Cyber-Mobbing im Internet – der Kampf um die eigene Online-Reputation

Nicht alle Kriminellen im Internet sind hinter den Kreditkartendaten ihrer Opfer her oder wollen mit Hilfe von Hackern oder Trojanern in Unternehmensnetze eindringen, um dort Wirtschaftsspionage zu betreiben. Es ist gut möglich, dass viele Cybergangster vom Computern weniger verstehen, als das für solche Vergleiche gern herangezogene Rentnerpaar im Altersheim. Das zeigen die langsam aber stetig zunehmenden Fälle von Cyber-Mobbing und Cyber-Stalking.

Denn für diese Untaten ist reines Anwenderwissen völlig ausreichend. „Getuschel auf dem Schulhof war früher. Heute tragen vor allem Mädchen ihren Psycho-Zoff im Netz aus. Obszönes auf der Pinnwand, Demütigungen im Chat – schon Zwölfjährige sticheln hinterhältig und hemmungslos gegen Mitschüler. Für die Mobbing-Opfer geht oft eine Welt unter“ so führte ein Artikel von Carola Padtberg auf Spiegel Online vor einiger Zeit den Leser in das Thema ein.

Vor allem Jugendliche haben die Möglichkeiten sozialer Netzwerke und Communities im Web 2.0 als Plattform zum Mobben, Dissen und Stalken, kurz also zum Bedrohen und Belästigen ihrer pupertären Widersacher entdeckt. Während Schulhofraufereien aber meist rasch wieder vergessen sind und sich spätestens beim Eingreifen von Aufsichtspersonen, Eltern oder Streitschlichtern regulieren lassen, wurden Opfer von Cyber-Mobbing dadurch bereits in den Selbstmord getrieben. Was inzwischen in Teilen der USA dazu geführt hat, Cyber-Mobbing rechtlich als Straftat einzustufen, für die die Täter schlimmstenfalls zu Tode verurteilt und hingerichtet werden können (ein von pädagogischer Nachsicht geprägtes Jugendstrafrecht gibt es in den USA nicht).

Das Perfide beim Cyber-Mobbing ist seine Allgegenwart für das Opfer. Es kann überall und jederzeit angegriffen werden, auch wenn sich die Gegner auf anderen Kontinenten aufhalten. Das Internet relativiert Entfernungen. Und während Blessuren von Raufereien in der Schule bald wieder verschwinden, bleiben die Schmähungen, Beleidigungen und Verleumdungen im WWW im Prinzip auf ewig dort auffindbar, denn das Internet vergisst nichts. Zudem unterschätzen gerade Jugendliche oft die nachhaltige Wirkung solcher Internetattacken auf das Opfer.

So druckte ein Lehrer aus Nordrhein-Westfalen einmal alle SchülerVZ-Profile seiner Schüler auf Papier aus und hängte sie im Schulflur auf, wie Birgit Kimmel, pädagogische Leiterin der Organisation Klicksafe, die sich gegen Cyber-Mobbing engagiert, als Fallbeispiel berichtet. Die Schüler reagierten empört: Der Lehrer dürfe das nicht, das sei Privatsache. Doch erst diese Aktion des Lehrers, der dazu letztlich nur Informationen aus öffentlich verfügbaren Quellen nutzte, zeigte ihnen auf, wie heikel sowas werden kann. Zumal der Lehrer die Informationen nur ausgedruckt aber nicht verfremdet, verfälscht und dann in anderen Communities weiterverbreitet hat, wie es manche Cyber-Mobber tun. Personenfotos von Gesichtern beispielsweise so in Pornobilder einzumontieren, dass es den Anschein hat als hätte die Person an der dargestellten Sex-Szene teilgenommen, ist für Photoshop- oder Gimp-Anwender kein wirkliches Problem. Und diese Fotomontagen dann in global erreichbare soziale Netze wie Facebook oder Bildablagen wie Flickr hochzuladen, dauert Minuten und erfordert keine besonderen Kenntnisse.

„Den Jugendlichen ist die Öffentlichkeit des Internets gar nicht bewusst“, sagt Kimmel, „ebenso wenig wie die Dimension, die eine Demütigung bekommt.“

Doch die große Welle dürfte erst noch kommen. Denn in selben Maße, wie auch Erwachsene eine beruflich relevante Online-Reputation aufbauen, können auch Angriffe auf eben diese der Karriere der Betroffenen schaden. In Ländern mit schwachem Kündigungsschutz kann es heute schon vorkommen, dass Beschäftigte wegen übler Nachrede und Gerüchten über sie im Internet entlassen werden. Gerüchte die möglicherweise von Cyber-Mobbern und Konkurrenten gestreut wurden. Damit ist das „Brand Busting“ also das gezielte Angreifen von Markenbotschaften durch PR- und unternehmenskritische Aktivisten auch auf der privaten und persönlichen Ebene angekommen. Zumal geschickte Cyber-Mobber nur schwer zu identifizieren und rechtlich zu belangen sind.

Was inzwischen auch zu einer neuen Art von Dienstleistung geführt hat: Der Prüfung und bei Bedarf auch gezielten Aufwertung und Optimierung der eigenen Online-Reputation durch eine ganze Reihe spezieller Datenwachschutz- und Internetsäuberungsfirmen.

„Predator“-Drohnen mit Kaufsoftware gehackt und angezapft

Drohnen, d.h. unbemanntes, fern gesteuertes oder autonom funktionierendes, meist fliegendes Gerät, werden bei den technologieorientierten Streitkräften vieler Länder immer beliebter. Führend beim Einsatz unbemannter Kampfmaschinen ist die USA, obwohl auch die Bundeswehr zunehmend in Entwicklung und Einsatz von Drohnen investiert. Damit soll dem Umstand Rechnung getragen werden, dass die potentiell gesundheitsschädlichen Folgen von Kampfeinsätzen für das daran beteiligte Personal möglichst reduziert werden sollen.

