Manfred Kloiber: Was kann mit diesen Kreditkarteninformationen gemacht werden, Peter Welchering?
Peter Welchering: So gut wie alles, wenn die bisherigen Berichte so stimmen. Denn dann waren dort Vor- und Nachname des Kreditkarteninhabers verzeichnet, Adresse, Kartennummer, Kontonummer, Sicherheitsmerkmale und sogar Geheimnummern, mit denen man Geld abheben kann. Außerdem kann nach den bisher vorliegenden Informationen zufolge auch aus den Daten entnommen werden, was einzelne Kreditkarteninhaber mit ihrer Karte bezahlt haben, schwerpunktmäßig im Abrechnungszeitraum 2008. Und das hat mehrere Konsequenzen. Wenn solche Daten in falsche Hände kommen, dann kann erstens mit diesen Kreditkarteninformationen unter vorgegaukelter Identität im Internet eingekauft werden, was das Kreditkartenlimit hergibt, zweitens können damit Konten einfach abgeräumt werden. Und drittens ist auch in einigen Fällen Erpressung möglich, je nachdem, was mit den Kreditkarten bezahlt wurde. Da handelt es sich also um ein ganz ernstes Sicherheitsloch, das Menschen wirklich in den finanziellen Ruin treiben kann.
Kloiber: Am Mittwoch hat das Bundeskabinett ein neues Datenschutzgesetz verabschiedet. Wird damit solch einem Missbrauch ein Riegel vorgeschoben?
Welchering: Überhaupt nicht. Denn im vorliegenden Fall haben wir es entweder mit einer enormen Schlamperei in einem Rechenzentrum zu tun oder mit der kriminellen Energie eines oder mehrerer Mitarbeiter. Die Banken verarbeiten ja die Kreditkartendaten nicht selbst, sondern beauftragen Dienstleistungsgesellschaften damit. Teilweise beauftragen die dann wieder einzelne Rechenzentrums-Dienstleister damit, teilweise machen diese Abrechnungsgesellschaften das selbst. Im vorliegenden Fall sprechen einige Indizien dafür, dass hier einfach Kreditkartendaten, die ein Rechenzentrum verarbeitet, in einem Rechenzentrum an einen Microfiche-Drucker geschickt wurden und dann ihren Weg in die Redaktion der Frankfurt Rundschau fanden. Egal ob Schlamperei oder kriminelle Energie dahinter steckt. Da haben die internen Sicherheitsmechanismen versagt.
Kloiber: Es wird ja immer wieder betont, dass die Sicherheitsvorschriften von Banken und Abrechnungsgesellschaften sehr streng seien. Da kann doch nicht einfach ein Mitarbeiter unbeaufsichtigt und unprotokolliert hochsensible persönliche Daten zum Microfiche-Drucker schicken, oder?
Welchering: In den Banken-Rechenzentren ist das zum größten Teil tatsächlich ausgeschlossen. Da können auch nicht einfach Daten auf eine CD kopiert werden, weil die entsprechenden Laufwerke und Brenner gesperrt sind. Solche Druckaufträge oder Brennaufträge müssen in der Regel von einem Mitarbeiter beantragt, einem weiteren gegengezeichnet und einem Vorgesetzten genehmigt werden. Außerdem ist dann anhand der Protokolldateien leicht nachvollziehbar, wer wann mit welchen Daten gearbeitet hat. So ein Missbrauch käme also leicht heraus. Das sieht allerdings ganz anders aus, wenn solche Abrechnungsaufträge outgesourced werden.
Kloiber: An wen werden solche Abrechnungsaufträge denn outgesourced?
Welchering: Da haben wir es dann mit sehr unterschiedlichen Rechenzentrumsbetreibern und Dienstleistungsgesellschaften zu tun. Bei einigen gelten ähnliche Sicherheitsvorschriften wie in den Banken-Rechenzentren, bei anderen wird das allerdings sehr viel laxer gehandhabt. Ich war in diesem Sommer in einem solchen Rechenzentrum mit einem Interviewpartner verabredet, da fand beim Rein- und Rausgehen nicht einmal eine Personenkontrolle statt. Der zuständige Wachmann sei an dem Tag leider krank gewesen, wurde mir da zur Erklärung gesagt. In einigen Fällen haben wir es hier mit extrem kostengünstig arbeitenden Unternehmen zu tun, die bestimmte Sicherheitsvorschriften aus Kostengründen nicht ausführen.
Kloiber: Aber das von der Bundesregierung beschlossene neue Datenschutzgesetz stellt doch solch eine Weitergabe von persönlichen Daten unter Strafe?
