40% aller WLAN-Netze in Deutschland sind schlecht gesichert

Zu diesem Ergebnis kam die „PC-Feuerwehr“ eine als Franchise-System bundesweit tätige Firma, die u.a. einen PC-Notdienst für Privat- und Geschäftskunden anbietet. Techniker der Firma waren bundesweit in Wohn- und Gewerbegebieten unterwegs und prüften dort den Verschlüsselungsstatus erreichbarer WLAN-Funknetze (Wardriving). Dabei fanden sie im Durchschnitt etwa 11% komplett offene (unverschlüsselte) WLAN-Netze sowie weitere gut 30%, die lediglich mit dem veralteten und bereits seit Jahren als unsicher geltenden Verschlüsselungsstandard WEP „geschützt“ waren.

Sein WLAN gar nicht oder nur zum Anschein zu schützen kann unangenehme Folgen haben.  So ist die Privatsphäre aller Benutzer gefährdet, weil über das unsichere drahtlose Netz ihr gesamter unverschlüsselter Datenverkehr komplett mitgelesen werden kann. Aber auch wenn andere über das Netz Illegales treiben steht der Betreiber des WLAN-Routers über die sog. „Störerhaftung“ mit in der Verantwortung und muss für juristische Konsequenzen geradestehen.

Bei der Absicherung der Netze gibt es den PC-Feuerwehrlern zufolge beträchtliche regionale Unterschiede. So sollen in Bad Schwartau um die 40% der WLANs unverschlüsselt sein. Zu den sichersten Städten zählt dagegen Darmstadt mit nur rund 5% unverschlüsselten Netzen. Was auf Gulli.com zu der Vermutung führte, dass die in dieser Region stark durch Unternehmen, Forschung und Lehre vertretene IT-Sicherheit sich dort positiv auf die allgemeine Awareness der Betreiber und Nutzer auswirkt. Die „rote Laterne“ hinsichtlich WLAN-Sicherheit trägt die Stadt Bad Schwartau davon. Dort fanden die Techniker 40 Prozent aller WLANs ungesichert vor.

Nichtsdestotrotz nimmt das Bewusstsein für Sicherheit in Deutschland weiter zu. Denn die PC-Feuerwehr führt diese Überprüfung der Sicherheitsstandards bereits seit fünf Jahren jährlich durch. Vor vier Jahren fand man noch 36 Prozent aller WLANs ungeschützt vor.

Und inzwischen werden WLAN-Router für den privaten Internetzugang meist mit voreingestellter starker Verschlüsselung ausgeliefert, sodass diese nicht erst manuell aktiviert werden muss (was manchem Nutzer gar nicht klar ist).

„Trotzdem spüren wir in der täglichen Arbeit immer noch Unsicherheiten bei unseren Kunden, wie sie sich und ihren Computer gegen ungewollten Missbrauch schützen können“, weiß Geschäftsführer Michael Kittlitz aus der Praxis seines bundesweit tätigen PC-Notdienstes zu berichten.

Dazu hat die PC-Feuerwehr eine Checkliste mit folgenden Empfehlungen erstellt:

1. Im WLAN-Router überprüfen, was als Verschlüsselungsprotokoll voreingestellt ist. Falls da WEP oder gar nichts drinsteht, die bessere Verschlüsselung WPA2 (oder eine andere verfügbare) einstellen.
2. Bei einem neuen WLAN-Router sollte das voreingestellte Passwort sofort geändert werden und aus mindestens acht (besser noch mehr) Zeichen – Zahlen, Buchstaben sowie Sonderzeichen – bestehen. Man sollte dieses Passwort regelmäßig ändern. Es ist der Generalschlüssel zum eigenen Netz.Die Stärke des Passwortes, gemessen an allgemeinen Gütekriterien, kann man auf http://passwortcheck.pc-feuerwehr.de/ testen lassen.
3. Die Fernkonfiguration der WLAN-Einstellungen sollte man möglichst deaktivieren. Dadurch entledigt man sich einer potentiellen Sicherheitslücke, ohne auf täglich benötigte Funktionalität zu verzichten.
4. Das Funknetz kann ohne Bedenken abgeschaltet werden, wenn es gerade nicht benötigt wird, z.B. über eine Steckerleiste. Problematisch wird das allerdings, wenn z.B. auch die Telefonanlage mit dranhängt (Kombigeräte) oder der WLAN-Zugang dauerhaft online sein soll (z.B. in Wohngemeinschaften).
5. Die Techniker der PC-Feuerwehr fanden heraus, dass 26 % der WLANs auf Funkkanal sechs, 24% auf Kanal elf und 18% auf Kanal eins liegen. Diese starke gemeinsame Nutzung weniger Kanäle führt in dicht besiedelten Gegenden oft zu langsamen Internetverbindungen oder Störungen. Deshalb empfehlen sie Kanal zehn, vier oder fünf zu nutzen. Diese werden nur von knapp zwei Prozent der Betreiber genutzt.