Drohnen wurden zunächst primär zur Aufklärung und Ausspähung von Gegnern eingesetzt. Mit ihrer Weiterentwicklung und Verbreitung kam dann auch die gezielte Ausschaltung militärischer Anführer hinzu. Schließlich kann eine halbautonom operierende Drohne wie die amerikanische „Predator“ z.B. im afghanischen Bergland per Satellitenverbindung aus einem Einsatzzentrum in einer US-Vorstadt zum gezielten „Bejagen und Ausdünnen“ von Talibankämpfern verwendet werden, ohne dass sich der Drohnenlenker auch nur annähernd in ein echtes Gefecht hineinbegeben müsste.

Allerdings sind Drohnen auch ein hochinteressantes Angriffsziel für Cyber-Krieger aller Seiten. Das musste erst kürzlich auch die US-Army erfahren, als bekannt wurde, dass es iranisch-schiitischen Milizverbänden im Irak im Sommer 2009 gelungen war, Videodaten von Predator-Drohnen, die über eine ungeschützte (!) Schnittstelle übertragen wurden, abzufangen und mitzuschneiden. Dabei sollen unter anderem Informationen über US-Truppenbewegungen und Stützpunkte in die Hände der gegnerischen Kämpfer gefallen sein. Besonders spaßig: Die Irakis verwendeten dazu die Kaufsoftware „SkyGrabber“, die es für knapp 26 $ im Internet direkt beim Hersteller zu kaufen gibt und mit der man Satellitenübertragungen aller Art abhören und aufzeichnen kann.

Besonders heikel dabei ist, dass das US-Militär von diesem Sicherheitsproblem in den Predatoren wohl bereits seit den 1990ern wusste, die Lücke aber als unkritisch einstufte, solange sie nicht bekannt werden würde. Man ging naiverweise davon aus, dass Dritte nur solche Lücken ausnutzen würden, die offiziell bekannt sind, anstatt kreativ nach neuen, noch nicht entdeckten Schwächen im Design der gegnerischen Waffen zu suchen (security by obscurity). Und das, obwohl sich in fast jeder Armee der Welt Spezialisten mit der Beschaffenheit von Waffensystemen der Gegner beschäftigen.

Natürlich bestreiten die US-Militärs, dass zu irgendeinem Zeitpunkt die Möglichkeit oder die Gefahr bestanden hätte, dass die Drohnen übernommen wurden oder Dritte die Flüge manipuliert haben könnten. Trotzdem dürfte so – zumindest inoffiziell – eine fachliche Debatte über Schachstellen in Drohnen und anderem militärischen Gerät entstehen. Schließlich wird der Einsatz dieser teuren Geräte politisch vor allem mit der Möglichkeit zur Senkung und Vermeidung von Verlusten an Soldaten begründet. Das aber wäre hinfällig, wenn Hacker die Drohnen mit einfachen Methoden und preiswerten Tools angreifen oder gar ganz außer Gefecht setzen könnten.

Lt. Gen. David Deptula, der das US Air Force-Programm für unbemannte Fluggeräte leitet, erklärte dem Wall Street Journal, es sollen schon in absehbarer Zukunft neue Technologien und Verbesserungen eingesetzt werden. Wahrscheinlich wird man die Predatoren also mit verbesserter Hardware nachbessern. So ist etwa ein neues Kamerasystem namens „Gorgon Stare“ geplant, das es der Drohne ermöglichen soll, zeitgleich bis zu zehn Videofeeds aufzuzeichnen. Zudem sollen bessere Verschlüsselungstechnologien mehr Sicherheit bringen.

Nichtsdestotrotz dürfte das Hacken von Militär-Equipment längst eröffnet sein. Und solch naive Äußerungen wie die zur Schwachstelle, die aufgrund ihrer Unbekanntheit nicht ausgenutzt würde, machen deutlich, dass es für Freunde kreativer Techniknutzung in den Waffenkammern der US-Army noch viel zu entdecken gibt.

Wer sich für die Drohnentechnologie an sich interessiert, kann aber auch ganz ohne militärischen Bezug und völlig legal daran arbeiten. Beispielsweise beim Bau privater Mikrokopter, also ferngesteuerter oder teilautonom fliegender Mini-Hubschauer, die man z.B. mit Kameras bestücken und zu fliegenden Spähern ausbauen kann. So wird z.B. beim Chaos Computer Club bereits erwägt, der Polizeiüberwachung von Demonstrationen eine eigene Kameraüberwachung der Polizeitruppen entgegenzusetzen, um ggf. gewalttätige Übergriffe durch die Polizei dokumentieren zu können. Auch gibt es bereits Wettbewerbe für Drohnenbastler wie den Motodrone.

Kommt die staatliche Zwangsimpfung für PCs?

Bei Landwirten ist die staatliche Zwangsimpfung für Kälber gegen Blauzungenkrankheit aufgrund der Nebenwirkungen durchaus umstritten. Daher sorgte auch ein Vorschlag des eco – Verband der deutschen Internetwirtschaft e.V. auf dem IT-Gipfel kürzlich in Stuttgart für Diskussionsstoff.  Der eco schlug dort vor, unter dem Label „Deutsche Anti-Botnetz-Initiative“ eine Art Beratungs- und Unterstützungsangebot für Benutzer einzurichten, deren PCs von Schadsoftware befallen wurden.

Der eco dazu in einer Pressemeldung:

Ziel der Initiative ist, dass Kunden der teilnehmenden Internet Service Provider, deren PC ohne ihr Wissen Teil eines Bot-Netzes wurde, von ihrem Provider hierüber informiert werden und zugleich kompetente Unterstützung bei Beseitigung der Schadsoftware erhalten.

