Eine neue Ära des Datenschutzes Hackerparadies - was Unternehmen künftig blüht und droht

Fast alle Unternehmen schützen persönliche Daten ihrer Kunden nicht ausreichend. Ab Mai 2018 drohen ihnen dafür drakonische Strafen.
Von Eva Müller

Die folgende Geschichte stammt aus der Ausgabe 11/2017 des manager magazins, die Ende Oktober erschien. Wir veröffentlichen Sie hier als Kostprobe unseres Journalismus' "Wirtschaft aus erster Hand". Damit Sie künftig früher bestmöglich informiert sind, empfehlen wir ein Heft-Abo.

Der nackte Bieber ist wieder aufgetaucht. Ende August sorgten Fotos für Aufregung, die Popstar Justin Bieber ohne Badehose zeigen. Die zwei Jahre alten Paparazzi-aufnahmen erschienen auf der Instagram-Seite seiner einstigen Flamme Selena Gomez. Hacker hatten den Account der Internetikone, den 128 Millionen Fans rund um den Globus regelmäßig anklicken, gekapert und die Schnappschüsse von Justin dort eingestellt.

Eine Schwachstelle in der Software der Facebook-Tochter verschaffte den Cyberkriminellen Zugang zu den Daten von Millionen Nutzern. Im Anschluss an ihren digitalen Diebstahl boten sie über eine Seite namens Doxagram für jeweils zehn Dollar Telefonnummern und Mailadressen von rund 1000 Promis an - darunter jene von Designerin Victoria Beckham, den Musikerinnen Beyoncé und Adele sowie den Fußballern Zinedine Zidane und Neymar.

Ziemlich blöd für die VIPs. Für Instagram-Mitgründer Mike Krieger indes hielten sich die Folgen des Hacks in Grenzen. Er bat um Verzeihung - "Very sorry this happened" - und ertrug den Spott der Branche.

Noch kommen Unternehmen damit durch. Ab kommendem Frühjahr aber kratzt die Verletzung von Persönlichkeitsrechten nicht mehr nur am Image. Dann macht sich strafbar, wer nicht für die Sicherheit privater Daten sorgt. Zumindest bei EU-Bürgern wie dem Franzosen Zidane. Ob die attackierte Firma in Europa sitzt, im Silicon Valley oder in China, ist irrelevant.

Die DSGVO kennt keine Kompromisse

Die Datenschutz-Grundverordnung (DSGVO) der EU, die am 25. Mai 2018 finale Rechtskraft erlangt, kennt keine Kompromisse. Wer ab diesem Tag gegen die Regeln für den Umgang mit personen- bezogenen Informationen von EU-Bürgern verstößt, dem drohen drakonische Strafen. Die Übergangsfrist ist dann abgelaufen.

Die zuständige Justiz- und Verbraucherschutzkommissarin Vera Jourová hat bereits effiziente "Durchsetzungsmöglichkeiten" für die Behörden in den 28 Mitgliedstaaten angekündigt: "Die Bußgelder können sich auf bis zu 4 Prozent des Jahresumsatzes belaufen." Als Grundlage dient der Gesamterlös eines Konzerns, nicht nur der Umsatz der Vertriebstochter vor Ort. Das Gesetz hat also das Potenzial, Firmen, die ihre IT nicht in den Griff bekommen, auszuschalten.

Mit den schmerzhaften Sanktionen will Brüssel sicherstellen, dass die Regeln auch wirklich eingehalten werden. "Eine abschreckende Wirkung bei Verstößen ist explizit gewünscht", warnt Katharina Küchler, Anwältin beim Internetverband Eco.

Ein Cyberrisiko der anderen Art

Ein Cyberrisiko der anderen Art, das einer Vielzahl von Unternehmen die Bilanzen zu verhageln droht. Denn laut dem Datenspezialisten Veritas  hat sich weltweit jede zweite Organisation noch gar nicht auf die neuen EU-Sicherheitsvorschriften vorbereitet. Besonders schlecht sieht es nach einer aktuellen Umfrage des Branchenverbands Bitkom in Deutschland aus. Gerade einmal 13 Prozent aller Firmen haben hierzulande damit begonnen, ihre IT-Systeme den neuen Regeln anzupassen. Und das, obwohl 98 Prozent der Befragten durchaus "schon von der DSGVO gehört" haben (Bitkom-Geschäftsleitungsmitglied Susanne Dehmel).

