Vertuschen statt informieren

Wenn Unternehmen Opfer von Viren oder Datendieben werden

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

133

Informations- und Datendiebstahl haben Konjunktur. Jüngstes Opfer von Datendieben ist vermutlich die Bank of America, der Backup-Tapes gestohlen wurden, auf denen sich die Kreditkartendaten von mindestens 1,2 Millionen Mitarbeitern von US-Bundesbehörden befanden. Zuvor wurde der Fall des US-amerikanischen Unternehmenn ChoicePoint bekannt (Identitätsdiebstahl leichtgemacht). ChoicePoint gehört zu den größten kommerziellen Datensammlern in den USA und rühmt sich damit, Zugriff auf rund neunzehn Milliarden Datensätze von US-Bürgern zu haben. Kürzlich wurde bekannt, dass Datendiebe in der kalifornischen Niederlassung des in Alpharetta, Georgia, ansässigen Unternehmens mindestens 35.000, vermutlich sogar bis zu 145.000 dieser äußerst sensiblen Datensätze gestohlen haben. Der Datendiebstahl ereignete sich bereits im letzten Herbst. Um die polizeilichen Ermittlungen nicht zu gefährden, sah sich ChoicePoint angeblich erst jetzt genötigt, an die Öffentlichkeit zu gehen und die Betroffenen per Email zu informieren - zu spät meinen Kritiker. Denn zwischenzeitlich wurden die Daten von mindestens 750 US-Bürgern für kriminelle Zwecke missbraucht.

Mit dem Verkauf persönlicher Daten lassen sich hervorragend Geschäfte machen. Das wissen nicht nur kommerzielle Datenhändler wie das US-Unternehmen ChoicePoint - ein Unternehmen, das bei Daten- und Verbraucherschützern einen zweifelhaften Ruf genießt. Auch kriminelle Virenschreiber, Identitätsdiebe und Hacker haben diesen kommerziellen Braten gerochen. Längst hat sich eine gut organisierte, weltweit agierende Cyber-Mafia herausgebildet, wie der Schweizer Internetsicherheitsexperte Peter Troxler in einer Studie für die Antivirenfirma McAfee nachgewiesen hat. Die Cyber-Kriminellen agieren global, verfügen über eine hervorragend funktionierende IT-Infrastruktur, um ihre kriminellen Aktivitäten durchzuführen, und kaufen sich das nötige Knowhow auf dem hierfür bestehenden schwarzen Markt ein. Profi-Hacker werden ebenso angeheuert wie so genannte Script-Kiddies, um bösartigen Code für Phishing-, Kreditkarten- und Erpressungsmaschen zu schreiben. Aber auch Viren, Würmer und Trojaner werden in Auftrag gegeben.

Auch in Deutschland nehmen Computer- und Internetkriminalität zu. Laut polizeilicher Kriminalstatistik stieg die Zahl der Computerdelikte 2003 im Vergleich zum Vorjahr um 3,8 Prozent auf insgesamt 59.691 polizeilich erfasste Fälle an. Davon entfielen rund 36.000 Fälle auf den Betrug mit PIN-geschützten Kreditkarten. Der Computerbetrug im engeren Sinne, also die Manipulation von Rechnern, Programmen und Daten in betrügerischer Absicht, nahm um 19,5 Prozent auf 11.388 Fälle zu.

Hohe Dunkelziffer

Gemessen an der Gesamtzahl der Straftaten rangiert Computerkriminalität derzeit allerdings noch unter ferner liefen. Ihr Anteil betrug 2003 lediglich rund 0,9 Prozent. Entsprechendes gilt für die registrierten Schadenssummen, die Bundesinnenminister Schily 2003 auf rund 58 Millionen Euro bezifferte. Das Dunkelfeld sei hier aber ganz besonders groß, vermutete Schily bei der Vorstellung der polizeilichen Kriminalstatistik im Mai letzten Jahres.