Die Unterstützung erfolgt in gestufter Form: Zunächst kann der betroffene Kunde eine Webseite besuchen, auf der er Informationen und Hilfsmittel zur Selbsthilfe zur Verfügung gestellt bekommt. Die zweite Stufe des Unterstützungsangebots stellt ein anbieterübergreifendes Beratungszentrum dar, das Kunden mit weitergehendem Beratungsbedarf telefonisch durch die erforderlichen Schritte zur Beseitigung des Schadprogramms sowie zur nachhaltigen Absicherung des PCs führt. Die Benachrichtigung der betroffenen Kunden soll nach Möglichkeit auf mehreren Kanälen erfolgen, sodass ein zuverlässiger Eingang beim Empfänger sichergestellt ist, etwa durch eine Vorschaltwebsite beim Öffnen des Browsers sowie zusätzlich per Post.

An sich eine gute Idee. Die sich aber rasch zu einen Problem für Datenschutz und Bürgerrechte entwickeln könnte. Denn Internetprovider wollen dazu den Datenverkehr ihrer Kunden analysieren, um diese dann zu kontakten und zu warnen. Und diesen Kunden ggf. den Internetzugang zu sperren, wenn sie nicht zusehen, dass sie mit Hilfe der angebotenen Unterstützung (0900-Nummer?) das Problem loswerden. Da ist sie also wieder: Die Internetsperre als Disziplinierungsinstrument. Kein Wunder, dass Vertreter der Regierung die Idee rasch als „gelungenes Beispiel privatwirtschaftlicher Verantwortungsübernahme für die Gesamtgesellschaft“ lobten.

„Zentrale Frage für uns ist, ab wann dürfen wir Internetnutzer sperren?“, so Sven Karge, Fachbereichsleiter beim eco daher auch zu Journalisten von Welt online. Im Eco sind schließlich viele Provider vertreten. Denn zu dieser Sanktion würden die Provider gerne greifen, wenn ihre Kunden sich auch nach Hinweisen durch die Unternehmen weigern, etwas gegen Schadsoftware auf ihren Rechnern zu unternehmen.

Um die Idee umzusetzen, müssten die Provider jedoch zunächst einmal Geld in die Hand nehmen. Weshalb ihnen auch das Innenministerium bereits eine Anschubfinanzierung und das Bundesamt für Informationstechnik (BSI) technische Unterstützung zusagten. Zudem müsste man an Verträge und AGBs ran. Denn bislang sind Internetprovider genau dafür zuständig, dem zahlenden Kunden eine funktionierende Internetverbindung in vereinbarter Qualität zur Verfügung zu stellen. Nicht mehr. Doch schon länger streben die Bitschieber nach neuen Aufgabenfeldern, da die reine Datenspedition eine recht austauschbare und daher dem Preiswettbewerb voll ausgesetzte Leistung ist. Beratungsdienste (zunächst kostenlos, später kostenpflichtig oder gleich per 0900-Nummer), die der Kunde in bestimmten Situationen in Anspruch nehmen muss, könnte da ein interessantes Zusatzangebot sein.

Technisch wäre das Überwachen von Kundenrechnern auf Auffälligkeiten für die Provider kein echtes Problem. Man könnte z.B. nach, für bestimmte Formen von Schadsoftware charakteristischen, Veränderungen im Lastprofil von Kunden suchen (vermehrter Traffic auf bestimmten Ports, Nutzung unüblicher Dienste / Protokolle …). Oder auch per Deep-Packet-Inspection (DPI) die Inhalte von Datenpaketen auffällig gewordener Rechner z.B. nach Befehlssequenzen zur Botnet-Steuerung durchsuchen, die zwischen Kontrollrechner und Bot hin und hergehen. DPI ist eine aus Gründen des Datenschutzes umstrittene Technik, die neben der Bespitzelung der Kunden auch zur Aufweichung der Netzneutralität durch das Wegfiltern oder Verzögern bestimmter Dienste (z.B. P2P-Datenverkehr oder unerwünschte Sprachtelefoniedienste) missbraucht werden kann.

Andererseits haben solche Ansätze auch ihre technischen Grenzen. Veränderungen im Nutzungsverhalten und im Inhalt von Datenpaketen können schließlich auch durch Installation neuer Programme, dem Einsatz von Zweitrechnern mit anderem Betriebssystem oder dem Teilen des Internetzugangs per WLAN in einer WG zustandekommen.

Und so sah sich der eco inzwischen zu einer Klarstellung genötigt. Zumal sich bereits etliche Stimmen aus der Politik kritisch zu den bürgerrechts- und datenschutzbezogenen Folgen des  Vorhabens geäußert hatten. Was auch zeigt, wie skeptisch und dünnhäutig die Menschen nach fortwährenden internetpolitischen Angriffen auf ihre Freiheiten im Netz inzwischen geworden sind.

So erläuterte Gisela Piltz (FDP) Heise online: „Natürlich ist es richtig und notwendig, die IT-Sicherheit zu verbessern, Spam zu bekämpfen und Malware aufzuspüren. Allerdings muss man sich schon einmal fragen dürfen, ob es eine staatliche Aufgabe ist, Steuergelder für ein Call-Center zum IT-Support bereitzustellen“. Es gebe ja auch keine staatlich finanzierte Hotline für Probleme mit dem eigenen Auto.

