Auge mit Nullen und EinsenFast täglich werden große Mengen Daten verloren. Inzwischen ist das schon so normal, dass es nur noch die ganz großen Meldungen bis in die Medien schaffen. Die breite Öffentlichkeit schaut weg und denkt sich, dass sie das nichts angeht. Man glaubt, dass der Wechsel eines Passworts doch bestimmt alle Wunden heilt.

Viele IT-Verantwortliche sind auf dem Datenschutz-Auge Blind. Sie rennen zur jeweils günstigsten Cloud-Lösung und missachten dabei absolut jeden gesunden Menschenverstand.

Dieser Artikel soll das Problem und die "offensichtlichen" Reaktionen etwas näher beleuchten.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!

Aktuelle Datenleaks

Wenn man die aktuellen Nachrichten zur IT-Sicherheit verfolgt, dann wird eines immer klarer: Daten, die irgendwo gesammelt werden, werden irgendwann auch öffentlich werden (Neudeutsch: "leaken"). Es gibt nur zwei Arten von Datensammlungen. Die die schon "geleakt" sind, und die welche es noch werden. Um das Ausmaß darzulegen, hier ein paar aktuelle News:

xkcd-Forenleak: Mehr als 500.000 Datensätze bei Have I Been Pwned aufgetaucht (500.000 Betroffene)

Datenleak: Angreifer kopierten Nutzerdaten von Foxit-Kunden (Menge unbekannt)

Riesiges Datenleck in Ecuador: Erste Festnahmen und neue Details (20,8 Mio Betroffene)

Unsicher konfigurierte Server leaken Daten von Millionen Patienten (16 Mio Betroffene)

Mastercard-Leak: Zweite Datei mit vollständigen Kartennummern aufgetaucht (84.000 Betroffene)

NAP-Leaks, der Diebstahl von Daten des bulgarischen Finanzamts, wird zum Cyberterrorismus erklärt (11 GB, Anzahl unbekannt)

Medienbericht: Datenleck in Thailand mit deutschen Betroffenen (2000 Betroffene)

Hack bei Inkasso-Firma: Daten von Millionen Patienten bei US-Biolaboren geleakt (12 Mio Betroffene)

Millionen Fingerabdrücke und Daten zur Gesichtserkennung unverschlüsselt im Netz (1,5 Mio Betroffene)

Und so weiter. Ach ja, das ist nur der Zeitraum Juni bis September 2019. 4 Monate IT-Datenverluste... Und nur die Leaks, welche in Medien die ich lese Publik wurden. Die Dunkelziffer dürfte deutlich größer sein.

"Dann geb ich meine Daten eben nicht mehr her..."

Tja, schlechte Aussichten. Ohne dass Du deine Daten weg gibst, ist ein Leben bald nicht mehr vorstellbar. Kleiner Ausblick:

China: Nasen-OP erzwingt neue Identität
Da Gesichtserkennungsverfahren nicht mehr funktionierten, musste sich eine Frau aus Wenzhou nach einer Schönheitsoperation überall neu anmelden.

Oder jetzt gerade ganz aktuell:

Deutsche Onlinehändler drücken sich vor Zwei-Faktor-Authentifizierung 
Das klingt jetzt erst mal nicht schlimm, aber wenn die EU das als Zwang durchsetzt, dann kann man ohne Angabe von Daten inklusive Handynummer bald nirgends mehr im Internet etwas bestellen.

Ein Leben ohne Nutzung der Digitalen Dienste und der damit einhergehenden Datensammelei wird bald kaum noch Möglich sein.

Außerdem bist Du, wenn Du das so siehst, eigentlich alleine. Das hier tut besonders weh:

Studie: Jeder Zweite will Daten von Gesundheits-Apps mit der Krankenkasse teilen

Der unbesorgte Umgang mit Daten löst bei mir fast schon physische Schmerzen aus.

Die Politik wird uns schon schützen

Ja, sicher:

Digitaloffensive: CDU will das Prinzip Datensparsamkeit endgültig entsorgen
Digitalisierungschancen sollen nicht länger durch Datenschutz blockiert werden, sagt der CDU-Vorstand. Datensouveränität sei zeitgemäßer.