Welchering: Das ist richtig. Allerdings war das auch bisher schon strafbar. Das neue Datenschutzgesetz bringt hier wenig konkrete Verbesserungen, weil es drei Bereiche unzureichend regelt. Erstens werden keine grundlegenden Sicherheitsstandards beschrieben, um Innentätern das Handwerk zu legen oder auch einfach Schlampereien zu verhindern. Zweitens ist die von den Datenschützern geforderte Kennzeichnungspflicht für die Herkunft von Daten nicht beschlossen worden, so dass organisierte Kriminalität im Datenhandel nicht nachverfolgt werden kann. Da hätte nämlich nachgewiesen werden müssen, wenn ich mit bestimmten Daten arbeite, woher habe ich die denn bekommen. Und wiederum diese Quelle müsste auch nachweisen, wo habe ich die denn erhoben. Und drittens sind keine Schutzstandards für den Einsatz von Business-Intelligence-Software beschlossen worden.
Kloiber: Wozu brauchen wir solche Schutzstandards für Business-Intelligence-Software?
Welchering: Angefangen von Kreditkartendaten über Einkäufe mit einer Kunden- oder Rabattkarte bis hin zur Beratung bei Versicherungsverträgen werden von Unternehmen enorm viele persönliche Daten der Kunden erhoben. Diese Daten werden mit Business-Intelligence-Software bearbeitet, so dass eine Bank beispielsweise Änderungen am Kaufverhalten eines Kunden feststellen kann. Wenn der plötzlich kleinere Summen mit der Kreditkarte zahlt, keine teuren Markenanzüge mehr für 1000 Euro, sondern billige Klamotten kauft, dann schlägt das BI-System Alarm und warnt die Bank: Vorsicht, der Kunde könnte von Zahlungsunfähigkeit bedroht sein.
Welchering: Ähnlich machen es auch Versicherungen. So hat eine große Versicherungsgesellschaft in Deutschland 40.000 Laptops von Außendienstlern im Feld. Alle Berechnungen für Angebote, alle Daten bei Beratungsgesprächen werden damit erfasst, von der BI-Software ausgewertet. Und diese Analysesoftware sagt der Versicherung dann: Kunde A ist aufgrund seiner Daten gerade für eine Ausbildungsversicherung seiner Tochter empfänglich. Schick mal einen Außendienstler hin. Die Datenbearbeitung in diesem Bereich ist weitgehend ungeregelt. Wenn solche Daten dann noch mit Daten aus dem Internet, etwa über das Surfverhalten oder andere persönliche Daten angereichert werden, dann entstehen gläserne Kunden. Und diese gläsernen Kunden lässt auch das neue Datenschutzgesetz zu.
Peter Welchering: So gut wie alles, wenn die bisherigen Berichte so stimmen. Denn dann waren dort Vor- und Nachname des Kreditkarteninhabers verzeichnet, Adresse, Kartennummer, Kontonummer, Sicherheitsmerkmale und sogar Geheimnummern, mit denen man Geld abheben kann. Außerdem kann nach den bisher vorliegenden Informationen zufolge auch aus den Daten entnommen werden, was einzelne Kreditkarteninhaber mit ihrer Karte bezahlt haben, schwerpunktmäßig im Abrechnungszeitraum 2008. Und das hat mehrere Konsequenzen. Wenn solche Daten in falsche Hände kommen, dann kann erstens mit diesen Kreditkarteninformationen unter vorgegaukelter Identität im Internet eingekauft werden, was das Kreditkartenlimit hergibt, zweitens können damit Konten einfach abgeräumt werden. Und drittens ist auch in einigen Fällen Erpressung möglich, je nachdem, was mit den Kreditkarten bezahlt wurde. Da handelt es sich also um ein ganz ernstes Sicherheitsloch, das Menschen wirklich in den finanziellen Ruin treiben kann.
Kloiber: Am Mittwoch hat das Bundeskabinett ein neues Datenschutzgesetz verabschiedet. Wird damit solch einem Missbrauch ein Riegel vorgeschoben?
Welchering: Überhaupt nicht. Denn im vorliegenden Fall haben wir es entweder mit einer enormen Schlamperei in einem Rechenzentrum zu tun oder mit der kriminellen Energie eines oder mehrerer Mitarbeiter. Die Banken verarbeiten ja die Kreditkartendaten nicht selbst, sondern beauftragen Dienstleistungsgesellschaften damit. Teilweise beauftragen die dann wieder einzelne Rechenzentrums-Dienstleister damit, teilweise machen diese Abrechnungsgesellschaften das selbst. Im vorliegenden Fall sprechen einige Indizien dafür, dass hier einfach Kreditkartendaten, die ein Rechenzentrum verarbeitet, in einem Rechenzentrum an einen Microfiche-Drucker geschickt wurden und dann ihren Weg in die Redaktion der Frankfurt Rundschau fanden. Egal ob Schlamperei oder kriminelle Energie dahinter steckt. Da haben die internen Sicherheitsmechanismen versagt.
