Man stelle sich vor, ein großer Schlüsseldienst hätte Kopien von allen Wohnungsschlüsseln, die er je ausgestellt hat – und Kriminelle gelangten an diese Vorlagen und könnten nun ohne Aufsehen in zigtausende Wiener Wohnungen einsteigen. Das wäre ein handfester Skandal, der wochenlang die Schlagzeilen beherrschen würde. Im digitalen Bereich treten alle paar Wochen Sicherheitslecks in weitaus größeren Dimensionen auf – und die meisten Menschen reagieren darauf mit einem Achselzucken.

Einige Beispiele: 117 Millionen Passwörter von Nutzern des sozialen Karrierenetzwerks Linkedin tauchten im Netz auf, jeder konnte private Nachrichtenverläufe von österreichischen Nationalratsabgeordneten oder Spitzenmanagern lesen. Informationen zu drei Milliarden (!) Konten von Yahoo und dazugehörigen Diensten wurden entwendet, darunter gespeicherte Geburtsdaten, Wohn- und E-Mail-Adressen. Nun wurde publik, dass dem Fahrtenvermittler Uber 50 Millionen Kundendaten entwendet wurden.

Reale Gefahr

Dabei herrscht unter einigen Nutzern noch die Meinung vor, dass etwa E-Mail-Adressen, Telefonnummern oder Onlinedienst-Passwörter keine besonders wertvollen Informationen seien. Doch das stimmt nicht. Gerade in Kombination können Hacker mit diesen Daten beträchtlichen Schaden anrichten. Meist nutzen Menschen ihre Passwörter nicht nur für einen Dienst, etwa Yahoo, sondern für fast alle Onlinekonten. Die Daten sind außerdem Ausgangspunkt für speziell zugeschnittene Lockangebote. Hacker, die lediglich E-Mail-Adresse und Geburtsdatum eines Users haben, könnten ihm an dessen Geburtstag etwa einen "Gutschein" schenken. Um diesen zu erhalten, müsse das Geburtstagskind lediglich seine Kreditkartendaten übermitteln – und schon hätten die Kriminellen weitaus wertvollere Daten ergattert.

Die Gefahr ist also real. Der einzelne Nutzer darf damit allerdings nicht alleingelassen werden. Es ist für viele Menschen aus beruflichen oder privaten Gründen nicht möglich, etwa auf Uber oder E-Mail-Dienste wie Yahoo zu verzichten – von Online-Banking oder Kreditkartenfirmen ganz zu schweigen. Natürlich kann man vor dem Übermitteln heikler Daten warnen und Sicherheitstipps wie unterschiedliche Passwörter für verschiedene Dienste beachten. Aber systematische Änderungen kann nur die Politik erzwingen. Lebensmittelhersteller müssen etwa regelmäßig ihre Hygienestandards prüfen lassen. Das muss auch im IT-Bereich passieren.

Gut, aber spät

Die EU-Datenschutzverordnung, die kommenden Mai in Kraft treten wird, ist ein erster Schritt in die richtige Richtung – doch er kommt sehr spät. Außerdem ist das geplante österreichische Cybersicherheitsgesetz wieder eingeschlafen. Die kommende Regierung muss hier rasch handeln und bestehende Regelungen nachbessern. So können nach dem neuen Datenschutzgesetz etwa öffentliche Stellen gar nicht wegen Datenverstößen belangt werden. Ein weiterer Schritt wäre eine öffentliche Berichtspflicht für Unternehmen, denen Daten abhandengekommen sind.

Dass Linkedin etwa vier Jahre den Hack verschweigen konnte, ist skandalös – dass Uber Hacker sogar bezahlte, um den Diebstahl zu vertuschen, mehr als zynisch. Die Politik muss klar zeigen, dass sie auf der Seite der Verbraucher steht – auch wenn sich einige Konzerne über schärfere Regeln beschweren werden. (Fabian Schmid, 22.11.2017)