Die aktuell regierenden Parteien sind der Meinung, wir sollen uns alle nicht so anstellen. Datensouveränität übersetze ich jetzt mal frei mit "der Bürger soll an die Firmen alles hergeben was geht, Bedenken sind nicht angebracht".

Der aktuelle Trend zum Datensammeln in absolut allen Bereichen (Behörden, Firmen, Organisationen, Heimnutzung etc) wird immer noch schlimmer werden. Noch immer brüllen die Marketing-Kampagnen aus allen Löchern, man solle die Daten in der Cloud speichern. Und die Politik bläst fleißig in das selbe Horn.

Warum verlieren die Unternehmen eigentlich die Daten?

Alle versichern, die Daten seien sicher. Ja, das haben alle oben genannten Unternehmen mit den Datenverlusten auch geglaubt. Aber Datenverlust hat's schnell. Oft reicht ein unbedachtes weg-klicken eines Häkchens in einem Dialog (nur autorisierter Zugriff) oder in der Alltags-Hektik vergessen die Standard-Passwörter durch sichere zu ersetzen. Schon ist es passiert.

Es sind meist nicht unglaublich tolle Hacker mit Kaputzenpulli, die in nächtlichen Sitzungen in die Systeme eindringen. Fast immer sind es klaffende Sicherheitslücken, die seit Monaten zwar vom Hersteller gepatcht sind, aber von den Unternehmen nicht aufgespielt werden.

Was das für uns bedeutet

Wenn sich dieser Trend nicht aufhalten lässt, müssen wir lernen damit umzugehen.

In Zukunft wird das die Realität sein:

  • Alle(!) meine Daten sind für jedermann zugänglich.
    • Also auch für jede Art Verbrecher.
    • Auch für jedes Unternehmen (Versicherungen, Kunden etc).
  • Diese Daten umfassen:
    • Persönliche Angaben und Daten (Ausweisnummern, Ausbildung, Beruf, Gehalt, ...).
    • Unliebsame Angaben (Browserverlauf, sexuelle Vorlieben und Fetische ...).
    • Unser Kaufverhalten (Lieblingsmarken und Produkte, Lebenseinstellung wie "Vegan" ...).
    • Mit welchen Menschen wir kommunizieren und interagieren (Partnerschaftsstatus, Sexualität, Freundeskreis ...).
    • Politische und religiöse Ansichten.
    • Wo wir uns befinden, was wir tun, wo wir waren.
    • Vergangenheit (Kindheit, Jugendsünden ...).
  • Alle Dienste die auf diesen Daten basieren werden unsicher sein.
  • Identitätsdiebstahl wird zur Tagesordnung.
  • Konsequenzen sind abzusehen
    • Strafsachen
    • Religiöse und politische Verfolgung
    • Diffamierung und Mobbing
    • Benachteiligung (auch finanzielle, soziale und berufliche)
    • ...

Nicht nur kann die Verfügbarkeit dieser Daten weitreichende negative Folgen für uns haben. Es wird fast noch Schlimmer wenn mit den Daten Fehler passieren. Nicht nur faktische Fehler, wie zB falsche Zuordnungen, Namensgleichheiten und derlei Dinge. Auch falsche Schlussfolgerungen durch Algorithmen sind nicht auszuschließen und es gibt hinreichend Beispiele wo das bereits passiert ist (Entlassungen, Kontosperrungen, Verweigerung einer Versicherung etc).

Das Hauptproblem wird nicht die alleinige Verfügbarkeit der Daten sein, sondern die unzweckmäßige Verwendung und damit der Missbrauch dieser Daten. Und Missbrauch liegt immer dann vor, wenn die Daten entgegen der Interessen der betroffenen Individuen verwendet werden, oder zu deren Nachteil. Und das hängt natürlich davon ab, wer(!) Zugriff hat. Und wie oben eindrucksvoll nachvollziehbar, ist das irgendwann prinzipiell jeder.

Wer schützt uns?

Kurze Antwort: Niemand

Lange Antwort: Absolut niemand.

Warum? Weil es, außer den Opfern, keinen gibt den es interessiert. Die Unternehmen (also die Wirtschaft) interessiert das nicht im geringsten. Die wollen die Daten. Daten sind das Öl des 21 Jahrhunderts. Wenn da mal ein paar Liter weglaufen ist das doch kein Problem.

