut in Halle und der Landkreis Anhalt-Bitterfeld.

Welche Daten aus Anhalt-Bitterfeld die Kriminellen kopiert haben, weiß niemand. Es kann auch niemand sagen, ob diese Daten bereits aktiv ausgenutzt werden.

In Anhalt-Bitterfeld hat Sabine Griebsch war bis Herbst vergangenen Jahres technische Einsatzleiterin für den Wiederaufbau der IT. 2021 waren Kriminelle in die Netze des Landkreises eingedrungen, hatten Daten auf ihre Rechner geladen und die Daten beim Landkreis verschlüsselt und wollten Lösegeld erpressen. Der Wiederaufbau der IT-Infrastruktur im Landkreis Anhalt-Bitterfeld hat bislang zwei Millionen Euro gekostet.

Es braucht Beauftragte für Informationssicherheit

Griebsch will vor allem, dass die Informationssicherheits-Beauftragten in Behörden gestärkt werden. "Ein IT-Sicherheitsbeauftragter wirkt an Sicherheitsprozessen mit, das heißt, er stellt Leitlinien zur Informationssicherheit auf und koordiniert die Arbeit daran." Er müsse einen Rahmen für die Datensicherheit festlegen. "Er darf den Anforderungen nicht hinterherlaufen, sondern muss von vornherein einbezogen werden."

Allein: Es mangelt an Fachkräften. Allein beim Bund ist jede fünfte Stelle in der IT-Sicherheit nicht besetzt, hat eine Anfrage der Linken-Bundestagsabgeordneten Anke Domscheit-Berg in dieser Woche ergeben.

Reicht die Datensicherheit in deutschen Behörden und Unternehmen aus?

All das zeigt, dass wohl die Datensicherheit in Deutschland nicht ausreichend ist – auch wenn die rechtlichen Vorgaben des Datenschutzes vielleicht sogar eingehalten wurden. Dass also – bildlich gesprochen – in einem Haus unterschiedliche Zimmer existieren, in den Daten liegen und verwendet werden dürfen; aber weder die Zimmer noch das Haus anständig abgeschlossen werden.

Dr. Sandro Wefel, IT-Sicherheitsforscher an der Martin-Luther Uni Halle-Wittenberg, sagt, Datenschutz und Datensicherheit sollten nicht gegeneinander aufwogen werden. "Allerdings ist nicht anzunehmen, dass man Datenschutz ohne Datensicherheit gewährleisten kann." Wenn digitale Systeme einfach infiltriert werden könnten, könnten die schützenswerten Daten auch einfach gestohlen werden, sagt IT-Sicherheitsexperte Wefel. "In diesem Fall helfen dann auch keine gesetzlichen Vorgaben zum Datenschutz."

Mittelalter Mann sitzt an einem Tisch in einem Uni-Hörsaal vor der Tafel und lächelt in die Kamera
Dr. Sandro Wefel, IT-Sicherheits-Forscher an der Uni Halle: "Datenschutz ohne Datensicherheit geht nicht." Bildrechte: Wefel

Gesetzliche Vorgaben wie die Datenschutzgrundverordnung dürften weltweit agierende Datendiebe kaum stören, sagt Wefel. Im Gegenteil: Erpressen sie Firmen oder Behörden, argumentieren die Kriminellen oft sogar mit der Datenschutzgrundverordnung, nach der Bußgelder gegen die Opfer verhängt würden.

"Viele Leute klammern sich an den Datenschutz", glaubt Erick Thek. Er arbeitet seit mehr als 20 Jahren in der Cybersecurity-Branche und hilft derzeit Kunden von Trend Micro, die Gefahren des Cyberraums zu verstehen. Nur so könnten sie sich darauf vorbereiten. Thek sagt, bei der Datenschutzgrundverordnung sei vor allem der vermeintliche Schutz von Daten hängengeblieben. "Aber ich glaube, wir übersehen das Gesamtbild."