Stefan Krempl von Heise online weiter über Frau Piltz:

Die Innenpolitikerin machte zudem deutlich, dass auch im Kampf gegen infizierte Computer von Heimanwender der Datenschutz gewahrt bleiben müsse. „Eine generelle Überwachung des Internet-Datenverkehrs darf es nicht geben, dies ist auch im Koalitionsvertrag vereinbart“, betonte Piltz. Das mögliche Kappen von Netzzugängen oder eine Beschränkung des Internetzugangs allein auf eine Warnseite sei ein gravierender Grundrechtseingriff, der für die Liberalen nicht denkbar sei. Es sei rechtlich auch höchst fragwürdig, ob derartige Eingriffe über die Allgemeinen Geschäftsbedingungen verhältnismäßig wären. Eine potenzielle Pflicht zum Schutz gegen PC-Viren hält Piltz zudem genauso für unmöglich wie ein Kino- und Theater-Verbot für Menschen mit Erkältung.

Daher forderte die Piratenpartei die Regierung bereits dazu auf, bei dem geplanten Projekt auf gesetzliche Sanktionen zu verzichten.

Es ist daher gut möglich, dass die „Deutsche Anti-Botnetz-Initiative“ rasch wieder dorthin verschwindet, wohin bereits zahlreiche netzpolitische Vorhaben der Kategorie „gut gemeint – nichts dabei gedacht“ hin verschwunden sind: Ins politische dev0-Device bzw. die Rundablage.

Nachlese zum vierten deutschen IT-Gipfel

Gestern am 08.12. fand in Stuttgart der vierte deutsche IT-Gipfel statt. Dort berieten sich Regierungsvertreter, Wirtschaftslobbyisten und IT-Branchenverbände über den IT-Standort Deutschland im Allgemeinen sowie Regierungsvorhaben mit IT-Bezug im Speziellen.

Dabei werden häufig auch Themen mit Bezug zu Informationssicherheit und Softwarequalität beraten, weshalb man diese Gipfel nicht vorschnell als reines Schaulaufen von Politikern und Branchengrößen abhaken sollte.

Neu hinzu kam dieses Jahr das Thema (informationstechnische) Bildung und Ausbildung. Studentenproteste, besetzte Hochschulen und die wieder aufkeimende Diskussion um das Thema Fachkräftemangel hatten dafür gesorgt. Dazu soll es Schulungsangebote zu e-Skills für die Jugend, die nicht zu den „Digital Natives“ gehören, geben. Womit man wohl plant, die Kompetenzen der Heranwachsenden  in einer digital geprägten Kultur zu stärken und ihnen so eine bessere Teilhabe am gesellschaftlichen Netzleben zu ermöglichen.

(was aber übel ins Auge gehen kann – teilhabende Netzbürger gelten i.A. als sehr bürgerrechtsensibel, was die Verzehnfachung der Mitgliederanzahl der Piratenpartei in diesem Jahr sowie die Proteste gegen von der Leyens Internetsperren zeigten)

Im Bereich der Forschungsförderung soll mit  „Autonomik – Autonome und simulationsbasierte Systeme für den Mittelstand“ ein neuer Themenschwerpunkt geschaffen und mit 70 Millionen Euro ausgestattet werden. Dabei soll es um Dinge wie intelligente Werkzeuge und Systeme, die sich via Internet vernetzen, Situationen erkennen und Nutzer intelligent unterstützen, gehen. Also im Prinzip um die Zusammenführung von Ideen aus der Telematik mit dem „Internet der Dinge“ sowie der allgegenwärtigen Verfügbarkeit von Informationstechnik (ubiquitous computing).

Ein weiteres zentrales Thema war die Internetregulierung. „In den vergangenen Jahren gab es in der Internetpolitik viele Gesetzesinitiativen und in der Folge viel Verunsicherung“, so BITKOM-Präsident August-Wilhelm Scheer auf dem IT-Gipfel. Für Kritik in der Öffentlichkeit sorgten insbesondere die Netzsperren zur angeblichen Eindämmung von  Kinderpornografie im Internet aber auch Vorratsdatenspeicherung, Online-Durchsuchung oder bestehende Probleme im Urheberrecht. Dabei steht die Wirtschaft häufig für die praktische Durchsetzung in der Pflicht, was den Branchenverbänden sauer aufstößt. „Es darf nicht länger eine Trial-and-Error-Politik auf dem Rücken der Internetwirtschaft geben“ so Scheer. Stattdessen müsse wieder die richtige Balance zwischen Freiheit und Sicherheit geschaffen werden. Allerdings fielen in der Vergangenheit gerade Wirtschaftsvertreter bei internetpolitischen Themen oft rasch um, sobald man ihnen bei den Kosten entgegenkam oder ihnen Steuervorteile versprach.

Als gemeinsames Abschlussdokument wurde die sog. „Stuttgarter Erklärung“ verfasst, in der neben recht allgemeinen und unverbindlichen Formeln auch Themen wie Breitbandausbau und Netzinfrastrukturen, GreenIT, informationstechnische Forschungsförderung sowie Software-Entwicklung in Deutschland auftauchen.

So plant die Regierung im kommenden Jahr ein Kompetenzzentrum IT-Sicherheitsforschung einzurichten, in dem entsprechende Programme des Forschungsministeriums und des Innenministeriums zusammengelegt und weiter ausgebaut werden sollen.

Vom Gesichtspunkt der IT-Sicherheit und der Softwarequalität her betrachtet, bleibt abzuwarten, welche konkreten Auswirkungen insbesondere die Ankündigungen zum Kompetenzzentrum IT-Sicherheitsforschung sowie zu den Programmen im Bereich der Software-Entwicklung haben werden.

Wie Normen entstehen und Standards gesetzt werden

Immer mehr werden Vorgänge in Wirtschaft und Technik neben Gesetzen auch von Normen und Standards, also von Formen technischer Regulierung bestimmt. Insbesondere in der IT, in der IT-Sicherheit aber auch im Bereich Softwarequalität sind Normen und Standards sowie der Nachweis über Verständnis und Beherrschung ihrer Inhalte von wesentlicher Bedeutung für geschäftlichen Erfolg und berufliche Qualifikation. Zeit also, sich das Zustandekommen dieser Normen und Standards mal genauer anzusehen.

