Bei dem Blick in das eigene digitale wie analoge Postfach können einem manchmal die Nerven durchgehen. Werbeflyer und Spam-Mails erinnern daran, dass die eigenen Daten im Internet kursieren und auf Servern von Unternehmen und Behörden gespeichert sind.
Wer seinen Namen und seine Adresse schon mal irgendwo angegeben und in einem Social-Media-Profil ein paar Links und Tipps von “Freunden” mit einem “Gefällt mir” belohnt hat, ist ein “gläserner Kunde”. Die Bezeichnung für den Menschen, über den die Werbewirtschaft alles zu wissen scheint, wird längst wie selbstverständlich benutzt. Sogar das gezielte Einsetzen der gesammelten Informationen hat in der Werbewirtschaft seinen eigenen Begriff: “Targeting”.
Nur 18 Prozent der Online-Käufer in Europa haben den Eindruck, die vollständige Kontrolle über ihre Daten zu haben. Das hat die Umfrage “Eurobarometer - Einstellungen zum Datenschutz und Elektronischer Identität in der EU“ aus dem Jahr 2011 ergeben. Dabei ist es eigentlich ganz einfach, sich zumindest einen recht umfassenden Überblick über das Daten-Chaos zu verschaffen. Man muss nur eines tun: Nachfragen.
Merkregeln für sichere Passwörter
Zugegeben, „Password“, „12345“, „qwert“, „0000“ oder der eigene Name sind leicht zu merken. Trotzdem sollte sich, wer eine dieser Zeichenfolgen als Zugangscode für das Konto, den Computer oder die Kreditkarte gewählt hat, schleunigst Gedanken über sicherere Alternativen machen. Denn viel leichter kann man es Hackern kaum noch machen.
Doch selbst ein schwacher Schutz ist besser als gar keiner. Aktivieren Sie deshalb am Mobiltelefon neben der PIN-Abfrage der SIM-Karte auch den Passwortschutz des Gerätes selbst. So wird nicht nur die SIM, sondern auch das Mobiltelefon für Diebe unbrauchbar. Prüfen Sie zudem, ob die Passwortabfrage in Ihrem heimischen schnurlosen Funknetz (WLAN) aktiv ist. Sonst surfen Fremde kostenlos mit.
Vermeiden Sie es, identische Passwörter für mehrere Zwecke zu nutzen. Wer im WLAN-Netz eines Cafés den gleichen Zugangscode zur Abfrage der E-Mails verwendet wie daheim für Zugriffe auf das Online-Bankkonto, handelt fahrlässig. Denn die Codes werden über Funk meist unverschlüsselt übertragen. Sicherheitsexperten empfehlen, wenigstens drei unterschiedlich komplexe Schlüssel für unterschiedlich sensible Anwendungen einzusetzen. Wichtig: Wenn die Gefahr besteht, dass ein Passwort bekannt geworden ist oder gar geknackt wurde, tauschen Sie es sofort aus.
Auch bei Passwörtern gilt: „Viel hilft viel“. Je länger und komplexer die Codes sind, desto sicherer sind sie. Je weniger Systematik und Semantik in ihnen steckt, desto besser. Vor allem der Einsatz von Sonderzeichen wie §, &, $ oder @ steigert die Zahl der Passwort‧alternativen enorm. Leider nur sind diese Schlüssel auch schwerer zu merken.
Reine Zahlencodes wie Handy-, EC- oder Kreditkarten-PINs geraten im alltäglichen Informationswust allzuleicht in Vergessenheit. Sie lassen sich besser merken, wenn Sie diese mit emotional relevanten Fakten assoziieren – und die voreingestellten Codes der Karten entsprechend umprogrammieren. Vergessen Sie Ihr Geburtsdatum, das recherchieren Datendiebe im Zweifel auch. Wie wäre es aber mit dem Tag, an dem Ihr Lieblingsverein zum letzten Mal Meister wurde, Sie Ihr Diplom gemacht oder die Ausbildung abgeschlossen haben? Darauf kommt keiner – und Sie können es zur Not sogar nachschlagen.
Sicherer als reine Zahlen-PINs sind Kombinationen aus Zahlen und Buchstaben. Sie haben am 31. März 89 geheiratet? Lesen Sie im Wechsel die Buchstaben von hinten, die Zahlen von vorn: „3z1r8ä9m“ ist schwer zu knacken, für Sie aber leicht zu merken. Mischen Sie die letzten vier Zeichen des Geburtsorts der Mutter und des Geburtsdatums des Vaters und lesen sie beides rückwärts. „h1c4i0r1“ errät niemand – Sie müssen sich lediglich die Systematik merken.