Das neue Bundesdatenschutzgesetz

Am 01.09. dieses Jahres trat eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Die zahlreichen Datenschutzskandale in der Wirtschaft hatten eine lang andauernde und noch keineswegs abgeschlossene Diskussion über strengere Datenschutzstandards sowie das Schließen von Lücken in der Datenschutzgesetzgebung ausgelöst.

Allerdings sorgten Lobbydruck aus der Wirtschaft (speziell der kommerziellen Datenhändler) sowie ein genereller politischer Unwillen dafür, dass bei Fragen der Neuregelung der Datennutzung zum Zwecke der Werbung sowie der Markt- oder Meinungsforschung großzügige Übergangsfristen festgeschrieben werden. Manche im Gesetz enthaltene Veränderungen werden daher erst im Laufe der kommenden Jahre rechtswirksam.  Nicht zuletzt hatte ja auch das Finanzministerium Steuergelder zum Ankauf gestohlener Daten ausgegeben, um so geheime Auslandskonten deutscher Steuerzahler in Staaten mit starkem Bankgeheimnis aufspüren zu können.

Bereits zum 01.04. waren Veränderungen im Datenschutzgesetz in Kraft getreten, mit dem Ziel ausufernden Datenhandel und Scoring mit Hilfe intransparenter Geheimverfahren in den Griff zu bekommen. Gegenstand des nun zweiten Änderungspaketes im Datenschutz sind vor allem die Themen

•    Stärkung der Rechte des Datenschutzbeauftragten (§ 4f Abs. 3)
•    Ordnungsgemäße Auftragsdatenverarbeitung (§ 11 Abs. 2)
•    Umgang mit Adresshandel und Werbung (§ 28 Abs. 3, § 34 Abs. 1a)
•    Elementarer Arbeitnehmerdatenschutz (§ 32)
•    Mitteilungspflichten bei Datenschutzverstößen (§ 42a)
•    Erhöhung der Bußgelder (§ 43 Abs. 3)

Stärkung der Rechte des Datenschutzbeauftragten
Ein betrieblicher Datenschutzbeauftragter genießt jetzt ähnlich starken Kündigungsschutz wie ein Betriebsrat. Um sicherzustellen, dass seine Kenntnisse auf dem aktuellen Stand der Technik bleiben, muss er sich regelmäßig fortbilden. Sein Arbeitgeber muss ihm dazu die Teilnahme an Fortbildungen ermöglichen und die entstehenden Kosten übernehmen.

Auftragsdatenverarbeitung
Von Auftragsdatenverarbeitung spricht man, wenn jemand im Auftrag und nach Weisung eines anderen dessen Datenbestände erhebt, verarbeitet oder nutzt. Ein gutes Beispiel hierfür ist die betriebliche Lohnabrechnung, die von vielen kleineren und mittleren Unternehmen an Dienstleister abgegeben wird. Dabei verbleibt die Verantwortung für das korrekte Tun des Auftragnehmers beim Auftraggeber. Er muss durch entsprechende vertragliche Vereinbarungen und tatsächliche Prüfungen sicherstellen, dass der Auftragnehmer datenschutzrechtlich korrekt arbeitet.  Im Gegensatz zur bisherigen Rechtslage können Nachlässigkeiten hierbei nun mit Bußgeldern von bis zu 50.000 € pro Fall geahndet werden.

Adresshandel und Werbung
Bislang genossen Adresshändler das sogenannte „Listenprivileg“. Sie durften Verbraucherdaten in Tabellenform zu Werbezwecken und zu Zwecken der Markt- und Meinungsforschung an Dritte weitergeben, wenn darin nur bestimmte Kategorien von Daten enthalten waren. Das umstrittene Listenprivileg bleibt auch weiterhin erhalten. Allerdings müssen Unternehmen künftig den Empfänger eines Werbeschreibens darüber informieren, woher sie die über ihn vorhandenen Daten haben. Die Werbung zwischen Unternehmen (B2B) ist davon allerdings nicht betroffen.

Weitere Erleichterungen wurden für Werbemaßnahmen an Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach im Gesetz genauer definierten Transparenzgeboten normiert.

Zudem sind Adresshändler nun verpflichtet, die Herkunft der von ihnen verwendeten Daten sowie die Identität des Empfängers für zwei Jahre zu speichern. Denn bisher scheiterten datenschutzrechtliche Anfragen von Verbrauchern bei Adresshändlern häufig daran, dass diese über die Herkunft ihrer Daten keine Auskunft geben konnten (oder wollten). Dem soll so ein Ende gemacht werden.

