Dr. Hubert Jäger: „Setzt Privacy by Design endlich um!“

Rund 773 Millionen E-Mail-Adressen und mehr als 21 Millionen Passwörter: Nur wenige Wochen, nachdem ein Scriptkiddie die persönlichen Daten hunderter Prominenter geleakt hat, ist erneut ein gewaltiger Datensatz mit gestohlenen Log-in-Informationen im Internet aufgetaucht. Dieser bündelt offenbar Informationen aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen.

>>Hier können Sie überprüfen, ob Sie selbst von einem der jüngsten Daten-Leaks betroffen sind.

In der Folge fordern Datenschutzexperten und Politiker mehr Aufklärung, sicherere Passwörter und Maßnahmen wie Zwei-Faktor-Authentifizierung – und das durchaus zu Recht. Doch „all die guten Ratschläge und Forderungen befassen sich lediglich mit den Symptomen“, sagt Uniscon-Gründer Dr. Hubert Jäger: „Anstatt hier nur Schadensbegrenzung zu betreiben, muss man das Problem an der Wurzel anpacken!“

Die Technik selbst sorgt für den Datenschutz

Sealed-Cloud-Erfinder Jäger mahnt: „Es ist höchste Zeit, dass bei der Entwicklung neuer Technologien – seien es Cloud-Dienste, soziale Netzwerke oder Kommunikationslösungen – Datenschutz- und IT-Sicherheitsgrundsätze von Anfang an in die Konzeption mit einbezogen werden.“ Dieser „Privacy by Design“-Ansatz sei eine der wesentlichen Neuerungen der EU-Datenschutz-Grundverordnung (DSGVO) – diese fordert in Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Demnach sind technische Lösungen so auszuwählen, dass sie „dafür ausgelegt sind, die Datenschutzgrundsätze (…) wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“ Wenn diese Forderungen überall konsequent zur Anwendung kämen, würde mit der Technik selbst für den angemessenen Datenschutz gesorgt.

Darüber hinaus müsse man neben der Cloud-Sicherheit auch die Client-Sicherheit gezielt angehen – also die Zugänge, über die Anwender auf Online-Dienste zugreifen. „Das verbreitete System aus Nutzername und Passwort hat sich wiederholt als zu unsicher erwiesen“, sagt Jäger. Passwörter würden zu häufig erraten, durch Anwenderfehler offenbart oder durch Schadsoftware erbeutet.

Die meisten Daten „leaken“ häufig direkt aus der Cloud. Daher gälte es, zunächst die zugrundeliegenden Infrastrukturen abzusichern, damit sie auch gegen privilegierte Zugriffe durch Mitarbeiter geschützt sind. Dr. Jäger spricht hier von so genannter „Betreibersicherheit“. Als zweites bräuchte man Zugänge mit hoher Nutzerfreundlichkeit, die sicherer als Nutzername-Passwort-Zugänge sind. Denn nur wenn sich neue, sichere Technologien genauso einfach bedienen lassen wie vielgenutzte unsichere Lösungen, akzeptieren die Nutzer sie auch.

Sichere Technologien existieren bereits

Die sicheren Technologien, von denen Dr. Jäger spricht, existieren bereits: Deutsche Unternehmen setzen schon seit Jahren betreibersichere Cloud-Dienste, elegante Zwei-Faktor-Authentisierung oder sogar passwortlose Zugänge ein. Dabei handelt es sich nicht nur, aber besonders um jene deutschen Unternehmen, die große Mengen schützenswerter Daten sammeln, übertragen oder verarbeiten.

Doch wie kann man die Anbieter von Internetdiensten für Verbraucher und Unternehmen dazu bewegen, smarte und sichere Technologien auch tatsächlich anzuwenden? „Mit der Einführung einer Versicherungs- oder Rückstellungspflicht für Cyber-Risiken“, schlägt Jäger vor.

Mit einer solchen Pflicht ließen sich zum einen Unternehmen bestrafen, die sicherheitstechnisch schlampig agieren. Denn sie müssten besagte Rückstellungen aus dem Gewinn bilden. Sicherheitstechnisch innovative Unternehmen würden hingegen belohnt, da sie die gebildeten Cyber-Risk-Rückstellungen gewinnsteigernd auflösen könnten.

„Nur wenn das rasant wachsende Risiko der Digitalisierung in der handelsrechtlichen Betrachtung berücksichtigt ist, werden auch die notwendigen und ökonomisch sinnvollen Maßnahmen ergriffen“, sagt Dr. Jäger. Ohne diese Maßnahmen bleibt der Datenschutz auch weiterhin ein zahnloser Tiger.