Merken Sie sich statt vieler Zahlenfolgen nur eine, mit dem Sie alle anderen verschlüsseln. Die können Sie dann sogar im Adressbuch notieren. Wählen Sie ein Wort, bei dem sich in den ersten zehn Buchstaben keiner wiederholt, zum Beispiel „Aktienkurs“, „Herbstwald“ oder „Blumengruß“. Ersetzen Sie die Ziffern Ihrer PIN durch die an der entsprechenden Stelle Ihres persönlichen Schlüsselwortes stehenden Buchstaben. Bei „Herbstwald“ würde aus „4735“ der Code „bwrs“, aus „901628“ das neue „ldhtea“. Für Sie ist der Weg zurück ein Leichtes. Doch wer Ihr Geheimwort nicht kennt, hat kaum Chancen, die ursprüngliche Zahlenfolgen zu rekonstruieren.
Zumeist sind PINs und Passwörter relativ kurz. Wer – etwa bei der Wahl des Zugangsschlüssels für das WLAN-Funknetz, aber auch beim Start des PCs – die Möglichkeit hat, kann auch statt weniger Zeichen viele Buchstaben verwenden und sich einen Satz mit einem starken persönlichen Bezug merken: „Wedeln_im_Tiefschnee_ist_mein_Traum“ weiß ich sogar im Tiefschlaf. Sie finden sicher Ähnliches.
Sehr sichere – aber deutlich kürzere – Codes lassen sich mithilfe von Sätzen oder den Titeln Ihrer Lieblingsbücher, -bands oder -hits bilden. Aus den ersten Buchstaben von „Seit 10 Jahren schnorchele ich vor Hawaii“ wird dann „S1JsivH“, aus den jeweils beiden letzten von „Money for nothing“ wird „ngorey“. Auch hier ist nur wichtig, dass Sie sich die Systematik merken. Ihren Lieblingstitel sollten Sie ohnehin kennen.
Selbst vergleichsweise einfach zu merkende Schlüssel sind schwerer zu knacken, wenn Sie Buchstaben durch Zeichen ersetzen – etwa „T“ durch „+“, „H“ durch „#“, „E“ durch „3“, „I“ durch „!“ oder „S“ durch „$“. Wenn Sie sich den Satz merken können „Meine Tochter heißt Sarah“, dann sollte das auch mit „M+#$“ klappen.
Nicht jedes Passwort lässt sich an die eigenen Bedürfnisse anpassen. Dann hilft nur noch Büffeln. Wirksam (und nicht nur bei Vokabeln bewährt) ist die Strategie, sich die Codes in wachsenden Abständen selbst abzufragen. Beginnen Sie dabei im Minutenabstand und steigern Sie die Zeiträume in Etappen. Wichtig ist, gerade selten benötigte Codes regelmäßig zu wiederholen. Sonst sind sie im entscheidenden Moment weg.
Einmal im Jahr sind Unternehmen und Behörden in Europa verpflichtet alle gespeicherten Informationen über eine Person bekannt geben. Dazu muss der Bürger oder Kunde eine schriftliche Anfrage stellen. Binnen weniger Wochen sollten die vorliegenden Daten dann per Post zugeschickt werden. Dabei beschränkt sich die Auskunftspflicht nicht nur auf die Daten. Auch der Verwendungszweck muss sauber ausgewiesen werden. Aufwendig ist dieses Vorgehen dennoch, denn jede Stelle muss separat angefragt werden - von Amazon bis zum Kraftfahrtbundesamt.
Wer hat die Daten?
Allgemein gilt, dass Unternehmen und Behörden alles speichern dürfen, was sie für ihre Geschäftszwecke brauchen. Auch alle Angaben, die Kunden freiwillig machen, dürfen archiviert werden. Ebenso alles, was öffentlich zugängig ist. Damit ist jedes Social-Media-Profil, jeder Blog, jede Homepage oder auch jeder Twitter-Feed gemeint. Auch was andere über einen öffentlich machen, zählt dazu, sofern nicht dagegen vorgegangen wird.
Die meisten Daten, die bei den Behörden über Personen gespeichert sind, wurden nicht freiwillig abgegeben – beispielsweise Angaben beim Einwohnermelde-, Ordnungs- oder Kraftfahrtbundesamt in Flensburg. Außerdem kennt das Arbeitsamt den Lebenslauf, das Finanzamt das Einkommen und Krankenkassen wissen, wie gesund beziehungsweise krank ihre Kunden sind. All diese Daten dürfen die einzelnen staatlichen Behörden frei untereinander austauschen, sofern das für ihre jeweilige Arbeit notwendig ist.