Arbeitnehmerdatenschutz
Spitzelskandale wie z.B. die bei Lidl oder der Deutschen Bahn wurden von Verantwortlichen im Nachhinein mit dem Bedürfnis nach präventiven Maßnahmen gegen Wirtschaftskriminalität begründet. Auch wenn hier oftmals Zielsetzung und Vorgehensweise auch bei wohlwollender Betrachtung nicht zusammenpassen wollten. Jetzt dürfen Beschäftigtendaten nur noch bei konkretem und nachweisbarem Anfangsverdacht zur Aufdeckung von Straftaten verwendet werden. Es muss zudem eine Interessensabwägung zwischen den schutzwürdigen Interessen des Beschäftigten und denen des Arbeitgebers stattfinden und dokumentiert werden, die im Zweifel einer rechtlichen Überprüfung standhält.

Mitteilungspflichten
Kommt es in Unternehmen künftig zu einem datenschutzrechtlich relevanten Vorfall und wird dieser bemerkt, so müssen die davon Betroffenen sowie die Datenschutzaufsichtsbehörden informiert werden. Ein solcher Vorfall tritt stets dann ein, wenn es um folgende, besonders sensible Informationsarten geht:

1. Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben,
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen, Ordnungswidrigkeiten oder den Verdacht auf solches beziehen,
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Inhaltlich muss diese Information bestimmten Mindestanforderungen genügen und unverzüglich herausgegeben werden. Lediglich laufende Ermittlungen der Polizei dürfen die Benachrichtigung Betroffener zeitlich verzögern. Würde die Benachrichtigung aller Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen, können statt persönlicher Kontaktierung auch eine (mindestens) halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen oder andere vergleichbare Maßnahmen eingesetzt werden.

Fallbeispiel :
Dem Bereichsleiter Vertrieb wird auf einer Dienstreise der Laptop mit darauf gespeicherten Kunden- und Abrechnungsdaten gestohlen (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). Er muss den Vorfall der zuständigen Aufsichtsbehörde melden. Sobald eine Information an die Betroffenen im Falle einer Strafanzeige einen polizeilichen Ermittlungserfolg (Diebstahl) nicht mehr gefährdet, müssen diese ebenfalls über den unrechtmäßigen Datenabfluss informiert werden.

Erhöhung der Bußgelder
Der Bußgeldrahmen für Verstöße gegen den Datenschutz wurde für einfache Verstöße auf 50.000 € und für schwerwiegende Verstöße auf 300.000 € pro Fall aufgestockt. Wurden aus Datenmissbrauch Gewinn gezogen, kann dieser durch höhere Bußgeldansätze eingezogen werden, da künftig der Grundsatz gilt, dass die Geldbuße den wirtschaftlichen Vorteil aus den Datenschutzverstößen übersteigen soll.

Zusammenfassend lässt sich sagen, dass ein Teil der Forderungen, den Datenschutzexperten bereits seit Jahren erheben, nun nach offensichtlichem Handlungsbedarf tatsächlich umgesetzt wurde. Es bleibt abzuwarten, in wie weit die personell nur sehr sparsam ausgestatteten Datenschutzaufsichtsbehörden jedoch überhaupt in der Lage sein werden, das Gesetz angemessen umzusetzen.

Allerdings halte ich es nur für eine Frage der Zeit, bis z.B. Verbraucherschutzverbände und Gewerkschaften öffentliche Datenbanken einrichten, in denen meldepflichtige Datenschutzverstöße allgemein zugänglich gesammelt werden. Der damit verbundene Reputationsverlust dürfe speziell große Unternehmen und Markenfirmen erheblich mehr treffen, als das (gewinnmindernde und daher steuerlich absetzbare) Bußgeld.

Wie so etwas aussehen könnte, ist unter http://datalossdb.org/, einer von der Open Security Foundation betriebenen öffentlichen Datenbank für datenschutzrelevante Sicherheitsprobleme, zu sehen (auch als RSS-Feed sowie über Twitter abonnierbar).

Von Fischern und Farmern

Zu den seit Jahren beliebten und zunehmend eingesetzten Methoden des Trickbetrugs im Internet zählen Phishing und Pharming. Wie in der Überschrift bereits angedeutet, geht es dabei um das „Einfangen“ bzw. „Abernten“ von Informationen, die es ermöglichen, jemanden finanziell zu schaden.

Beim Phishing (password fishing) werden Internetnutzer dazu verleitet, eine Webseite aufzurufen und dort z.B. Identifikations- und Transaktionsdaten für einen Bankkontenzugriff einzugeben. Beispielweise, in dem sie eine Mail erhalten, der entnommen werden kann, dass ihre Sparkasse etwas an ihrem Online-Banking-System umgestellt hätte und daher ein erneuter Login mit PIN, TAN und Bestätigung erforderlich sei, um das Bankkonto weiter nutzen zu können.

Das ist zwar Unsinn und die Banken warnen inzwischen regelmäßig ihre Kunden, dass sie grundsätzlich von sich aus keine Zugangsdaten per Mail abfragen. Aber es funktioniert immer wieder. Waren die Phishing-Mails vor Jahren noch an ihrer meist kruden Orthografie erkennbar, sind sie heute i.d.R. professionell getextet und layoutet und so von einer „offiziellen“ Mail eines Unternehmens kaum zu unterscheiden.