Kloiber: Es wird ja immer wieder betont, dass die Sicherheitsvorschriften von Banken und Abrechnungsgesellschaften sehr streng seien. Da kann doch nicht einfach ein Mitarbeiter unbeaufsichtigt und unprotokolliert hochsensible persönliche Daten zum Microfiche-Drucker schicken, oder?
Welchering: In den Banken-Rechenzentren ist das zum größten Teil tatsächlich ausgeschlossen. Da können auch nicht einfach Daten auf eine CD kopiert werden, weil die entsprechenden Laufwerke und Brenner gesperrt sind. Solche Druckaufträge oder Brennaufträge müssen in der Regel von einem Mitarbeiter beantragt, einem weiteren gegengezeichnet und einem Vorgesetzten genehmigt werden. Außerdem ist dann anhand der Protokolldateien leicht nachvollziehbar, wer wann mit welchen Daten gearbeitet hat. So ein Missbrauch käme also leicht heraus. Das sieht allerdings ganz anders aus, wenn solche Abrechnungsaufträge outgesourced werden.
Kloiber: An wen werden solche Abrechnungsaufträge denn outgesourced?
Welchering: Da haben wir es dann mit sehr unterschiedlichen Rechenzentrumsbetreibern und Dienstleistungsgesellschaften zu tun. Bei einigen gelten ähnliche Sicherheitsvorschriften wie in den Banken-Rechenzentren, bei anderen wird das allerdings sehr viel laxer gehandhabt. Ich war in diesem Sommer in einem solchen Rechenzentrum mit einem Interviewpartner verabredet, da fand beim Rein- und Rausgehen nicht einmal eine Personenkontrolle statt. Der zuständige Wachmann sei an dem Tag leider krank gewesen, wurde mir da zur Erklärung gesagt. In einigen Fällen haben wir es hier mit extrem kostengünstig arbeitenden Unternehmen zu tun, die bestimmte Sicherheitsvorschriften aus Kostengründen nicht ausführen.
Kloiber: Aber das von der Bundesregierung beschlossene neue Datenschutzgesetz stellt doch solch eine Weitergabe von persönlichen Daten unter Strafe?
Welchering: Das ist richtig. Allerdings war das auch bisher schon strafbar. Das neue Datenschutzgesetz bringt hier wenig konkrete Verbesserungen, weil es drei Bereiche unzureichend regelt. Erstens werden keine grundlegenden Sicherheitsstandards beschrieben, um Innentätern das Handwerk zu legen oder auch einfach Schlampereien zu verhindern. Zweitens ist die von den Datenschützern geforderte Kennzeichnungspflicht für die Herkunft von Daten nicht beschlossen worden, so dass organisierte Kriminalität im Datenhandel nicht nachverfolgt werden kann. Da hätte nämlich nachgewiesen werden müssen, wenn ich mit bestimmten Daten arbeite, woher habe ich die denn bekommen. Und wiederum diese Quelle müsste auch nachweisen, wo habe ich die denn erhoben. Und drittens sind keine Schutzstandards für den Einsatz von Business-Intelligence-Software beschlossen worden.
Kloiber: Wozu brauchen wir solche Schutzstandards für Business-Intelligence-Software?
Welchering: Angefangen von Kreditkartendaten über Einkäufe mit einer Kunden- oder Rabattkarte bis hin zur Beratung bei Versicherungsverträgen werden von Unternehmen enorm viele persönliche Daten der Kunden erhoben. Diese Daten werden mit Business-Intelligence-Software bearbeitet, so dass eine Bank beispielsweise Änderungen am Kaufverhalten eines Kunden feststellen kann. Wenn der plötzlich kleinere Summen mit der Kreditkarte zahlt, keine teuren Markenanzüge mehr für 1000 Euro, sondern billige Klamotten kauft, dann schlägt das BI-System Alarm und warnt die Bank: Vorsicht, der Kunde könnte von Zahlungsunfähigkeit bedroht sein.
Welchering: Ähnlich machen es auch Versicherungen. So hat eine große Versicherungsgesellschaft in Deutschland 40.000 Laptops von Außendienstlern im Feld. Alle Berechnungen für Angebote, alle Daten bei Beratungsgesprächen werden damit erfasst, von der BI-Software ausgewertet. Und diese Analysesoftware sagt der Versicherung dann: Kunde A ist aufgrund seiner Daten gerade für eine Ausbildungsversicherung seiner Tochter empfänglich. Schick mal einen Außendienstler hin. Die Datenbearbeitung in diesem Bereich ist weitgehend ungeregelt. Wenn solche Daten dann noch mit Daten aus dem Internet, etwa über das Surfverhalten oder andere persönliche Daten angereichert werden, dann entstehen gläserne Kunden. Und diese gläsernen Kunden lässt auch das neue Datenschutzgesetz zu.