Von Daten-, Schein- und anderer Sicherheit
Der unbefugte Zugriff auf 40 Millionen Kreditkartendaten in den USA zeigt erneut dass Datenbanken oft unzureichend gegen Angriffe geschützt sind und einfachste Sicherheitsvorkehrungen außer Acht gelassen werden
In den letzten Monaten mehrten sich die Nachrichten über den unbefugten Zugriff auf persönliche Daten: amerikanische Auskunfteien wie ChoicePoint Inc. und Seisint meldeten ca. 30.000 Betroffene (Erneut Datenklau bei den neuen Big Brothers der Privatwirtschaft), beim Schuhhändler DSW Show Warehouse waren es bereits 100.000 (Schon wieder gab es in den USA einen Einbruch von Dieben in eine Datenbank). Es folgte die Citigroup mit dem Verlust eines Datenträgers, der Daten von ca. 4.000.000 Personen enthielt. Vorläufiger, aber sicherlich nicht endgültiger Höhepunkt dieser Pleiten, Pech und Pannen-Serie bildet nun Card Systems Solutions mit 40.000.000.
Auf Dave Farbers Mailingliste Interesting People wird der Vorfall bei Card Systems Solutions auch schon als mother of all credit card data thefts bezeichnet, bei dem nach derzeitiger Lage ein Computerscript eingesetzt wurde, welches eines Sicherheitslücke im System ausnutzte.
Unabhängig aber davon, wie diesmal der Zugriff erfolgte, stellt sich erneut die allgemeine Frage nach der Sicherheit solcher Datenbanken. Und - was noch wichtiger ist: Was bedeutet die offensichtlich mangelnde Sicherheit in Bezug auf weiter anwachsende Zahl der Datenbanken und Begehrlichkeiten sowie auf Projekte wie Total Information Awareness oder Matrix?
Es bedarf übrigens keines Blickes über den Großen Teich, um die fehlende Anwendung von Sicherheitsmaßnahmen in Bezug auf persönliche Daten zu konstatieren. Zwar waren die Daten, die auf dem von der Citigroup vermissten Datenträger enthalten waren, nicht verschlüsselt, gleiches ist jedoch auch von den bei Ebay aufgetauchten Festplatten der brandenburgischen Polizei zu sagen. Warum solche Daten nicht prinzipiell verschlüsselt werden, was auch bei einer versehentlich nicht erfolgten Löschung wie bei der vorgenannten Festplatte einen Sicherheitsgewinn gebracht hätte, wurde bis dato weder in den Medien diskutiert noch von den Betroffenen kommentiert. Auch von ChoicePoint gibt es noch keine Aussage darüber, warum erst spät auffiel, dass z.B. das vom Kunden angegebene Faxgerät nicht zum wirklichen Kunden führte, sondern zu einem Internetcafe o.ä. (Identitätsdiebstahl leichtgemacht).
Wenn jedoch diese Fragen nicht geklärt sind, werden Projekte wie die Matrix nicht zu mehr Sicherheit führen, vielmehr könnten sie sich als Goldgrube für jene erweisen, die derzeit noch mehrere Datenbanken kompromittieren müssen, um eine Identität möglichst exakt zu kopieren. Wird diese Problematik noch im Zusammenhang mit den momentan so begehrten biometrischen Daten gesehen, so könnten gerade diese letztendlich denen helfen, die sie eigentlich enttarnen sollten: Terroristen.
Die Einführung der biometrischen Pässe in Deutschland beispielsweise wird stetig forciert, die Kritik daran vom Bundesinnenminister ebenso stetig kritisiert und als Kompetenzüberschreitung angesehen. Der Bundesinnenminister sprach bei dem Thema auch schon einmal davon, dass doch der Bundesdatenschutzbeauftragte die Sicherheit der Pässe selbst bestätigt hätte - eine Auffassung, die Peter Schaar, wie er in einem Interview sehr deutlich sagte, nicht nachvollziehen kann. Kurz gesagt - es liegen zur Sicherheit der Pässe derzeit noch gar keine nachvollziehbaren Ergebnisse vor, was uns zu der gleichen Problematik wie bei den Datenbanken, verlorenen Datenträgern etc. führt.