Erfordert aber das Fischen nach Bankdaten per Mail immerhin noch die aktive Reaktion darauf durch den Nutzer, kommt eine weiter entwickelte Variante dieses Angriffes – das Pharming (password harvesting)  – ohne dessen bewusstes Zutun aus.  Dazu wird ein Trojaner auf dem Rechner des Benutzers platziert (z.B. durch einen „Drive-by-Download“). Sobald dieser die Webseite seiner Bank aufruft, wird er durch den Trojaner auf eine andere, optisch aber identisch wirkende Webseite umgeleitet. Dort gibt er dann seine Konten- und Transaktionsdaten direkt ins Datenbanksystem des Passwortabfischers ein, in der Annahme im Online-Banking-System seiner Bank zu arbeiten.

Angriffe dieser Art werden auch als „Man-in-the-middle-attack“ (Mittelsmann-Angriff) bezeichnet, da sich ein Dritter in eine geschäftliche Transaktion einklinkt, um unbemerkt die Transaktionsdaten abfischen zu können. Und es müssen nicht nur Bankdaten sein, auf die man es absehen kann. Auch Zugänge zu kostenpflichtigen Online-Diensten wie World-of-Warcraft oder Bezahlsystemen wie Pay-Pal etc. haben ihren Wert.

Technisch steht dabei eine Manipulation des DNS-Systems dahinter. Wird eine WWW-Adresse (URL) in einen Browser eingegeben, so schickt dieser die Eingabe an einen DNS-Server. Bevor er das tut, wird geprüft, ob diese URL kürzlich schon mal aufgerufen wurde. Dann steht die IP-Adresse meist bereits in einer bestimmten Datei des Betriebssystems und die Wartezeit auf die Antwort des externen DNS-Servers kann übersprungen werden. In dieser sog. „Hosts-Datei“ kann ein Trojaner unbemerkt eine andere IP-Adresse interlegt haben, so dass der Aufruf z.B. einer Bank-URL tatsächlich auf eine andere Seite führt, die nur genauso aussieht.

Doch was tut man gegen solche Angriffe? Wie schützt man sich persönlich davor?

Wie bei den meisten Internet-Gefahren für Endnutzer durch eine wirkungsvolle Kombination aus Technik und gesundem Menschenverstand.

Bei Phishing-Mails wird häufig mit HTML-Formatierungen im Mailtext gearbeitet. So kann z.B. ein Link eine Originaladresse anzeigen, während das unsichtbare Linkziel auf die Adresse der gefälschten Webseite verweist (sog. „Link-Spoofing“). Gängige Mailprogramme erkennen das und zeigen beim Klick darauf einen Warnhinweis an.

Das kostenlos erhältliche Programm „Spybot Search & Destroy“ von Safer Networking hilft Spyware, Trojaner etc. vom heimischen PC fernzuhalten. Zusätzlich enthält es eine laufend aktualisierte Liste gängiger Betrugswebseiten und vermerkt in Ihrer Host-Datei, dass Aufrufe solcher Seiten durch Umleitung auf die IP-Adresse Ihres eigenen Rechners (127.0.0.1) blockiert werden. Browser geben dann lediglich eine Fehlermeldung aus. Welche Seiten Spybot so sperrt, können Sie im Programm nachbearbeiten, falls wider Erwarten auch mal eine für Sie wichtige Seite in den Sperrfilter hineingeraten ist.

Speziell beim Online-Banking und –Broking kann der Einsatz spezieller Software statt der Weboberflächen im Browser Phishing und Pharming deutlich erschweren.

Neuere Sicherheitspakete für PCs enthalten neben einem Virenschutz meist auch eine Komponente zur Vorfilterung von Mails nach potentiell gefährlichen Code-Elementen. Falls noch nicht vorhanden, sollte ein solcher Schutz nachgerüstet werden.

Wenn Sie eine Bankseite aufrufen, sehen Sie sich nach dem Seitenaufbau die URL im Browser nochmal genauer an. www.volksbank.de ist nicht dasselbe wie www.volksbank1.de oder www.volksbánk.de (ja auch solche Sonderzeichen sind in URLs mittlerweile möglich, aber noch sehr selten).

Und nicht zuletzt, sollte jeder Text (egal oder Mail oder Webseite), der eine kommerzielle Transaktion auslöst, sehr sorgfältig gelesen, verstanden und ggf. auch inhaltlich hinterfragt werden.

Das Internet vergisst nichts

Das Internet hat für viele etwas Anonymes. Man kann darin Unmengen an Informationen sichten, ohne dass jemand davon erfährt, was man wann und wo liest. Man kann unter Pseudonymen in Foren, Blogs, sozialen Netzwerken und anderen Kommunikationsplattformen schreiben.