Die Politik hat selbst Interesse an den erhobenen Daten. Die Wähler genau kennen, Terrorismus bekämpfen, das Leben verbessern. Das sind Versprechen die mit der Datensammlung verknüpft werden. Ganz nebenbei erhält man volle Kontrolle über die Bevölkerung... Und natürlich ist die Politik stark von Wirtschaftsvertretern beeinflusst.

Okay, dann geb ich überall nur falsche Daten ein!

Das ist eine legitime Möglichkeit sich zu wehren. Allerdings wird man dann kaum noch etwas im Internet bestellen und bezahlen können. In China ist es in vielen Supermärkten schon so, dass man ohne Gesichts-Scan gar nicht zahlen oder kaufen kann... Online-Bankgeschäfte und Online-Einkauf werden in absehbarer Zeit die primären Varianten sein. Persönliches Banking oder Einkaufen wird Luxus werden.

Inzwischen erdenken sich Manche bereits effektive Schutzmaßnahmen um nicht überall erkannt zu werden und automatisierter Erfassung zu entgehen. Die Beweggründe seien mal außer Acht gelassen, so ist der Einfallsreichtum schon bewundernswert:

undefined  undefined

undefined  undefined

Tatsächlich kann man so natürlich nicht jeden Tag auf die Straße gehen. Es gibt nur eine Stelle an der dem Datensammeln Einhalt geboten werden kann: die Politik. Und hier haben wir geballte Inkompetenz, Unwissenheit und Lobbyarbeit durch die Datensammler. Eine Lösung aus dieser Richtung wird es nicht geben!

Fazit

Sorry, ich hab kein Fazit. Ich bin absolut Ratlos wie man diesen Trend in eine vernünftige Richtung drehen kann. So lange selbst IT-Experten es für gut halten alle Unternehmensdaten auf irgend einem Server im Ausland zu hosten wird das weitergehen. So lange die Nutzer ihre Daten sorglos jedem anvertrauen und nichts hinterfragen, werden weiter riesige Mengen Daten angesammelt. Menschen die sich Amazon Echo oder Google Home Assistant ins Wohnzimmer oder gar Schlafzimmer stellen werden irgendwann feststellen dass das keine gute Idee war. Aber natürlich viel zu Spät. Das selbe gilt für Heizkörpertermostate, Haussteuerungen und Türschlösser die durch die "Cloud" bedient und überwacht werden.

IT-Projekt-Architekten sehen in der zentralen Speicherung von Daten noch immer den heiligen Gral. Vor allem im Bereich der Gesundheit sind die Absichten meist gut. Man verspricht sich dadurch bessere Therapien und Fortschritte in der Forschung. Ja, das zentrale verwalten von Daten macht in solchen Situationen durchaus viel Sinn und macht manch Forschung überhaupt erst Möglich. Aber Menschen, die solche Systeme bauen, sollten sich vorher(!) mit Datenschutz befassen. Es ist nicht immer nötig, Gesundheitsdaten mit Name, Anschrift und Geburtsdatum zu sammeln um diese Sinnvoll auszuwerten. Anonymisierung würde viel helfen. Datensparsamkeit ist angebracht!

Mit der aktuellen Entwicklung werden wir uns auf ein Leben einstellen müssen, in dem irgendwie jeder Nakt ist - jeder alles über mich in Erfahrung bringen kann. Es wird sehr ungerecht zugehen, denn manche werden in dem System Wege finden es zu ihrem Vorteil auszunutzen. Und zum Nachteil anderer.

Man mag mich heute einen Schwarzseher nennen. Wenn ich Unrecht habe, würde ich mich wirklich freuen. Aber momentan läuft mir der Trend in der IT-Welt wirklich total gegen den Strich. Die Anzeichen für den Daten-GAU sind so deutlich wie die seit Jahren sichtbaren Anzeichen für den von Menschen gemachten Klimawandel. Auch hier hört niemand zu, der was zu sagen hat. Und die Überbringer der schlechten Nachrichten werden lieber gesteinigt statt ihnen zuzuhören.

Dann drücken wir mal die Daumen...