"Brandgefährlich" sei diese Nachlässigkeit, klagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik. Er warnt: Wer das Thema Cybersecurity nicht schleunigst ernst nehme, setze die Existenz seiner Firma aufs Spiel. Viel Zeit bleibt nicht mehr.

Welche Schäden Hackerangriffe schon heute anrichten, war zuletzt mehrfach zu beobachten. Im Mai befiel die Ransomware WannaCry 75.000 IT-Anlagen in rund 150 Ländern - darunter bei der Deutschen Bahn. Renault  musste an mehreren Standorten sogar die Produktion einstellen. Wer den Trojaner loswerden wollte, sollte Lösegeld zahlen. Ein anderer Datendieb stahl einer Schönheitsklinik OP-Protokolle. Für deren Nichtveröffentlichung verlang-te er von den Patienten jeweils bis zu 2000 Euro.

Im Juni schlugen erneut Cybererpresser zu. Dieses Mal erwischte es den Logistiker TNT und den Reedereikonzern Maersk. TNT konnte keine Sendungen mehr verfolgen, Maersk keine Aufträge mehr annehmen. Die Dänen rechnen mit einem Schaden von bis zu 300 Millionen Euro.

Attacke auf Equifax und Reckitt Benckiser

Erst im Juli bekam der Markenriese Reckitt Benckiser  (Calgon, Sagrotan) die Folgen eines 45-minütigen Ausfalls von rund 500 Computersystemen in den Griff. CEO Rakesh Kapoor bezifferte die Folgekosten des Peyta-Virus auf mehr als 100 Millionen Pfund. Er mahnte seine Kollegen: "Solche Hackerangriffe werden immer üblicher und immer ausgefeilter."

So wie die Anfang September bekannt gewordene Attacke auf Equifax. Bei der US-Wirtschaftsauskunftei erbeuteten Hacker Sozialversicherungs- und Kreditkartennummern von bis zu 143 Millionen Bürgern, fast jedem zweiten Amerikaner.

Die Beispiele belegen die Verwundbarkeit selbst hochgerüsteter Konzerne. Hierzulande wurde einer Bitkom-Erhebung zufolge in den vergangenen beiden Jahren die Hälfte aller Firmen angegriffen. Durch Wirtschaftsspionage, Sabotage und Datendiebstahl entsteht der heimischen Wirtschaft jährlich ein Schaden von rund 55 Milliarden Euro - ein Anstieg um 8 Prozent gegenüber der vorherigen Untersuchung. "Jeder kann Opfer eines Cyberverbrechers werden", warnt Verbandspräsident Achim Berg.

Auf die Schäden kommen Strafzahlungen obendrauf

Künftig kommen auf die Schäden auch noch Strafzahlungen drauf. Viele hiesige Unternehmen glauben, dass die DSGVO sich an die existierenden deutschen Datenschutzvorgaben anlehnt und sie daher nur wenig ändern müssen. Weit gefehlt.

Das neue EU-Gesetz regelt nicht nur, welche personenbezogenen Daten von wem gespeichert, verarbeitet und weitergegeben werden dürfen und in welchen Fällen um Erlaubnis gebeten werden muss. Die für alle 28 EU-Mitgliedsländer vereinheitlichten Regeln definieren auch, dass die datenerhebenden Unternehmen die volle Verantwortung für die Integrität und Sicherheit der persönlichen Informationen tragen. Sie müssen beweisen, dass sie alles getan haben, um Cybergefahren zu erkennen und abzuwehren. Bei neuen Systemen muss dokumentiert werden, wie Datenschutz und -sicherheit von vornherein in die IT-Prozesse eingebaut wurden.

Solche umfassenden Sicherheitsgarantien lassen sich nicht delegieren. Auch Unternehmen, die ihre Datenverarbeitung zu Cloud- oder Outsourcinganbietern verlagern, stehen in der Pflicht. Sie müssen dafür sorgen, dass sich die Servicefirma DSGVO-konform verhält. Schlimmstenfalls haften beide - Auftraggeber und Dienstleister.