Wenn Unternehmen Daten sammeln
Ebenso sieht es bei Unternehmen aus. Allerdings wurden hier die meisten Daten über Online-Bestellformulare oder Gewinnspiele freiwillig angegeben. Wer ein Buch, Musik, Kleidung, Flug- oder Bahntickets im Netz kaufen möchte, muss dafür in der Regel seine Adresse sowie Konto- oder Kreditkarteninformationen hinterlegen. Schließlich soll die bestellte Ware ja auch im richtigen Haushalt landen.
Diese Pflichtangaben sind für die meisten Kunden nachvollziehbar. Der Handel „Daten gegen Dienstleistung“ ist inzwischen so verbreitet, dass 79 Prozent der Online-Käufer bereitwillig ihre Daten offen legen, um den Zugang zu einem Online-Dienst zu bekommen. Auch das hat das Eurobarometer des vergangenen Jahres ergeben.
Diese Cyber-Gefahren gilt es zu entschärfen
Friedrich will die Bürger schneller vor Risiken warnen und den Informationsaustausch zwischen Unternehmen über neu entdeckte Angriffsstrategien verbessern.
Großkonzerne treiben teils großen Aufwand, Geschäftsgeheimnisse gegen digitalen Diebstahl zu sichern. Kleineren Unternehmen aber fehle oft das Risikobewusstsein, moniert der Innenminister.
Die Nationale Strategie zum Schutz kritischer Infrastrukturen stammt von 2009. Sie soll Strom-, Wasser- oder Telefonnetze absichern. Ihre Umsetzung zieht sich hin.
Friedrich will Telefon- und Internet-Verbindungsdaten EU-konform sechs Monate speichern. Bundesjustizministerin Leutheusser-Schnarrenberger geht das zu weit.
Sehr viel tiefer gehende Informationen geben Social Media-Nutzer über ihre Profile im Internet preis. Jeder Kommentar, der positiv bewertet wurde, jedes Posting und jede Google-Suche verraten Details über eine Person, die sich Unternehmen bei gründlicher Analyse zu Nutze machen können. So lässt sich Werbung für den Kunden haargenau anpassen. Extra programmierte Algorithmen automatisieren diesen Prozess. Wer gestern noch Informationen zu einem Fitnessprogramm im Internet gesucht hat, bekommt morgen Diättipps auf den Facebook-Werbeflächen präsentiert. Und wer einen Urlaub in Bordeaux bucht, dem werden kurz darauf Weine aus dem Médoc angeboten. Unheimlich genau scheint das Internet zu wissen, wer die Person vor dem Rechner ist.
Dabei ist nicht nur entscheidend, welche Formulare ausgefüllt oder Dinge angeklickt wurden. Auch die Webseite auf der man vorher unterwegs war oder mit welchem Browser gesurft wurde, fließt in die elektronische Kundenanalyse mit ein. Sogar die Sprache auf die der PC eingestellt ist, kann erfasst werden.
Das Geschäft mit den Daten
Informationen über Kunden sind bares Geld wert. Entsprechend haben sich Auskunfteien als Dienstleister für dieses Geschäft entwickelt. Am bekanntesten ist hier die Schufa. Die Schuldenauskunftsstelle lebt davon herauszufinden, wie kreditwürdig eine Person ist. Entsprechend verraten zum Beispiel Banken und Kreditinstitute schon aus Eigeninteresse der Schufa, wann Konten eröffnet und Kredite aufgenommen wurden. Auch wie zuverlässig Schulden bezahlt und ob Konten gedeckt waren, erfährt die Auskunftei. Nicht berücksichtigt werden der Wohnort, das Geschlecht oder das Alter bei der Berechnung.
Auskunfteien und das Ausland
Im Sommer 2012 wurde bekannt, dass die Schufa auch soziale Netzwerke für die Beurteilung der Kreditwürdigkeit mit einbeziehen wollte. Massive Kritik von Verbraucherschützern und Politikern folgte. Das Vorgehen wurde als Grenzüberschreitung bei der Erfassung persönlicher und geschützter Daten bewertet. Daraufhin nahm man seitens der Schufa wieder Abstand von den Plänen.