Tatsächlich ist es nirgendwo leichter, bewusst aber auch oft unbemerkt sehr viel private Informationen über sich ungewollt und (zunächst oft) unbemerkt weltweit zu verteilen. Denn das Internet ist eines der transparentesten Informations- und Kommunikationssysteme weltweit. Internetprovider speichern Verbindungsdaten über mehrere Monate hinweg. Betreiber von Websites sammeln und analysieren die Daten von Benutzern, um so Rückschlüsse auf Attraktivität einzelner Inhalte sowie das Benutzerverhalten insgesamt ziehen zu können. Ein in diesem Zusammenhang gern genutztes Werkzeug ist das datenschutzrechtlich umstrittene Google Analytics.

Auf Webseiten oder den Datenbanken sozialer Netzwerke wie Facebook, MySpace, StudiVZ oder XING sind die dort abgelegten Texte und Fotos noch Jahre später zu finden. Den Netzwerken liegt oft ein bestimmter Ansatz zugrunde. Manche richten sich an Nutzer aus einer bestimmten Region, andere an Personen in bestimmten Altersgruppen (z.B. Schüler oder Studierende), wieder andere an private oder geschäftliche Nutzer. Dennoch sind alle sozialen Netze grundsätzlich weltweit für fast jeden verfügbar. Egal ob er der Zielgruppe angehört oder nicht.

Selbst wenn eine Webseite vom Betreiber aus dem Netzt genommen wird – der Google-Cache (eine Art Zwischenspeicher von Google um die Suchmaschine zu beschleunigen) findet sie immer noch. Und der Dienst Archive.org verfolgt das Ziel, möglichst große Teile des Internets dauerhaft in einer Art virtuellen Bibliothek zu archivieren. Für viele Websites lässt sich dort deren ganze Geschichte einschließlich aller Änderungen bis zur Erstveröffentlichung zurückverfolgen. So liegen für www.gabal.de Archivdaten bis ins Jahr 2000 zurück abrufbar vor.

Als vor einigen Monaten das Buch „Die Weiterbildungslüge“ erschien, löste es eine kontroverse Diskussion bzgl. seiner Inhalte aus. Gerade Personaler und Weiterbildner diskutierten die Thesen des Autos (der das Buch unter dem Pseudonym „Richard Gris“ verfasste) teilweise engagiert und kontrovers. Man wird diese Diskussion online wohl noch in zehn Jahre exakt nachvollziehen können.

Es gibt noch ein weiteres Langzeitgedächtnis im Internet: das sog. „Usenet“. Das Usenet ist ein weltweites Netzwerk, das Diskussionsforen („Newsgroups“) aller Art bereitstellt und an dem grundsätzlich jeder teilnehmen kann. Die Teilnehmer verwenden dazu spezielle Programme, die Newsreader, deren Handling an Mailprogramme erinnert. Vieles von dem, was von Nutzern vor Jahren im Usenet an Beiträgen geschrieben wurde, kann auch heute noch ganz ohne spezielle Software über die Google-Funktion „Google Groups“ (ein sehr großes Usenet-Archiv) wiedergefunden werden. Ebenfalls von Google wird eine weitere Suchfunktion der besonderen Art angeboten: die Bildersuche von Google. Mit ihr lassen sich gezielt Bilder aller Art (z.B. von Personen, Orten, Gegenständen) suchen und so nachvollziehen wann, wo und von wem diese Bilder in welchem Kontext veröffentlicht wurden.

Wer demnach etwas ins Internet einstellt – sei es nun eine Website, ein Blogeintrag, ein Kommentar in einem Forum oder auch Bilder, Videos oder Podcasts – sollte davon ausgehen, dass das Objekt über kurz oder lang nicht mehr löschbar und auf ewig im Internet zu finden sein wird. Ein „Versenden“ wie im Rundfunk oder Fernsehen, wo nach Ausstrahlung der Sendung bald nichts mehr davon zu finden ist, gibt es im Internet nicht. Das macht es erforderlich sich Gedanken darüber zu machen, was man wo und zu welchen Zeck im WWW publiziert. Denn gerade Unternehmer, freiberuflich Tätige oder Experten aller Art können nicht auf eine sorgfältig aufgebaute und gepflegte Online-Reputation verzichten. Für sie ist es geradezu verpflichtend ihre Angebote auf Webseiten darzustellen, in Fachforen und Blogs ihres Metiers mit zu diskutieren, Fachartikel (auch) online zu publizieren und so dafür zu sorgen, dass eine Suche nach ihrem Thema ihren Namen und ihre Angebote zutage fördert. Und eine Suche nach ihrem Namen die Themen mit denen sie in Verbindung gebracht werden wollen. Der Aufbau einer solchen Online-Reputation kann durchaus aufwendig sein und mehrere Jahre Zeit in Anspruch nehmen. Jede im Internet veröffentlichte Sache, die sich mit dem eigenen Namen in Verbindung bringen lässt, wird Bestandteil davon.

