Der europäische Datenschutz könnte zum Exportschlager werden

Matthias Kess, CTO von Befine Solutions AG

Aus astrologischer Sicht steht das Jahr 2019 ganz im Zeichen des Planeten Merkur, aus politischer Sicht werden Themen wie der Brexit die Agenda bestimmen. Und in der IT? Schon alleine wegen der Europäischen-Datenschutz-Grundverordnung war 2018 ein bedeutendes Jahr. Im Zusammenhang damit wird 2019 von einigen Geldbußen die Rede sein. Vor dem Hintergrund der in diesem Jahr bekannt gewordenen Sicherheitsvorfälle hat Apple-CEO Tim Cook vor Kurzem die DSGVO ausdrücklich gelobt, während die ersten US-Bundesstaaten bereits neue strenge Gesetze erlassen haben. Der Datenschutz nach Vorbild der DSGVO wird 2019 zum Exportschlager.

Es war kein Geringerer als Tim Cook, der vor wenigen Wochen die DSGVO als Basis für einen weltumspannenden Datenschutz lobte. Der Weg zu einem besseren Datenschutz sei wie eine Reise, sagte der Apple-Chef – und auch die längste Reise beginnt bekanntermaßen mit dem ersten Schritt, möchte man hinzufügen. Einen langen Weg noch vor sich haben da die Vereinigten Staaten, die beim Schutz der Privatsphäre schon geradezu traditionell hinter Europa herhinken.

Doch nun kommt Bewegung in die Sache, Politik und Unternehmen in den USA sind aufmerksam geworden und suchen nach Lösungen. Nach europäischem Vorbild haben die US-Bundesstaaten Kalifornien und Vermont bereits neue Datenschutzgesetze erlassen. Ich nehme an, dass die Bundesebene in den USA nachziehen wird – und dass diese Datenschutzgesetze die IT-Branche und ihre Kunden nachhaltig beeinflussen werden. Als die DSGVO im Mai endgültig in Kraft trat, endete eine zweijährige Übergangszeit – und damit die Schonfrist für Unternehmen und Behörden. Von Geldbußen, die wegen vermeidbarer Datenverstöße verhängt werden, wird 2019 einiges zu hören sein.

 

Präzedenzfall geschaffen

Ein Präzedenzfall wurde mit Artikel 25 der DSGVO bereits geschaffen. Hier sind die Rahmenbedingungen formuliert, wie Unternehmen Datenschutz durch Technikgestaltung und Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umsetzen müssen. Diese Grundsätze erfordern es, Daten, wo immer es möglich ist, anonymisiert beziehungsweise pseudonymisiert zu erheben und verschlüsselt zu verarbeiten. Keine leichte Aufgabe…

Während die DS-GVO in vielen Fällen bewusst vage vom „Stand der Technik“ spricht, so auch in Artikel 32 („Sicherheit der Verarbeitung“), fordert sie dort explizit die „Verschlüsselung personenbezogener Daten“. Damit ist natürlich nicht gemeint, dass Unternehmen nur noch über verschlüsselte E-Mails kommunizieren dürfen. Wohl aber, dass Faktoren wie der Schutzbedarf der Daten zu berücksichtigen sind. Die Verordnung bezieht sich ausschließlich auf personenbezogene Daten, aber auch andere vertrauliche Daten sollten diesen Schutz erfahren.

 

Die E-Mail ist tot, lange lebe die E-Mail

Und dennoch haben Forscher in diesem Jahr geraten, vorerst auf Verschlüsselung in E-Mail-Clients zu verzichten. Sie hatten die Verschlüsselung von E-Mail-Systemen ausgehebelt und Details über Sicherheitslücken in den beiden Verschlüsselungsverfahren PGP und S/MIME veröffentlicht. Unter bestimmten Bedingungen lassen sich E-Mails entschlüsseln, auch nachträglich.