Am einfachsten ist es, wenn Gesetze und Verordnungen dafür ursächlich sind, wie z.B. das Bundesdatenschutzgesetz oder die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU). Denn diese lassen sich meist als Volltext im Internet finden, so dass ihr Inhalt rasch nachgeschlagen werden kann. Seiten wie z.B. www.gesetze-im-internet.de des Bundesjustizministeriums sind da recht nützlich. Da die meisten Gerichte mittlerweile ihre Entscheidungen ins Internet stellen, ist auch die aktuelle Rechtsprechung zu diesen Gesetzen gut recherchierbar. Juristen sind zudem oftmals auch publikationsfreudige Fachartikelschreiber und Blogger, so dass sich auch fachliche Kommentierungen zu Gesetzen und Urteilen im Web finden lassen.

Ganz anders bei wichtigen Industrienormen und fast allen Dokumenten technischer Regulierung. Wer z.B. nachschlagen will, was die ISO 9000 zum Qualitätsmanagement aussagt, nach welchen Standards Produkte zertifiziert oder Bilanzen geprüft werden, kommt an die Texte der Normen nicht so ohne weiteres heran.

Denn diese werden nahezu ausschließlich durch privatrechtliche Organisationen wie das Deutsche Institut für Normung (DIN), die International Organization for Standardization (ISO), das Institute of Electrical and Electronics Engineers (IEEE) oder ähnliche Einrichtungen, von denen es allein in Deutschland etwa 150 gibt. Finanziert werden diese durch Mitgliedsbeiträge von Firmen, die an einer Standardisierung von technischen Vorgehensweisen interessiert sind, da damit Rationalisierungs- und Wettbewerbsvorteile verbunden sein können. Sowie aus den urheberrechtlichen  Lizenzerträgen der Texte und Dokumente, in denen die jeweiligen Standards abgedruckt und kommentiert werden.

Man kann davon ausgehen, dass Prüfgesellschaften und Unternehmen, in denen viel mit Standards gearbeitet wird, diese regelmäßig zur internen Verwendung nachkaufen. In Deutschland hat sich hier z.B. der Beuth-Verlag hervorgetan. Man kann dort einzelne Normtexte für recht happige Preise als PDF kaufen (z.B. die ISO 9000:2005, Qualitätsmanagementsysteme – Grundlagen und Begriffe mit ca. 40 Seiten für gute 140 €). Oder ganze Normenpakete mit Mengenrabatt bzw. als „Normenflatrate“ beim Erwerb von Perinorm, einer ziemlich umfassenden Normendatenbank für die eine vierstellige Summe pro Jahreslizenz und Nutzer fällig wird.

Schon der Einblick in die fertige Norm ist also kompliziert und teuer. Wie aber kommen die Normen zustande? Normen sind in aller Regel freiwillige Übereinkünfte derjenigen, die sie ausformulieren. Verbindlichkeit erlangen sie erst dadurch, dass sich hinreichend viele Unternehmen daran halten, dies auch von Lieferanten und Geschäftspartnern fordern und sich durch entsprechende Zertifizierungen belegen lassen. In ihnen kommen die Regeln und der Stand der zugrunde liegenden Technik zum Ausdruck. Normen und Standards entstehen innerhalb der Normungsinstitutionen durch Prozesse der konsensualen Beratung und Einigung innerhalb von Expertengremien. Bereits bestehende Normen werden in der Regel alle 3-5 Jahre überarbeitet, um sie dem technischen und methodischen Fortschritt anzupassen. In diese Gremien entsenden die Mitgliedsunternehmen und berufsständische Organisationen Fachleute aus ihren Reihen und lassen dort neben fachlichen auch Unternehmensinteressen vertreten. Der Lobbyismus ist also schon ins Verfahren „eingebaut“, so dass es sehr selten zu externer Lobbyarbeit zum Zwecke der Beeinflussung eines laufenden Normungsprozesses kommt. Wobei es dafür auf deutscher Ebene sogar eine eigene Norm gibt (die DIN 820-4), welche den Normungsprozess am DIN-Institut beschreibt.

In der Regel erreicht eine Norm daher meist erst mit Erscheinen entsprechender Fachliteratur und Fortbildungsangeboten einen größeren Bekanntheitsgrad. Ihre frühzeitige Beherrschung kann daher einen beträchtlichen Wettbewerbsvorteil darstellen und als Nachweis fachlicher Professionalität gelten. Deutlich sichtbar ist das z.B. bei Angeboten zur zertifizierbaren IT-Sicherheit nach ISO 27.000, zum Qualitätsmanagement nach ISO 9.000 oder zum Servicemanagement von Organisationen nach ISO 20.000 (aufgebaut nach den ITIL-Büchern, welche ebenfalls zum Standard wurden). Auch Vorgehensmodelle wie das V-Modell XT im Bereich der Softwareentwicklung, Prince2 im Projektmanagement oder Reifegrademodelle wie CMMI für Prozesse  sind letztlich Standards, die meistens anhand der Sekundärliteratur oder im Rahmen betrieblicher Fortbildungen erschlossen werden.

Nichtsdestotrotz werden Normen und Standards insbesondere für im IT-Bereich tätige Menschen immer wichtiger. Gerade bei Themen wie der IT-Sicherheit und zunehmend auch in der Softwarequalität geht ohne fundiertes Verständnis der einschlägigen Normen und Standards fast nichts mehr. Die privatrechtliche Normung ist in Teilen bereits deutlich umfänglicher als das deutsche Steuer- oder Arbeitsrecht. Und sie gilt weltweit. Daher werden auch Forderungen nach einem transparenten Zustandekommen von Normen sowie einem möglichst freien und niedrigschwelligen Zugang zu den Normtexten zum Zwecke der Information und Meinungsbildung an Bedeutung gewinnen.