Vielleicht werden Menschen ohne Online-Reputation in fünf bis zehn Jahren erhebliche Probleme haben, an Aufträge, Arbeitsplätze oder Geschäftspartner zu kommen. So wie heute schon jemand der a) einen schlechten Schufa-Eintrag oder b) gar keinen Schufa-Eintrag hat (also schufa-technisch eigentlich gar nicht existiert) Probleme hat, an einen Mobilfunkvertrag zu kommen.

Einige grundsätzliche Überlegungen zum Thema Eigenmarketing und PR-Strategie sind daher heute auch für jene Berufsgruppen nützlich, die sich bislang noch nicht damit befassen mussten. Bestandteil dieser Überlegungen sollte auch die Frage nach dem sein, was man keinesfalls über sich ins WWW stellen will (z.B. peinliche Bilder und privateste Details des eigenen Lebens). Kein Unternehmer käme auf die Idee, Bilder und Videos von sich selbst in peinlichsten Situationen ins Netz zu stellen. Und dennoch tun gerade Jugendliche dies täglich auf Plattformen wie MySpace, YouTube oder Facebook. Oft ist ihnen gar nicht bewusst, dass dieses Material auch Jahre später noch von jedem wiedergefunden und weiterverbreitet werden kann.

Datenschutz und Informationssicherheit sind keine rein technischen Probleme. Oft beginnen sie mit persönlichen Einstellungen und Werthaltungen, die rein gar nichts mit Computern zu tun haben. Man könnte auch von einer Form von „informationellem Selbstschutz“ sprechen.

Datenschutz als Qualitätsmerkmal

Lidl, Telekom, Deutsche Bahn – die Kette namhafter deutscher Unternehmen, die wegen Problemen im Zusammenhang mit Datenschutzverstößen in der Presse landen, wird zusehends länger. Die dann oft recht hilflosen Äußerungen der Verantwortlichen vor laufenden Kameras verschlimmern das Ganze dann meist noch. Wie erst kürzlich Hartmut Mehdorn, Vorstandvorsitzender der Deutschern Bahn AG schmerzlich erfahren musste, als er sich auf Druck der Gewerkschaften für die Ausspähung hunderttausender Mitarbeiter öffentlich entschuldigen musste.

Kein Zweifel – Datenschutzthemen werden von der breiten Öffentlichkeit inzwischen ähnlich sensibel bewertet wie Gammelfleischskandale oder giftiges Spielzeug. Der damit verbundene Imageverlust kann für Firmen drastische bis ruinöse Folgen haben. Zwar weiß kaum jemand, was die nur 46 Paragraphen des Bundesdatenschutzgesetzes (BDSG) nun konkret beinhalten. Aber für Qualitätsfragen sind auch diejenigen Verbraucher sensibel, die keine Experten für Lebensmittelrecht oder Produkthaftung sind.

Gerade für Selbständige und Unternehmer lohnt es sich daher, sich über Fragen des Datenschutzes Gedanken zu machen. Auch ohne das Gesetz und die dazugehörigen Kommentierungen der Rechtsprechung im Einzelnen gelesen und verstanden zu haben, kann das Datenschutzniveau eines Unternehmens aus Kundensicht bereits durch die Anwendung einiger weniger Grundprinzipen deutlich verbessert werden.

Datensparsamkeit
Das Grundprinzip der Datensparsamkeit bedeutet, dass nur so viele Daten erhoben und verarbeitet werden, wie für den damit verfolgten Zweck unbedingt nötig sind. Und nicht mehr. Für das Verschicken eines Newsletters ist eine gültige Mailadresse nötig, kein komplettes Interessenprofil und keine Telefonnummer. Für die Zustellung einer Ware werden ein Namen und eine Postanschrift sowie die Zahlungsdaten benötigt, kein Lebenslauf, keine Kenntnis der zuvor besuchten Webseiten des Käufers und keine Konsumprofile. Schon mit der damit gerne verbundenen automatisierten Schufa-Abfrage bewegt man sich in genau genommen in einer rechtlichen Grauzone, die sich hauptsächlich aus althergebrachter Gewohnheit aber durch sonst nichts rechtfertigt.

Datenvermeidung
Für viele geschäftliche Vorgänge sind gar keine personenbezogenen Daten erforderlich. In jedem Supermarkt, an jeder Tankstelle und jedem Kiosk werden Waren völlig ohne Daten anonym verkauft. Niemand käme auf die Idee, sich irgendwo zu registrieren und einzuloggen, um beim Discounter seinen Einkauf zu bezahlen. Diese Praxis ist überhaupt erst durch den e-Commerce aufgekommen, wäre aber auch dort längst nicht in dem Maße erforderlich wie heute üblich.