Die Schufa hat insgesamt etwa 479 Millionen Einzeldaten von 66,2 Millionen Menschen erfasst. Auf Basis all dieser Angaben, wird die Kreditwürdigkeit mit einem Prozentwert ermittelt. Nicht nur bei der Aufnahme von Krediten muss die Schufa-Auskunft vorgelegt werden. Auch immer mehr Vermieter wollen Einsicht in diese Unterlage eines potentiellen Mieters, ehe es zum Vertragsabschluss kommt. Negative Vermerke müssen allerdings nach vier Jahren wieder gelöscht werden. Schon deshalb kann es sich lohnen, mindestens einmal im Jahr die Schufa-Daten anzufordern. Denn auch die ist einmal im Jahr kostenlos, sofern sich auf in einer schriftlichen Anfrage konkret auf das Bundesdatenschutzgesetz bezogen wird. Passiert das nicht, werden 18,50 Euro für eine Bonitätsauskunft fällig.
Mit diesen Angriffsmethoden arbeitet Anonymous
Mitglieder von Anonymous bombardieren die Rechner der Angegriffenen mit Abertausenden Seitenaufrufen. Bei diesen Distributed Denial of Service (DDoS) genannten Attacken koordinieren die Angreifer den zigtausendfachen Zugriff auf die Server. Daraufhin sind die Web-Sites wegen Überlastung der Server nicht mehr erreichbar. So legte Anonymous etwa die Web-Auftritte von Scientology, Amazon und des CIA lahm. Nicht immer kommen diese Angriffe von Anonymous-Sympathisanten.
Teils nutzt Anonymous auch sogenannte Bot-Netze – Rechnerverbünde aus Millionen gekaperten Computern. Deren Besitzer ahnen oft nicht, dass auf ihren Maschinen Angriffs-Programme schlummern, die – per Angriffsbefehl vom Botmaster aktiviert – ins DDoS-Trommelfeuer einsteigen. Bot-Netz-Software gelangt oft unbemerkt beim Herunterladen kostenloser Software auf die Computer.
Schwieriger ist es, in die Web-Server selbst einzubrechen, um die Online-Auftritte der Angegriffenen zu modifizieren. Bei diesen sogenannten Defacements hinterlassen die Hacker meist Banner mit ihren Botschaften. So etwa bei Attacken auf das US-Sicherheitsunternehmen HBGary 2011, ägyptische Regierungs-Web-Seiten oder den Online-Auftritt der Formel 1 vor dem umstrittenen Rennen in Bahrain im April dieses Jahres.
Komplexer, aber weniger auffällig sind Einbrüche in Server, E-Mail-Konten oder Datenbanken der Anonymous-Opfer, um so Zugriff auf geheime Informationen, E-Mails, Dokumente oder andere Nutzerdaten zu bekommen. Zu den prominentesten Opfern dieser Attacken gehörte 2008 die republikanische Vizepräsidentschafts-Kandidatin Sarah Palin, 2011 die NATO und in diesem Jahr das syrische Präsidialamt. In allen Fällen veröffentlichte Anonymous anschließend Dokumente, Bilder oder E-Mail-Inhalte.
Neben der Schufa sind Auskunfteien wie Arvato Infosorce, Accumio Finance Services, Brügel, Boniversum oder Deltavista aktiv. Diese Wirtschaftsauskunfteien sammeln öffentliche Daten und verkaufen sie an Unternehmen. Die Informationen wiederum werden aus dem Internet generiert. Telefonbücher, Web-Profile und Netzwerke sind beim sogenannten „Targeting“ wertvolle Quellen. An diesem lukrativen Geschäft sind inzwischen über tausend Unternehmen alleine in Deutschland beteiligt - und auch die staatlichen Behörden verdienen mit. Laut Artikel 32, Abschnitt 3 des Meldegesetzes sind Gemeinden berechtigt, Meldedaten an Adressbuchverlage weiterzuvermitteln, sofern dem nicht eindeutig vom Bürger widersprochen wurde. Und die Befugnisse des Staates soll noch weiter gehen. Mit einer Novelle des Meldegesetzes, sollen Einwohnermeldeämter künftig die Daten auch zu Werbezwecken weitergeben dürfen.
Im Ausland
Desweiteren werden Weltenbummler und Geschäftsreisende zum Beispiel bei jeder Einreise in die USA gezwungen Fotos und Fingerabdrücke bei Homeland Security abzugeben. Außerdem dürfen die USA laut SWIFT-Abkommen Kontobewegungen einsehen. Eine Begründung dafür müssen sie nicht ablegen.
Wie Homeland Security dürfen auch in Deutschland die Ermittlungsbehörden beim Datensammeln relativ weit gehen. Besteht ein konkreter Verdacht gegen eine Person dürfen Funkzellen abgefragt werden. Zu diesem Zweck geben die Provider dann alle Informationen aller Handys gemessen an einem bestimmten Zeitraum frei. Wer von den polizeilichen Ermittlungen nicht betroffen ist, muss über die Datenerhebung nicht extra informiert werden.