IT-Sicherheit in Unternehmen durch Cloud-Computing verbessern

Cloud Computing, also das Auslagern von IT-Dienstleistungen auf Provider und Rechenzentren, kann aus der Perspektive des Datenschutzes eine recht heikle Angelegenheit werden. Denn die rechtliche Verantwortlichkeit für die Korrektheit der Arbeit in der Cloud sowie die zum Teil sehr weitreichende persönliche Haftung der Verantwortlichen für damit einhergehende Risiken können nicht mit in die Cloud wegdelegiert werden.

Andererseits kann Cloud Computing gerade kleineren und mittelständischen Unternehmen dabei helfen, professionelle Abläufe im IT-Betrieb sowie hohe Standards bei IT-Sicherheit und Datenschutz einzukaufen anstatt sie selbst erst aufbauen zu müssen.

Zu diesem Schluss kommt eine Untersuchung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA), die kürzlich veröffentlicht wurde (PDF, 2 MB). „Die Weitergabe der eigenen Daten in fremde Hände bedeutet für Unternehmen natürlich ein Risiko. Neben offensichtlichen Gefahren wie Datenschutz-Intransparenz, Datenverlust und unvollständiger Datenlöschung kann die fehlende Kompatibilität von Lösungen zu Problemen bei der Migration zu einem anderen Anbieter führen“, erläutert ENISA-Researcher Daniele Catteddu. Daher rät man den am Cloud Computing interessierten Unternehmen, sich in Frage kommende Anbieter genau anzusehen. Dafür sollte im Unternehmen eine geschäftsspezifische Risikoanalyse gemacht werden, wozu die ENISA in ihrer Untersuchung konkrete Handlungsanleitungen gibt.

Besonders attraktiv ist Cloud Computing dabei für neu gegründete Unternehmen, deren Alternative ansonsten darin bestünde, ihre IT auf der grünen Wiese komplett neu aufzubauen. Schließlich lassen sich viele Cloud-Leistungen modular buchen, kurzfristig erweitern und nutzungsabhängig abrechnen.

Auch der Netzwerksicherheitsdienstleister RSA kam zu der Erkenntnis, dass Cloud Computing das Sicherheitsniveau herkömmlicher IT-Infrastrukturen in KMU deutlich steigern kann. In der November-Ausgabe des „RSA Security Brief“ ist ein Leitfaden enthalten, worauf ein Unternehmen technisch, rechtlich und organisatorisch bei der Auswahl eines Cloud-Dienstleisters sowie der Einführung von Cloud Computing achten sollte. Und mit welchen technischen Ansätzen sich wertvolle Unternehmensdaten schützen und rechtliche Datenschutzanforderungen erfüllen lassen.

Großer Kreditkartenrückruf nach Datenleck im Rechenzentrum

Mal wieder rauscht ein größerer Datenskandal durch den Blätterwald. Banken lassen Zehntausende Kreditkarten ihrer Kunden einziehen und austauschen, weil die Kartendaten in die Hände von professionellen Gaunern gefallen waren. „Die Austauschaktion betrifft alle Banken in Deutschland gleichermaßen“, so ein Sprecher des Zentralen Kreditausschusses (ZKA), der Dachorganisation der Banken. Doch was ist tatsächlich geschehen?

Ein Großteil der betroffenen Kreditkarten wurde in den letzten Monaten in Spanien benutzt. Dort liefen die Kartentransaktionen über einen sog. „Prozessor“, d.h. einen externen Dienstleister zur Zahlungsabwicklung. Anscheinend gab es dort ein Datenleck, durch das Kartendaten abgezogen wurden. Unklar ist derzeit, um welches Unternehmen es sich handelt und wie die Kartendaten gestohlen wurden. Auf entsprechende Nachfragen der Presse reagieren die Banken nicht oder verweisen auf noch offene Verfahren.

Es können aber auch Kreditkarten betroffen sein, die in Deutschland benutzt wurden, wenn der Handelspartner seinen Zahlungsverkehr über spanischen Dienstleister abgewickelt hat. Insbesondere bei Großunternehmen gibt es den Trend, Dienstleistungen wie den Zahlungsverkehr zu zentralisieren, um bei Zahlungsabwicklern Volumennachlässe zu erhalten.

Obwohl es bereits in den letzten Monaten mehrmals Probleme und Rückrufaktionen mit Kartendaten gab (z.B. im Oktober als die KarstadtQuelle Bank 15.000 Karten austauschen lies), scheinen die Banken vom Ausmaß des Angriffs überrascht zu sein. Tatsächlich agieren Cyber-Kriminelle bereits seit Jahren immer professioneller und trickreicher. Sie machen sich die Hauptschwäche moderner Geschäftsprozesse zunutze: Die Komplexität, die durch das Zusammenwirken zahlreicher Dienstleister, Subunternehmer und Outsourcing-Partner entsteht. Da große Unternehmen seit Jahren danach streben, ihre Fertigungstiefe durch Auslagerungen und Fremdvergabe an Dritte zu verringern, sind komplexe Wertschöpfungsnetzwerke und Prozess entstanden, die – im Gegensatz zu komplexen Maschinen und Anlagen – oftmals kaum einer einheitlichen Qualitätssicherung unterliegen. Und oftmals auch kein einheitlich hohes Sicherheitsniveau über die ganze Prozesskette und alle beteiligten Firmen hinweg gewährleisten können.