In vielen Geschäftsprozessen werden mehr Daten erhoben und verarbeitet, als für Ablauf und Zielsetzung des Vorgangs nötig sind. Ziel ist dabei oft ein Sekundärnutzen durch Aneignung dieser Daten, um daraus Informationen über die Kunden gewinnen zu können. Das dies ohne ausdrückliche Zustimmung der Kunden zu dieser, über die reine Geschäftsabwicklung hinausreichende, Nutzung gar nicht zulässig und damit illegal ist, entgeht vielen Datensammlern.

Fremde Daten wie fremdes Eigentum respektieren
Das Verarbeiten personenbezogener Daten anderer Menschen ist datenschutzrechtlich betrachtet erst mal verboten, es sei denn es wurde durch ein Gesetz, eine vertragliche Grundlage oder eine Einwilligung der Betroffenen im Einzelfall und bezogen auf einen ganz bestimmten Zweck erlaubt. Man spricht auch von einem Verbot mit Erlaubnisvorbehalt. Damit soll sichergestellt werden, dass jeder selbst Eigentümer seiner persönlichen Daten bleibt, dass dieses Dateneigentum respektiert wird und der Dateneigentümer mit seinen Daten machen kann was er selbst will (das Recht auf informationelle Selbstbestimmung).

Ist man sich daher nicht wirklich sicher, ob man die personenbezogenen Daten Dritter verwenden darf, sollte man im Zweifel eher darauf verzichten. Oder sich eben die Einwilligung dieser Personen besorgen. Alle Datenschutzskandale der jüngeren Vergangenheit hatten ihren Ursprung darin, dass man personenbezogene Daten Dritter nutzte, ohne diese vorher um Erlaubnis zu bitten oder sie auch nur darüber zu informieren (so dass sie der Verwendung ihrer Daten nicht widersprechen konnten).

Für viele Dinge im e-Business ist die Nutzung personenbezogener Daten von Kunden allerdings wirklich nötig. E-Shop-Systeme, e-Learning-Plattformen, Forensysteme oder Web 2.0-Anwendungen sind da nur einige Beispiele. Gerade bei kommerziellen Projekten kann es da sinnvoll sein, den Respekt vor anderer Leute Daten sowie die Berücksichtigung datenschutzrechtlicher Vorgaben durch ein Prüfsiegel nachzuweisen.

So hat z.B. die Initiative D21, ein gemeinnütziger Verein zur Förderung der Verbreitung und Nutzung des Internets in Deutschland, einen Katalog von Qualitätskriterien für kommerzielle Internet-Angebote (PDF, 155 kb) zusammengestellt, der auch datenschutzrechtliche Auflagen umfasst. Auf der Website www.internet-guetesiegel.de werden zudem fünf Prüfsiegel von unterschiedliche Prüfgesellschaften vorgestellt, mit denen man das Qualitätsniveau des Datenschutzes für Kunden deutlich sichtbar auf der Webseite nachweisen kann.

Drive-by-Downloads – Angriff auf arglose Surfer und was dagegen getan werden kann

Die meisten PC-Anwender dürften schon etwas von Viren, Trojaner, Spyware oder ähnlichen Ausprägungen von Schadsoftware gehört oder gelesen haben. Zumeist muss man dazu selbst Software (aus oft zweifelhafter Quelle) auf dem Rechner installieren. Denn ein Virus oder Trojaner ist nichts anderes als ein Programm (meist in ein anderes eingebettet), dass durch aktives Zutun des Benutzers einmal in Gang gesetzt werden muss, um seine Schadwirkung entfalten zu können.

Bei neuere Formen von Schadsoftware, den sog. „Drive-by-Downloads“ ist das nicht mehr nötig. Dabei handelt es sich um Schadcode, der unsichtbar in Webseiten eingebettet ist und durch Sicherheitslücken der gängigsten Browser unbemerkt auf den PC des Surfers gespült wird, während man im Internet surft. Einmal auf dem eigenen Rechner angekommen, wird die Schadsoftware meistens unbemerkt nach geldwerten Daten suchen (z.B. Zugänge und Passwörter für kostenpflichtige Internetdienste, Homebanking, Kreditkartendaten, e-Mail etc.), die sich vom Angreifer leicht weiterverkaufen lassen. Oder sie wird den PC zum fernsteuerbaren Rechner umfunktionieren, der zur Weiterverbreitung von Massenwerbemails (sog. SPAM) oder zur Zwischenlagerung illegaler Daten  wie etwa Raubkopien oder Kinderpornografie benutzt werden kann – während der ahnungslose Benutzer daran weiterarbeiten kann, ohne etwas zu bemerken.

Das Risiko kann durch das bewusste Meiden der „Schmuddelecken und Hinterhöfe“ des Internets nicht wirklich reduziert werden. Denn auch Publikumswebseiten z.B. von Zeitschriften oder Fernsehsendern enthalten oft Werbebanner und aktive Elemente, die von Dritten eingespielt werden. Oder sie setzen ihre Webseiten aus zahlreichen Elementen zusammen, die von vielen Rechnern zusammengeholt werden (das macht der Browser automatisch) von denen auch einer gehackt und mit Schadsoftware bestückt werden kann.

