Bei Ashley Madison handelt es sich um ein kanadisches Unternehmen, damit fällt es nicht unter die deutsche Datenschutz- und IT-Sicherheitsgesetzgebung, die unter anderem Anbieter verpflichten sensible Daten (etwa mit Bezug zur Gesundheit oder sexuellen Orientierung) zu verschlüsseln und in Bezug auf Sicherheitsstandards immer den Stand der Technik einzuhalten.
„Das Recht der USA ist nicht so harmonisiert wie das deutsche und bald das europäische“, sagt Rolf Schwartmann, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit und Professor für Medienrecht an der FH Köln. „Aber auch dort gelten auf vertraglicher Basis jedenfalls vergleichbare Verpflichtungen.“
In den USA und Kanada werden die Sicherheitsstandards vor allem über Selbstverpflichtungen gegenüber den Kunden gewährleistet. So können sie im Missbrauchsfall mit rechtlichen Schritten teils empfindliche Strafen gegen die Unternehmen erwirken . Den Kunden hilft das allerdings nur bedingt – der Datendiebstahl ist längst vollzogen und der Ruf mitunter zerstört.
Doch egal ob die gesetzliche Regulierung hierzulande oder die Selbstverpflichtung auf der anderen Seite des Atlantiks: Zu bringen scheinen die Maßnahmen wenig, wie die jüngsten Angriffe zeigen. Und das ist erst der Anfang.
„Die Zahl der Angriffe wird stark zunehmen“, sagt Köpsell. Mit erbeuteten Daten lässt sich gutes Geld verdienen – etwa indem Hacker das Unternehmen erpressen oder sie auf dem Schwarzmarkt verkaufen. „Zudem sind solche Angriffe relativ risikolos. Wer sich geschickt anstellt, kann ohne weiteres seine Spuren verwischen.“
Auf große Schwierigkeiten stoßen die Hacker dabei selten. „Nicht einmal besonders großes technisches Know-How ist heute noch notwendig“, sagt Köpsell. Auf den einschlägigen Seiten werden Tools angeboten, die Interessierte kaufen oder mieten können und die ausreichen, um solche Angriffe durchzuführen.