"Jeder kann durch ein Datenleck zum Opfer werden"
futurezone: Warum kommt es Ihrer Meinung nach immer wieder zu Datenlecks?
Georg Markus Kainz vom Datenschutzverein quintessenz: Jedes Mal, wenn Daten transportiert werden, besteht das Risiko, dass am Transportweg etwas passiert. Aus Bequemlichkeit werden Daten häufig auf einen Webserver gespielt. Von dort können sie, mit welchen Mitteln auch immer, relativ einfach runtergeladen und kopiert werden.
Verantwortliche sehen im aktuellen Fall der 400.000 gestohlenen Schülerdaten keinen „Datenskandal“. Wie sehen Sie das?
Das liegt daran, dass das wirkliche Gefühl dafür, wie wertvoll Daten sind, nicht besteht. Es fehlt uns die Vorstellungskraft dafür, dass wir durch Datenlecks zu Opfern werden könnten. Wir versuchen uns einzureden, dass nichts passieren kann. Außerdem haben wir eine Kultur entwickelt, in der man IT- und Sicherheitsschwachstellen nicht benennen darf. Wenn nicht über Sicherheitslücken gesprochen wird, kriegen neue Mitarbeiter aber auch kein Gefühl dafür, wie wichtig der Schutz von Daten ist. Nach außen hin wird nach Vorfällen immer betont, das Problem im Griff zu haben.
Die Verantwortlichen waren auch der Meinung, mit der Schließung der Lücke sei das Problem behoben.
Das ist ein Irrglaube. Im Fall der gestohlenen Schülerdaten macht es keinen Unterschied, ob die Schwachstelle geschlossen wurde oder nicht. Die Daten waren mindestens seit Dezember 2013 ungeschützt im Netz und kein Mensch weiß, wer diese Informationen in der Zwischenzeit kopiert hat. In zehn Jahren wird einem Schüler vielleicht aufgrund eines Testergebnisses aus diesem Datensatz eine Einstellung verweigert. Man kann sich nie sicher sein, ob geleakte Daten nicht einmal gegen einen verwendet werden.
Gibt es hierfür konkrete Beispiele?
Uganda hat vor kurzem ein Gesetz zur härteren Bestrafung homosexueller Handlungen in Kraft gesetzt. Eine Zeitung hat einen Tag danach hundert Homosexuelle geoutet. Diese Informationen sind nicht verifiziert und das Beispiel zeigt deutlich, wie Informationen missbraucht und gegen einen werden können.
Was kann man als Einzelner tun, damit Datenlecks künftig verhindert werden?
Wir müssen lernen, wie wichtig private, persönliche Daten sind. Erst dann können sich Firmen nicht mehr erlauben, schlampig zu arbeiten und die Daten besser vor Hacker-Angriffen schützen. Wenn die Banken mit unserem Geld im Plastiksackerl herumlaufen und einzelne Scheine rausfliegen würden, würden wir sofort aufschreien. Ich hoffe daher, dass die Schulen jetzt auf den Skandal reagieren werden und sagen werden: Nein, wir opfern unsere Schülerdaten nicht, in dem wir sie zentral speichern lassen.
Apropropos zentrale Datenspeicherung: Es kommt demnächst die Zentralmatura in Österreich. Sind diese Daten dann auch besonders gefährdet?
Die Gefahr eines Angriffs von Verbrechern ist höher, wenn sensible Daten an einem Ort liegen, als wenn die Daten verteilt sind. Um an Ihr Maturazeugnis zu gelangen, müsste man in der Schule, in der Sie waren, einbrechen. Dazu müsste man erst einmal herausfinden, auf welche Schule Sie überhaupt gegangen sind.
Bei der Elektronischen Gesundheitsakte ELGA werden die Gesundheitsdaten von Österreichern wenigstens nicht zentral gespeichert.
Die dezentrale Speicherung bei ELGA halte ich aber für einen Etikettenschwindel, weil die Daten dennoch zugreifbar sein müssen. In so einem Fall ist es dann egal, ob der Server an einer Stelle oder an 20 Stellen steht. Die Daten müssen rund um die Uhr verfügbar sein. Um das zu ermöglichen, wird ein Index aufgebaut, der dann sagt, wo die Daten liegen. Das Problem bei ELGA ist auch, dass die Gefahr des Datenmissbrauchs mit der Zahl der Menschen, die auf die Daten zugreifen darf, steigt.
Welche Daten sind aus Ihrer Sicht noch gefährdet?
Alle Daten, die gesammelt werden, die unser Leben in einer gewissen Art und Weise dokumentieren, sind gefährdet.
Das sind ziemlich viele Daten. Vor allem, viele Menschen sind heutzutage selbst fleißige Dokumentierer ihres Lebens im Netz.
Ja, das mag zutreffen. Aber wenn TomTom GPS-Daten ihrer Kunden ungefragt an seine Zentrale überträgt und in Folge an Behörden oder Versicherungen liefert, wenn Google Street View-Autos WLAN-Daten aus der Umgebung erfassen oder Smartphone-Apps ungefragt sensible Daten ihrer Nutzer sammeln, passiert das nicht mit Zustimmung der Bevölkerung.