Ein Drive-by-Download funktioniert vom Prinzip her wie ein Wurfanker. Einmal gut platziert, können zahlreiche Eindringlinge daran emporklettern und über Mauern hinweg ins Innere eines Hauses gelangen.

Doch was kann man dagegen tun? Zum einen lohnt es sich durchaus, die 30-50 € für die Jahreslizenz eines guten kommerziellen Virenscanners auszugeben. Denn diese Programme erkennen zahlreiche solcher Angriffe und können sie auch abwehren. Die oft funktionell sparsamer ausgestatteten kostenlosen Scanner können das oftmals (noch) nicht.

Aber auch Browser lassen sich sinnvoll ergänzen. So analysiert die kostenlose Erweiterung Finjan Secure Browsing, erhältlich für Internet Explorer und Firefox, die Ergebnisse einer Suchmaschinensuche auf potentiell gefährlichen Seitencode und zeigt dies im Suchergebnis an. Die Analyse beruht auf den aktuellen Datenbankbewertungen von Finjan, einem Anbieter von Sicherheitssoftware.

Die Browsererweiterung Web of trust , verfügbar für Firefox, fügt ein zusätzliches Symbol in die Symbolleiste des Browsers ein. Ein Klick darauf öffnet ein Fenster, das anzeigt, wie andere Benutzer die aktuell angezeigte Website hinsichtlich Vertrauenswürdigkeit, Zuverlässigkeit des Anbieters, Datenschutz und Jugendschutz eingestuft haben.

Drive-by-Downloads basieren auf Skriptsprachen wie Javascript, Active-X etc. die es ermöglichen im Browser fremden Programmcode von Webseiten herunterzuladen und auf dem eigenen Rechner auszuführen. Viele Webseiten realisieren so anspruchsvollere und benutzerfreundlichere Funktionen. Wer auf Nummer Sicher gehen will und Firefox benutzt, kann mit der Erweiterung NoScript den Stecker ziehen. Sie blockiert die Ausführung zahlreicher Arten aktiver Inhalte im Browser. Bemerkt man auf einer regelmäßig genutzten und als sicher eingestuften Seite das Fehlen von Funktionen, kann man diese Seite ganz oder teilweise vom NoScript-Schutz ausnehmen. Das Programm realisiert dadurch das von Sicherheitsexperten empfohlene „Prinzip der schwarzen Liste“ (alles ist erst mal verboten, nach Bedarf werden einzelne Aktionen vom Benutzer wieder erlaubt).

Ein weiteres nützliches Helferlein aus der Gruppe der Firefox-Erweiterungen ist Ad Block Plus, ein Werkzeug das Werbebanner aus dem Internet-Datenstrom herausfiltert. Drive-by-Downloads, die über Werbebanner und damit verbundenen Skriptcode eindringen wollen, werden so effektiv daran gehindert. Als Nebeneffekt werden viele Webseiten dadurch schneller dargestellt und wirken übersichtlicher und leichter lesbar.

All diese Maßnahmen können die Gefahr von Ausspähung und Diebstahl eigener Daten zwar nicht völlig ausschließen. Sie helfen jedoch, das Risiko deutlich zu reduzieren. So wie das Schloss an der Tür und die Scheibe im Fenster.

Kooperation mit GABAL e.V.

Ich bin schon seit längerem Mitglied im GABAL e.V. Die Gesellschaft zur Förderung Anwendungsorientierter Betriebswirtschaft und Aktiver Lernmethoden in Hochschule und Praxis e.V. wurde 1976 gegründet. Die GABAL-Gesellschaft versteht sich als Institution zur Förderung von ganzheitlicher Weiterbildung. Schwerpunkte ihrer Tätigkeit liegen in den Bereichen betriebswirtschaftlicher Organisation und Personalentwicklung, neue Methoden und Technologien des Lernens und der persönlichen Zukunftsfähigkeit. Mitglieder aus unterschiedlichen Fachgebieten und Bereichen der Arbeits- und Bildungswelt nutzen das GABAL-Netzwerk zur eigenen Weiterentwicklung.

Vor einiger Zeit traf ich auf dem Gautinger Sommerfest der Verbände Frau Schäfer, Leiterin der Bundesgeschäftsstelle des GABAL-Vereins. Sie schlug mir vor, monatlich einen Artikel für das GABAL-Blog zum Thema IT-Sicherheit und IT-Recht zu verfassen. Diese Artikel werden auch hier in meinem Blog veröffentlicht und sind dann neben ihrer eigentlichen fachlichen Zuordnung auch über die neue Kategorie bzw. das neue Schlagwort „GABAL“ zu finden.

Der erste Artikel wird die „12 Gesetze der sicheren Computernutzung“ beinhalten (s. Rubrik oben).