Und das ist eher düster: Kriminelle dringen in Systeme, stehlen Daten bei Firmen und Behörden, erpressen sie und nutzen die Daten aus, indem sie die Menschen anschreiben und austricksen, um ihnen Geld zu überweisen oder indem sie auf ihre Namen Konten eröffnen, sich Produkte oder Dienstleistungen erschleichen. Eine ganze Cybercrime-Industrie.

Datenschutz und Datensicherheit würden weitgehend missverstanden, sagt Theck. "Denn es endet mitunter in geheimnisvollen Künsten, in juristischen Worten, was man rechtlich tun kann oder in magischen Worten, wie ein IT-Mitarbeiter ein System schützen kann." Es müsse eine gemeinsame Sprache gefunden werden, was das alles bedeute und wie es sich in Firmen und Behörden organisatorisch umsetzen ließe, sagt Thek.

So ähnlich sieht es auch Professor Tobias Eggendorfer. Er leitet bei der Cyberagentur des Bundes in Halle die Abteilung "Sicherer Systeme". Langfristig will er IT-Sicherheit mess- und prüfbar machen und zum Beispiel Softwarehersteller für Mängel in ihrer Software haftbar machen. Dabei kann der Datenschutz helfen, sagt er: "Der Datenschutz ist notwendig und verpflichtet quasi durch die Seitentür zu Datensicherheit."

Aber Eggendorfer sieht auch, dass Datenschutz für Firmen oder Behörden gern eine Ausrede ist, ein IT-Vorhaben nicht umzusetzen. "Wir haben ganz viele Datenschutzbeauftragte, die einen Zweitageskurs hatten und dann Datenschutzbeauftragte sind." Er nennt das eine gefährliche Gemengelage aus falschem Expertentum und Ausreden, kluge Dinge nicht umzusetzen. "Wir kapieren nicht, dass Datenschutz implizit auch Datensicherheit mit bedient."

Unternehmen, Behörden und Nutzerinnen und Nutzern müssten lernen, echten Datenschutz und echte Datensicherheit zu erkennen. Auch Aufsichtsbehörden, Bundes- und Landesbehörden sollten als gutes Beispiel vorangehen. "Leider sind sie ganz häufig das Gegenteil." Weil Behörden anderen Behörden keine Bußgelder aufdrücken könnten, sei die Datensicherheit Behörden mitunter egal, sagt Eggendorfer. "Das ist fatal."

Wir brauchen gelebten Datenschutz. Wir brauchen gelebte Datensicherheit. Wir brauchen echte Datensicherheit. Und wir sollten endlich auf die Leute hören, die schon lange erklären, wie es richtig funktioniert.

Prof. Tobias Eggendorfer Cyberagentur des Bundes

Schwachstelle Mensch? Schwachstelle Software!

Für die Zukunft wünscht Eggendorfer sich, dass Betriebssysteme von sich aus sicher sind. Aktuell würde das Problem auf den Menschen geschoben. "Es wird gesagt, die Nutzer haben die Schadsoftware installiert. Sie waren ungeschickt, hätten besser geschult werden müssen. Das kann man sagen. Aber das ist nicht richtig." Denn es müsste Betriebssysteme geben, bei dem niemand eine Schadsoftware installieren kann.

"Wir investieren derzeit viel zu wenig in die tatsächliche Sicherheit und finden immer eine Ausrede, warum irgendetwas anderes schuld ist. Wir müssen Systeme haben, bei denen normale Menschen auch etwas falsch machen können." So würde Antivirensoftware überflüssig, die viele Rechte in einem System haben und über die manche sagen, sie sei selbst ein Sicherheitsrisiko.

Mehr zum Thema: Digitalisierung in Sachsen-Anhalt

Digital leben, Digitalpodcast Logo 97 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK
Digital leben, Digitalpodcast Logo 80 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK

MDR (Marcel Roth)

404 Not Found

Not Found

The requested URL /api/v1/talk/includes/html/f9327546-d484-4f9f-89b3-c70ec8977b14 was not found on this server.

Mehr aus Sachsen-Anhalt