Außerdem bieten auch die Social-Networks den Behörden eine Möglichkeit der Zusammenarbeit an. Unter der Webadresse www.facebook.com/records können Polizeibehörden eine Abfrage der von Facebook gespeicherten Bestands- und Verkehrsdaten beantragen. Dafür muss derjenige, der anfragt, lediglich eine E-Mailadresse mit einer deutschen Polizeibehörde eintippen. Daraufhin geht eine automatische Antwortmail mit einem Link heraus, über den man anschließend auf ein internes Facebook-Portal für die Abfrage von Bestands- und Nutzungsdaten gelangt. Hier muss die Anfrage dann konkreter ausformuliert werden. Zusätzlich hat Facebook für Polizei- und Strafverfolgungsbehörden ein Formular zum Anfordern von Daten eines Facebook-Profils sowie ein gesondertes Formular zur Offenlegung von Daten in Notfällen entwickelt.
Was man tun kann
Gewisse Dinge dürfen weder Unternehmen, noch Behörden noch Auskunfteien über Privatpersonen speichern. Dazu gehören die ethische Herkunft, die politische Überzeugung, die Religion, die Gewerkschaftszugehörigkeit sowie Daten zur Gesundheit und zum Sexualleben. Diese personenbezogenen Daten unterliegen einem besonderen Schutz. Nicht geschützt sind hingegen der Name, die Adresse, der Geburtstag oder das Einkommen.
Bei all den Informationen, die über einen gespeichert werden, kann es sich durchaus lohnen, diese von Zeit zu Zeit zu überprüfen. Denn sobald die Daten keinem konkreten Geschäftszweck mehr dienen, die Einwilligung zur Datennutzung widerrufen wird oder die Auskünfte inhaltlich falsch sind, müssen diese gelöscht werden. Einmal im Jahr müssen Unternehmen und Behörden einer Anfrage kostenlos nachkommen. So besagt es das Bundesdatenschutzgesetz.
Was beachtet werden sollte
„Wenn man eine Anfrage auf Selbstauskunft stellt, ist es wichtig zu präzisieren, was man genau wissen will“, erklärt Juliane Heinrich, Sprecherin beim Bundesdatenschutzbeauftragten in Berlin. Bei einer zu global gestellten Anfrage könnte es lange dauern, ehe die Anfrage bearbeitet wird. „Es ist sinnvoll nicht nur seinen kompletten Namen zu nennen, sondern auch darzulegen, in welchem Zusammenhang Daten von einem erhoben worden sein könnten“, so Heinrich. In Einzelfällen sei es auch sinnvoll zur Legitimation die Kopie des Personalausweises oder Führerscheins beizulegen. Auf der Ausweiskopie müssen nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer zu lesen sein. Alle anderen Informationen dürfen geschwärzt werden.
Am schnellsten wird die Anfrage beantwortet, wenn auch gleich der richtige Ansprechpartner in Sachen Datenschutz bei einer Behörde oder einem Unternehmen ausfindig gemacht wurde. „Meistens wird auf den Homepages im Bereich des Impressums darüber Auskunft gegeben“, sagt Heinrich. Außerdem hätten inzwischen fast alle größeren Unternehmen auch einen Datenschutzbeauftragten, der sich der Anfragen annimmt.
Die Anfrage muss, so sagt es das Gesetz, unverzüglich beantwortet werden. In der Regel dauert das etwa vier Wochen, je nach Fall und Unternehmen kann es aber auch länger dauern. „Wenn zu viel Zeit verstreicht, können sich die Bürger jederzeit an den Datenschutzbeauftragten ihrer Region wenden. Die Behörde untersucht dann die Organisationsstrukturen des Unternehmens und fast nach, warum der Vorgang so lange dauert“, sagt Juliane Heinrich. Dazu muss der vorangegangene Schriftwechsel bei der jeweiligen Datenschutzbehörde mit eingereicht werden.
Ist durch eine falsche Datenverarbeitung sogar ein Schaden entstanden, besteht in der Theorie sogar ein Recht auf Schadensersatz. „Hier hat der Betroffene das Problem, dass er selbst beweisen muss, dass er durch die falsche Handhabung der Daten zu Schaden gekommen ist“, sagt Juliane Heinrich. Sobald die Behörde oder das Unternehmen dies Widerlegen kann, bekommt der Betroffene nichts. Entsprechend selten kommen diese Fälle vor.
