(openPR) Bad Arolsen. Die politische Öffentlichkeit ist geschockt oder amüsiert, die IT-Fachwelt staunt: Mehr als 250.000 Depeschen aus dem internen Netz des US-Außenministeriums sind über die Internet-Plattform WikiLeaks in die Öffentlichkeit gelangt. Doch wie konnte es dazu kommen, dass diese zum Teil vertraulichen oder geheimen Dokumente ihren Weg ins Internet finden konnten? Wir sprachen mit Andreas Pohl, IT-Sachverständiger und Datenschutzexperte aus Bad Arolsen, über den Datendiebstahl.
Frage: Herr Pohl, ein Obergefreiter der US-Armee soll es gewesen sein, der während seines Einsatzes im Irak die geheimen Daten aus dem Netzwerk des US-Außen- und Verteidigungsnetzwerks nach außen geschmuggelt haben soll. Wie konnte es dazu kommen?
Andreas Pohl: Weil offenbar Sicherheitsstandards vernachlässigt wurden. Zum einen muss man dafür Sorge tragen, dass der Kreis derjenigen, die Zutritt zu einem IT-Netzwerk haben, möglichst eng gefasst ist. Je sensibler die Daten, desto strikter muss das Berechtigungskonzept sein. Eine weitere Schwachstelle: Es war vermutlich keine Überwachungssoftware installiert, die beim Kopieren von Daten Alarm schlägt. Außerdem sollen die Daten per CD rausgeschmuggelt worden sein. So etwas sollte durch eine Kontrolle verhindert werden.
Frage: Ist so etwas ungewöhnlich?
Andreas Pohl: Ganz und gar nicht. Bei Unternehmen zum Beispiel ist diese Konstellation oft der Klassiker. Die Firmen investieren in Ihre IT-Infrastruktur und vergessen, ihre eigenen Unternehmensdaten gegen Manipulation oder Diebstahl abzusichern. Wir haben es beispielsweise erlebt, dass Mitarbeiter, die zu einem Wettbewerber wechseln, Kundendaten unbemerkt an sich nehmen können. Das Problem ist: Viele Arbeitgeber bemerken den Diebstahl gar nicht, weil die Daten hinterher immer noch da sind und dem Unternehmen nichts fehlt.
Frage: Was kann man dagegen tun?
Andreas Pohl: Wer seine Daten und sein Netzwerk schützen möchte, sollte seine IT-Infrastruktur sorgfältig analysieren: Welche Arten von Daten habe ich? Bei welchen schreibt der Gesetzgeber den Datenschutz zwingend vor? Welche unternehmenskritischen Daten, zum Beispiel meine Bilanz, möchte ich in meinem eigenen Interesse selbst absichern? Dann trifft der Unternehmer Maßnahmen, die die Sicherheit dieser Daten gewährleisten, damit Datenpannen wie im State Department nicht passieren. Das können gestaffelte Berechtigungen sein, die nur bestimmten Mitarbeitern Zugriffsrechte gewähren, oder die angesprochene Alarmfunktion, wenn Daten heruntergeladen oder kopiert werden.
Frage: Was für ein Aufwand fällt für so eine Analyse an?
Andreas Pohl: Das hängt ganz vom Unternehmen ab. Unter normalen Voraussetzungen muss man mit Aufwand von zwei bis sechs Arbeitstagen rechnen. Diese Arbeit zahlt sich aus! Danach weiß zum Einen jeder, wie er sich gegen Datendiebstahl ausreichend sichern kann. Und zum Anderen beruhigt es jeden Unternehmer, dass Kontaktdaten von Lieferanten und Kunden oder interne Aufzeichnungen im Unternehmen sicher aufgehoben und geschützt vor dem Zugriff Dritter sind.
Frage: Welche Konsequenzen können Verstöße gegen Datenschutzbestimmungen haben?
Andreas Pohl: Die gesetzlichen Vorgaben spielen eine wichtige Rolle. Der Mitarbeiterdatenschutz nimmt es beispielsweise auch mit den Arbeitgebern sehr genau! Bei Verstößen können ganz empfindliche Strafen anfallen, zum Teil bis zu 300.000 Euro. Ein anderer Aspekt ist der Umgang mit Kundendaten: Ein Hamburger Kreditinstitut musste kürzlich ein Bußgeld von 200.000 Euro bezahlen, weil es seinen mobilen Kundenberatern den Zugriff auf die Bankdaten seiner Kunden ermöglicht hatte.