Die Folgerung der Forscher – E-Mail sei kein sicheres Kommunikationsmedium – ist nichts Neues. Was zugleich die gute und die schlechte Nachricht ist. Im Prinzip entspricht eine E-Mail einer Postkarte: Sie ist günstig und schnell zuzustellen, ihr Inhalt ist aber für jeden lesbar und auch modifizierbar, der sie transportiert. Was auf dem Transportweg der einzelnen E-Mails passiert, welche Stationen beteiligt sind, bleibt den Anwendern verborgen. Auf Verschlüsselung in E-Mail-Clients zu verzichten, wäre also in etwa so, als ob man grundsätzlich seine Haustüre offenstehen lässt, weil es ohnehin zu viele Einbruchsdelikte zu beklagen gibt. Auch 2019 werden wir also nicht das Ende der E-Mail-Verschlüsselung erleben, warum auch?

 

Die Chefmasche bleibt „attraktiv“

Ziel der „Business E-Mail Compromise“ (auch „Chefmasche“, „Chefbetrug“ oder „CEO-Fraud“) genannten Methode ist es, ein Unternehmen – genauer gesagt: einen Mitarbeiter – so hereinzulegen, dass Geld auf das Konto der Angreifer fließt. Dafür nutzen die Cyber-Kriminellen ganz gezielt die „Schwachstelle Mensch“ aus: Sie schlüpfen in die Rolle eines Vorgesetzten oder wichtigen Kollegen und senden Social-Engineering-Mails direkt an ihr vorher identifiziertes Opfer, um es zur Überweisung zu veranlassen.

Mehrere Aspekte machen die Chefmasche für Angreifer so „attraktiv“. Sie lässt sich relativ unkompliziert handhaben und ist mit vergleichsweise geringen Kosten verbunden, weil eine aufwändige Infrastruktur nicht nötig ist. Zwar können die Kriminellen nicht wie bei herkömmlichen Online-Betrugsfällen nach dem Gießkannenprinzip vorgehen, sondern müssen zuerst den besten Weg auskundschaften, um eine für das Opfer glaubhafte E-Mail überhaupt erstellen zu können – aber das lässt sich häufig schon mit einer ausgeklügelten Suchabfrage in sozialen Medien bewerkstelligen.

Zumal den höheren Vorabinvestitionen auch größere Gewinne gegenüberstehen: Das FBI, das diese Angriffsart seit Oktober 2013 beobachtet, beziffert den weltweit seitdem entstandenen Schaden auf über zwölf Milliarden Dollar – das ist noch einmal mehr als eine Verdopplung über die vergangenen eineinhalb Jahre. Und schließlich sind die Angriffe sehr schwer zu entdecken, weil die E-Mails ja eben keinen Schadcode enthalten, bei dem IT-Sicherheitslösungen Alarm schlagen könnten.

Sind Unternehmen all dem schutzlos ausgeliefert? Keinesfalls. Voraussetzung ist, dass sie die Art ändern, in der die Anwender kommunizieren. Die bisher bekannt gewordenen Vorfälle – bis hin zur aktuellen Warnung des BSI im Fall „Emotet“ – zeigen, dass die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit in Form von regelmäßigen Schulungen unabdingbar ist, aber nicht isoliert betrachtet werden sollte.

 

Passwort-Verwaltung wird einfacher

Das Internet ist seit langem aus unserem täglichen Leben nicht mehr wegzudenken, und stellt die Menschen doch vor große Herausforderungen. Man denke nur an die Verwendung von Passwörtern im Rahmen von Multi-Faktor-Authentifizierung.

Die gute Nachricht: Best-Practice-Methoden für Online-Sicherheit werden immer wichtiger. Die schlechte Nachricht: Das ist mit Aufwand verbunden, (zu) viele Benutzer leiden inzwischen an „Passwort-Ermüdung“. Sie müssen den Überblick über eine wachsende Anzahl von Online-Konten und Kennwörtern behalten. Die Folge sind unsichere Praktiken wie die Nutzung desselben Benutzernamens und Kennworts für mehrere Websites – oder das häufige Zurücksetzen von Passwörtern, was eine gern ausgenutzte Sicherheitslücke darstellt. In der Tat sind Passwort-Missbrauch und -Missmanagement die Ursache für die meisten Datenschutzverletzungen.

Ich glaube, dass neue Technologie-Ansätze künftig den Spagat schaffen und die Anwendung von Passwörtern beim Austausch verschlüsselter Nachrichten und Dateien deutlich vereinfachen werden.

#Netzpalaver #Befine