Mit Hilfe der entwendeten Daten könnten die Datendiebe Karten fälschen und mit ihnen einkaufen oder die Datensätze weiterverkaufen. Die Kreditinstitute halten dagegen, indem sie Kartenkonten zum Teil verhaltensbasiert überwachen (ungewöhnliche Transaktionen an ungewöhnlichen Orten oder zu ungewöhnlichen Zeiten) und eine Karte auch schon mal vorbeugend sperren, bis der Kunde anruft.

Den Kartennutzern entsteht zwar meist kein konkreter Schaden, da sie jede über ihre Karte laufende Transaktion nachträglich rückgängig machen können. Der Reputationsschaden der Kreditinstitute durch Vertrauensverluste in das Zahlungssystem Kreditkarte sowie in die dahinterstehende Arbeitsteilung dürfte aber beträchtlich ausfallen.

Gleichzeitig zeigt dies, dass sich IT-Sicherheit zwar durch Auslagerung (z.B. als Managed Security Services über ein externes Security Operations Center) stärken lässt. Das dies aber kein Ersatz für eine interne Beherrschung aller Geschäftsprozesse einschließlich deren Absicherung und Qualitätssicherung ist. Zudem rückt so beim Thema Kreditkarten die konkrete Abwicklung der Kartenzahlungen ins Licht der Öffentlichkeit. Denn während die Banken Kreditkarten offensiv bewerben, haben sie große Teile der Zahlungsabwicklung an Dritte vergeben, ohne dass dies den Kunden wirklich klar ist. Die vertrauen so ihrer Bank, leiten ihre Daten aber bei jedem Bezahlen mit der Kreditkarte über ein ihnen unbekanntes anonymes Rechenzentrum irgendwo auf der Welt. Globalisierung eben.

Phishing-Angriff auf die Arbeitsagentur

Datendiebe können sehr kreativ sein, wenn es um das Abschöpfen von finanziell verwertbaren Datenbeständen geht. Oft wird es ihnen aber auch sehr einfach gemacht. So wurde erst kürzlich bekannt, dass die Bundesagentur für Arbeit Probleme mit ihrer Stellenbörse sowie mit dem Handling interner Datenbestände hat. In der Stellenbörse kann jeder als „Arbeitgeber“ auftreten, eine Überprüfung (Gewerbeschein, Handelsregister …) erfolgt nicht. Sozialdaten von Hartz-IV-Beziehern waren bis vor kurzem allen Beschäftigen der Arbeitsagentur zugänglich, nicht nur den dafür zuständigen Fallmanagern am Meldeort des „Kunden“.

Die Mängel im Sicherheitskonzept der Arbeitsagentur sowie in Teilen ihrer Software sind anscheinend so gravierend, dass sie sich kurzfristig nicht beheben lassen. Das muss sich wohl auch eine Berliner Personalvermittlungsfirma gedacht haben, als sie mehrere Tausend Stellenanzeigen in die Stellenbörse einkippte. So viele in so kurzer Zeit, dass es bei einer internen Prüfung den Betreibern bei der Arbeitsagentur auffiel und man der Sache nachging (was für die Wachsamkeit der Agentursystemadmins spricht). Tatsächlich existierte keine einzige Stelle wirklich. Die ausgeschriebenen Positionen für Facharztstellen über pädagogische Berufe bis hin zu Ingenieuren und Managerposten waren ein Phishing-Angriff auf die Vermittler der Arbeitsagentur sowie die Nutzer der Stellenbörse. Sie sollten ihre Bewerbungsunterlagen an die Berliner Firma schicken, so dass diese ihre Datenbestände damit aufstocken und möglichen Firmenkunden eine Datenbank mit Tausenden von Profilen anbieten kann.

Das ist für Personalvermittler an sich nichts Ungewöhnliches. Firmen wie Hays, Datos oder Progressive bieten interessierten Stellensuchenden die Möglichkeit an, ein Profil in einer Datenbank zu hinterlegen und regelmäßig gegen dort ausgeschriebene Stellen von Firmen gegenchecken zu lassen. Auf Projektvermittlungsbörsen wie Gulp oder Projektwerk können Freelancer Profile einstellen und Angebote von daran interessierten Firmen erhalten. Werben gehört zum Geschäft und wer als Stellensuchender einem Personalvermittler seine Daten gibt, um dessen Stellen mit in seine Stellensuche einzubeziehen, tut das i.d.R. bewusst. Das ist eine übliche Praxis an der es grundsätzlich nichts auszusetzen gibt.

Anders diejenigen Arbeitssuchenden, die sich auf eine konkrete Stelle bewerben, die jedoch gar nicht existiert. Sie würden in einem solchen Fall nur eine Textbaustein-Absage erhalten und das Angebot in der Datenbank des Personalvermittlers zu verbleiben, in der Hoffnung das nochmal eine ähnliche Stelle reinkommt. Seriöse Personalvermittlung sieht anders aus.

Und so sieht auch Anja Huth, Sprecherin der Bundesagentur darin einen eindeutigen Missbrauch des Systems und einen Verstoß gegen die Nutzungsbedingungen. Einen Missbrauch dieser Dimension hat man in der Jobbörse der Bundesagentur noch nie erlebt, so die Sprecherin. Mal sehen, ob das mehr als nur die Sperrung des Accounts zur Folge hat.

Inzwischen ist man damit beschäftigt, die zahlreichen fingierten Stellenangebote zu finden und zu löschen. Was aber noch einige Tage dauern kann, so Frau Huth. Schließlich werden täglich etwa 20.000 Stellenangebote neu erstellt oder abgeändert. Verantwortlich für diese Angebote war demnach die Firma Econsulting24, wo jedoch bislang weder die Arbeitsagentur noch die mittlerweile darauf aufmerksam gewordene Presse jemanden erreichen konnte.

