Stefan Römermann: Viele Verbraucher sind inzwischen schon genervt und abgestumpft: Alle paar Wochen geistert ein neuer Datenschutzskandal durch die Medien, Passwörter und Benutzerdaten für E-Mail-Konten, für Online-Shops oder soziale Netzwerke werden ausgespäht oder durch Sicherheitslücken bei den jeweiligen Anbietern gestohlen. Der neue Fall von Datendiebstahl, der gestern bekannt wurde, hat trotzdem eine neue Dimension: 1,2 Milliarden Profildaten wurden angeblich gestohlen, das berichtet die amerikanische Sicherheitsfirma Hold Security. Über den Fall habe ich kurz vor der Sendung gesprochen mit Florian Glatzner, er ist Datenschutzexperte beim Verbraucherzentrale-Bundesverband. Ich habe ihn gefragt, ob wir denn inzwischen wenigstens wissen, zu welchen Internetseiten oder Diensten die gestohlenen Passwörter und Benutzerdaten gehören!
Florian Glatzner: Nein, auch das ist bisher leider unbekannt. Das Unternehmen, das das Ganze aufgedeckt hat, die Hold Security, hält sich da weiterhin sehr bedeckt. Das Ganze ist dann natürlich ein Geschäftsmodell, die möchten nämlich, dass Webseitenbetreiber bei ihnen ein Abo eingehen und dann erfahren, ob ihre Kunden von dem Datendiebstahl betroffen sind. Also, bisher ist da gar nichts bekannt.
Römermann: Wie finden Sie das aus Verbrauchersicht?
Glatzner: Ich finde das Vorgehen, ich nenne es mal: unmöglich. Das Verfahren jetzt richtet sich eben an die Webseitenbetreiber, Verbraucher haben momentan überhaupt gar keine Möglichkeit, selber festzustellen, ob ihre Daten betroffen sind. Das Unternehmen hat angekündigt, innerhalb der nächsten 60 Tage auch einen ähnlichen Service für Verbraucher bereitzustellen. Bisher gibt es denn allerdings nicht. Ich bin mal gespannt, wie der dann aussehen wird. Geld von den Verbrauchern dafür zu verlangen, das, würde ich sagen, geht mal gar nicht. Und man muss sich dann nachher eben den Service genau anschauen.
"Ich sehe die Verantwortung bei den Firmen"
Römermann: Die Daten stammen ja angeblich von über 400.000 Webseiten. Und die Sicherheitslücken, über die diese Webseiten angegriffen sein sollen, sind zum guten Teil wohl noch nicht gestopft. Was kann ich denn jetzt als Verbraucher tun? Bringt es irgendwas, wenn ich provisorisch jetzt mal wieder alle meine Passwörter ändere?
Glatzner: Als Verbraucher sollte ich davon ausgehen, dass solche Passwortdiebstähle sich in Zukunft häufen werden, und damit muss ich einfach leben. Und ich muss dementsprechend meine Strategie daran ausrichten, dass alle halbe Jahre ich aufgefordert werde, mein Passwort zu ändern. Das fängt beispielsweise darin an, dass ich mir überlege, okay, vielleicht haben die unterschiedlichen Webseiten für mich unterschiedliche Gefahrenstufen. Beispielsweise mein E-Mail-Account sollte besonders stark gesichert werden. Aber jetzt in irgendeinem Forum, wo ich mich vielleicht mal äußere, das nicht so. Und dementsprechend muss ich dann eben unterschiedliche Strategien entwickeln, wie ich es schaffe, dort meine Daten sicherzuhalten. Also beispielsweise ganz wichtig: für unterschiedliche Dienste unterschiedliche Passwörter verwenden. Und die dann auch – je nachdem, jetzt komme dazu, was ich am Anfang gesagt habe – je nach Risiko des Dienstes die dann auch regelmäßig zu wechseln. Das sind auf jeden Fall Sachen, die jeder unbedingt tun sollte.
Römermann: Die meisten Windows-Nutzer wissen inzwischen: Man muss regelmäßig bei seinem Computer Sicherheitsupdates einspielen. Hier sind tausendfach offenbar Webseiten angegriffen worden von Firmen, die ihre bekannten Sicherheitslücken nicht geschlossen haben. Warum machen denn das so viele Firmen nicht?
Glatzner: Das ist tatsächlich eine gute Frage. Ich denke mal, in einigen Punkten wird es Unwissenheit sein, es sind ja nicht nur große Webunternehmen dabei, bei den Betroffenen, sondern auch kleine Webseitenbetreiber. Teilweise ist es vielleicht auch eine Kostenfrage. Aber ich sehe da auch auf jeden Fall ganz eindeutig die Verantwortung bei den Firmen, zum einen ihre Systeme aktuell zu halten, zum anderen aber auch ihre Sicherheitsmaßnahmen dem aktuellen Stand der Technik anzupassen, also beispielsweise die Passwörter nur verschlüsselt und dann auch noch gesalzen, heißt das im Fachjargon, zu speichern. Sodass die Passwörter sozusagen, wenn man die Datenbank stielt, nicht im Klartext vorliegen.
"Die Anforderungen an die Unternehmen sollten erhöht werden"
Römermann: Gesalzene Passwörter, sehr schön! Braucht es vielleicht auch ein IT-Sicherheitsgesetz, was Firmen vielleicht auch gesetzlich dazu verpflichtet, ihre Computer in Ordnung zu halten, so mit Kontrollen oder Strafen, wie man das aus dem Lebensmittelrecht kennt?
Glatzner: Die Anforderungen an die Unternehmen sollten auf jeden Fall erhöht werden. Auch gibt es beispielsweise bisher noch keine Meldepflicht für Unternehmen, die Opfer eines Datendiebstahls geworden sind. Häufig erfährt der Verbraucher von denen auch überhaupt gar nichts, dass da was passiert ist. Allerdings muss man auch sehen, dass das Ganze hier natürlich einen globalen Maßstab hat, und unsere Gesetze können wir maximal auf europäischer Ebene machen. Und Unternehmen von außerhalb werden da nicht drunterfallen. Also, insofern sehe ich zum einen die Verantwortung bei den Unternehmen, ich sehe die Verantwortung bei der Politik, aber in diesem Fall sehe ich auch auf jeden Fall die Verantwortung beim Verbraucher selber.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