Je mehr (mangelhaft gesicherte) Daten vorhanden und verknüpft sind, desto einfacher wird es, über eine Einzelperson so viel wie möglich zu erfahren und diese Informationen zu verwenden. Dies bietet nicht nur für Erpressung lohnende Angriffsziele. Bei den vorgenannten Terroristen wäre es vielmehr so, dass sie Unschuldige stark in den Fokus von Ermittlungen rücken könnten. Währenddessen könnten sie unerkannt agieren, darauf vertrauend, dass sie die angenommene Identität so gut wie möglich verkörperten, eine Fälschung dieser gar nicht in Betracht gezogen wird. Zurückgelassene, auf den ersten Blick eindeutige "Beweise" für die Identität des Straftäters, täten ein übriges.
Die Bedeutung der Unterscheidung von Datenquantität und -qualität
Die Haltung des Bundesinnenministeriums, jegliche Kritik sowohl an der Sicherheit der neuen Pässe als auch an der Fälschungsmöglichkeiten hinsichtlich biometrischer Daten zu ignorieren und ihrerseits das unbedingte Vertrauen in die biometrischen Daten als Instrument zur Terrorbekämpfung zu propagieren, wäre so nicht nur kontraproduktiv, sondern auch fatal. Gerade in Bezug auf das "Social Hacking", das Ausnutzen von Bekanntschafts- und Verwandtschaftsverhältnissen und dergleichen mehr, ist es wichtig, soviel wie möglich über Einzelpersonen zu erfahren. Matrix und Co. würden hierbei hilfreiche Werkzeuge sein. Und da der Datenaustausch auf europäischer Ebene durch Schengen II etc. wie auch zwischen der EU und den USA zunimmt (In die Welt von Kafka und Orwell), wären auch europäische Daten für die Terroristen erlang- und ausnutzbar. Die Instrumente, die zur Zeit als für die Sicherheit notwendig angepriesen werden, würden durch fehlende Datensicherheit nicht einmal mehr eine Scheinsicherheit bieten - im Gegenteil.
Verknüpfungen bereits vorhandener bzw. die Schaffung größerer Datenbanken können der Strafverfolgung, der Terrorbekämpfung dienen. Hierzu muss aber sowohl die Qualität der Daten als auch deren Sicherheit gewährleistet sein. Wird lediglich auf Quantität geachtet, so besteht zusätzlich zu den vorgenannten Problemen noch die Gefahr, dass die wirklich wichtigen Informationen im Datenwust untergehen.
. Diese beiden Aspekte müssen dringend diskutiert werden bevor weitere Angriffsziele entstehen, die in einer Endlosspirale zu mehr (Cyber-)kriminalität in Form von Identitätsdiebstahl, Stalking oder Schlimmerem, zu mehr Überwachung (als Folge auf die ansteigende (Cyber-)kriminalität) und wiederum zu mehr Datensammeln und weiteren Angriffspunkten führen. Allerdings steigt die Bereitschaft, zwischen Datenqualität und -quantität zu unterscheiden, zur Zeit nicht. Zumindest der deutsche Innenminister Schily hat in Bezug auf die Hooligandatei ja bereits deutlich gemacht, dass er Datenquantität für hilfreich hält. Zur Datenqualität oder zur Frage, inwieweit authentische ungesicherte Daten auch authentische Identitäten kreieren können, hat er sich bisher nicht geäußert.
Natürlich geht ein Innenminister, der sich auf Sicherheit konzentriert, nur den Aufgaben nach, die seine Position vorschreibt. Es wäre zu kritisieren, würde er dies nicht tun. Doch es bleibt für einen Innenminister nicht aus, sich auch mit den grundlegenden Fragen hinsichtlich ihrer Datenbegehrlichkeiten befassen. Denn das Bestreben, einem Land oder einem Staatenverbund Sicherheit vor Terrorismus und ähnlichen Gefahren zu gewährleisten, darf sich nicht darin erschöpfen, noch mehr wenig effiziente Maßnahmen zu verabschieden und noch mehr Daten zu erfassen und zu speichern. Die Verantwortlichen müssen sich hier auf eine offene Diskussion einlassen und ihre eigenen Sicherheitsmaßnahmen kritisch hinterfragen, bevor diese ausgenutzt werden und letztendlich mehr gefährden als Schutz bieten.