Einen ähnlichen Fall hatte es bereits im Winter letzten Jahres gegeben. Ein privater Jobvermittler hatte immer wieder fingierte Stellen ins System gestellt. Wenn sich Bewerber bei dem Vermittler meldeten, erhielten sie stets die Auskunft, dass die Stelle bereits anderweitig besetzt war. Das Unternehmen bot den Bewerbern jedoch an, gegen Bezahlung Bewerbungen für sie zu verfassen.  Und obwohl die Arbeitsagentur den Account des Vermittlers löschte, meldete er sich stets einfach neu an und spammte fröhlich weiter. Das Problem der mangelhaften Kontrolle vermeintlicher „Arbeitgeber“ in der Jobbörse ist also bereits seit langem bekannt.

People Performance Management – wenn die elektronische Leistungssteuerung ins Unternehmen einzieht

In den Personalabteilungen großer Unternehmen beginnt sich eine neue Klasse von Businessanwendungen auszubreiten: Die People Performance Management Systeme (PPM) bzw. Business Performance Management Systeme. Sie sollen Methoden, Tools und Prozesse zur Verbesserung der Leistungsfähigkeit und Profitabilität von Unternehmen durch effizientere Bewirtschaftung ihres Personals bereitstellen. Anbieter wie Stepstone Solutions sprechen auch etwas euphemistisch von „Talent Management“. Es ist also wohl noch offen, welche Bezeichnung sich letztlich für diese Form der Personalverwaltung durchsetzen wird.

Schon seit Jahren versuchen Unternehmen die Leistungsabgabe ihrer Beschäftigten zunehmend zu steigern und gleichzeitig besser verwaltbar zu machen, so dass sie gezielt gemanagt werden kann. Ein Instrument dazu ist die indirekte Steuerung als Managementprinzip. Die mit Hilfe evidenzbasierter Personalplanung und damit letztlich IT-gestützt umgesetzt wird.

Dabei fallen naturgemäß zahlreiche Daten an und es bedarf zum Managen der Mitarbeiterleistung definierter Prozesse, was es naheliegend erscheinen lässt, dazu spezielle Anwendungen einzusetzen. Zielvereinbarungen, freiwillige / ergebnisabhängige Entgeltbestandteile, Beurteilungen und Leistungsbewertungen, Fortbildungsmaßnahmen und Personalentwicklungsprogramme – alles was zur Potentialentwicklung, Selektion und optimalem Einsatz der Beschäftigten im Unternehmen eben so getan wird, soll mit dieser neuen Klasse von Anwendungen erfasst, verwaltet und gemanagt werden.

Mögliche, durch PPM-Systeme zu unterstützende Einsatzbereiche wären u.a. Leistungsbeurteilungen, Zielvereinbarungen sowie deren Monitoring, Auswahl von Beschäftigten für Schulungen, Personalentwicklungsprogramme oder interne Versetzungen. Aber auch interne Vergleiche mit anderen Beschäftigten oder Beschäftigtengruppen zur Optimierung der Leistung durch Wettbewerb und Auslesemechanismen. Wie es auch Stephen Baker bereits in seinem Buch „Die Numerati – Datenhaie und ihre geheimen Machenschaften“ beschreibt. Dort erläutert er einen neuen Ansatz von HR-Planungswerkzeugen zur evidenzbasierten Personalplanung, basierend auf mathematischen Modellen in Kombination mit Data-Mining-Technologien.

Klar ist jedoch, dass solche Systeme nur dann sinnvoll eingesetzt werden können, wenn Arbeitgeber darin weitaus mehr Daten  über ihre Beschäftigen ablegen und auswerten, als es zum Zwecke der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses „erforderlich“ i.S.d. BDSG ist. Zumal der Gesetzgeber aufgrund der zahlreichen Datenskandale in der Wirtschaft den einschlägigen § 32 BDSG neu und deutlich enger gefasst hat.

Das bringt insbesondere für betriebliche Datenschutzbeauftragte und Betriebsräte Arbeit mit sich, wenn ihr Unternehmen ein solches System zur besseren Leistungsbewirtschaftung des Personals einführen will, wie es z.B. die Fachzeitschrift „Computer & Arbeit“ in ihrer aktuellen Ausgabe 10/2009 in einem Artikel erläutert.

(der auf der Homepage des Autors Achim Thannheiser auch als PDF heruntergeladen werden kann)

Zumindest die Betriebsräte werden vor der Aufgabe stehen, ob sie die Einführung von PPM-Systemen gestalten oder verhindern wollen. Letzteres wäre durchaus möglich, da das BDSG solche Systeme bei entsprechend enger Auslegung des § 32 eigentlich unmöglich macht.

Gestalten wird auf jeden Fall bedeuten, zahlreiche Funktionen abzuschalten, einzuschränken sowie ihre Nutzung an klare nachprüfbare Regularien zu binden. Und so kommt auch Arbeitsrechtler Thannheiser zu dem Schluss, dass PPM-Systeme die Möglichkeit bieten, den gesamten arbeitenden Menschen zu durchleuchten. Und daher rät er den Mitbestimmungsorganen, Positivlisten mit zulässigen Nutzungen festzulegen, die alles sonst noch Mögliche als unzulässig ausschließen.

Vom Standpunkt der IT-Sicherheit sind PPM-Systeme dagegen nur ein weiterer Teil der Personaldatenverarbeitung, die denselben Schutzbedarf hat wie alle anderen HR-Systeme.

Wie die Rechtsprechung zum erst kürzlich reformierten Datenschutzgesetz mit dieser Art der Personaldatennutzung verfahren wird, ist derzeit noch offen. Es bleibt also spannend …

Die Datenbörsen der Arbeitsagentur

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM („Vier-Phasen-Modell“) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.