Einer der Gründe für die hohe Dunkelziffer im Bereich des Datendiebstahls und der Computerkriminalität liegt in der Schweigsamkeit vieler Unternehmen begründet, die Opfer von Cyberkriminellen werden. Die wenigsten Firmen, die beispielsweise einem Hackerangriff ausgesetzt waren, schalten Strafverfolgungsbehörden ein, informieren die betroffenen Kunden oder machen ihren Fall publik. Eine FBI-Untersuchung vom vergangenen Jahr kommt zu dem Ergebnis, dass lediglich zwanzig Prozent aller US-Unternehmen Hackerangriffe und Datendiebstahl zur Anzeige bringen. Die Hälfte aller Unternehmen verschweigt solche Vorfälle ganz. Sie befürchten negative Schlagzeilen, Rufschädigungen und Geschäftseinbußen.

Dies gilt nicht nur für Hackerangriffe, sondern auch bei Viren- oder Wurmattacken, wie die polizeilichen Ermittlungen gegen den Programmierer des Sasser-Wurms zeigen. Der junge Mann aus dem niedersächsischen Rotenburg richtete mit seinem Wurmschädling im Mai letzten Jahres weltweit vermutlich Schäden in Millionenhöhe an. Betroffen war zum Beispiel die US-amerikanische Fluggesellschaft Delta Air, die ihren gesamten Flugverkehr für etliche Stunden einstellen musste. Auch die britische Küstenwache hatte sich den Sasser-Wurm eingefangen und konnte nur eingeschränkt arbeiten. Und bei der Europäischen Kommission in Brüssel fielen mehr als tausend Computer vorübergehend aus. In Anbetracht solcher Auswirkungen sind die beim zuständigen Landgericht in Verden aktenkundig gemachten Schadenssummen verschwindend gering. Die meisten der betroffenen Firmen halten sich mit ihren Forderungen vornehm zurück. Sie befürchten offenbar Imageschäden, wenn bekannt würde, dass sie sicherheitstechnisch nicht in der Lage waren, den Sasser-Wurm abzuwehren und die Daten ihrer Kunden wirksam vor Angriffen von außen zu schützen.

Hinzu kommt, dass die betroffenen Unternehmen ihre Schäden exakt beziffern und eine Kausalität zwischen dem Wurmangriff und dem entstandenen Schaden nachweisen müssten. Das Gericht hätte dann zu prüfen, ob und inwieweit den klagenden Unternehmen Fahrlässigkeit oder gar ein Mitverschulden vorgeworfen werden könnte. Eine solche Untersuchung dürfte den wenigsten Unternehmen genehm sein, müssten sie ihre sensiblen (Sicherheits-)Karten dann doch vollständig auf den Tisch legen. Deshalb darf es kaum verwundern, dass die zuständige Staatsanwaltschaft im Falle des Sasser-Wurm-Schreibers trotz der geschätzten Millionenschäden in ihrer Anklageschrift nur eine Schadenssumme von 130.000 Euro nennt.

Informationspflicht die Lösung?

US-amerikanische Daten- und Verbraucherschützer nehmen den Datendiebstahl bei ChoicePoint zum Anlass, eine gesetzliche Informationspflicht zu fordern. Privatunternehmen und staatliche Stellen hätten bei einem Einbruch in ihre Computersysteme durch Hacker oder Schadprogramme gegenüber denjenigen, deren Datensätze betroffen seien, eine sofortige, konkrete Informationspflicht, erklären sie und fordern den US-Gesetzgeber auf, entsprechende Gesetze zu erlassen.

Sie weisen darauf hin, dass Kalifornien als einziger US-Bundesstaat seit dem 1.Juli 2003 ein Gesetz besitzt, das jedem Unternehmen vorschreibt, seine Kunden unverzüglich zu informieren, wenn Unberechtigte Zugriff auf deren persönliche Daten bekommen haben. Dieses Gesetz habe dafür gesorgt, dass der Datendiebstahl in der kalifornischen Niederlassung der Firma ChoicePoint überhaupt erst ans Licht der Öffentlichkeit gekommen sei.