Mehr noch: Sind personenbezogene Daten von einem Hackerangriff betroffen, ist die attackierte Firma verpflichtet, umgehend den zuständigen Landesdatenschutzbeauftragten zu informieren. Gleiches gilt bei selbst verschuldeten Datenpannen. Für die Meldung haben Unternehmen in der Regel nicht mehr als 72 Stunden Zeit. Zudem müssen die betroffenen "Datensubjekte" (alias Kunden) über den Vorfall informiert werden - je nachdem, wie stark ihre Rechte und Freiheiten gefährdet sind. Diese Nachricht darf "keinesfalls schuldhaft verzögert" werden, wie der auf IT-Recht spezialisierte Anwalt Thomas Rickert in schönstem Juristenslang erörtert.

Foto: manager magazin

Für die Firmen wird es dadurch sehr viel schwerer, Sicherheitsvorfälle zu verschweigen. Bislang wird nicht mal jeder dritte geglückte Hackerangriff gemeldet - aus Angst vor Imageschäden.

Für die Einhaltung all dieser Vorsorge- und Informationspflichten werden hierzulande nicht nur die Organisationen zur Rechenschaft gezogen. In Deutschland haften die Datenschutzverantwortlichen und Geschäftsführer auch persönlich.

Strenge Pflichten, abschreckende Strafen und dazu die Aussicht, selbst im Gefängnis zu landen - Führungskräfte hätten allen Grund, Datenschutz und IT-Sicherheit zur Chefsache zu machen. Tun aber nur die wenigsten.

Null Durchblick

"Von Adidas  bis zum Bezahlsender HBO wissen die Unternehmen nicht, wie sie das Thema anpacken sollen", sagt Christian Matthies, ehemals Sicherheitschef beim Onlinemodehändler Zalando . Inzwischen führt er die Berliner Beratungsfirma Twelve Beaufort. Es fehle seinen Kunden an Übersicht und Transparenz, so Matthies.

Ohne Durchblick im Datenwust lässt sich die DSGVO nicht erfüllen. Nur wer weiß, welche Informationen er wo speichert, verarbeitet oder an Dritte weiterleitet, kann seinen Kunden oder Mitarbeitern Auskunft geben - egal, ob es um die Genehmigung zur Verwendung persönlicher Angaben geht oder die Warnung vor Missbrauch nach einem Hackerangriff. Nur wer seinen Datenbestand kennt, merkt, ob überhaupt Material gestohlen wurde.

So unglaublich es klingt: Kaum ein Unternehmen hat diesen Überblick. Als Matthies im Frühjahr bei Air Berlin eine Selbstauskunft über die von ihm gespeicherten Daten anforderte, schickte ihm die damals noch intakte Fluggesellschaft elektronisch alle möglichen Tickets, die er nie gekauft hatte, sowie Kreditkartennummern ihm völlig unbekannter Personen.

In fast allen Unternehmen wuchern die EDV-Systeme planlos mit dem Wachstum des Geschäfts. Neue Funktionalitäten werden da an bestehende Software angeflanscht, Standardprogramme an interne Abläufe angepasst. Tech-affine Mitarbeiter basteln sich zu den offiziellen IT-Prozessen gern praktische Zusatzlösungen, deponieren Daten in Dropbox oder legen Excel-Tabellen auf ihren Privatrechner. Häufig sind 30 bis 40 unterschiedliche Systeme an einem einzigen Vorgang beteiligt.

Die digitalen Aufräumer

Ein solches Chaos zu durchdringen und auch noch perfekt abzusichern scheint nahezu unmöglich. "Im Schnitt dauert es mehr als 200 Tage, bis ein Hackerangriff entdeckt wird", erklärt Christian Nern, der bei IBM Deutschland das Security-Geschäft leitet. Daten strukturieren und zentralisieren, einheitlich managen und verschlüsseln sowie regelmäßiges Training der Mitarbeiter sind aus seiner Sicht die wichtigsten Schritte zu mehr Sicherheit.

Ein digitaler Aufräumer ist Bastian Nominacher. Der Mitgründer des Münchener Start-ups Celonis zeigt auf seinem Laptop ein ordentliches Schaubild - so systematisch sollten die Bestellungen eines deutschen Konzerns eigentlich ablaufen. Nun startet er bei dem Kunden seine Process-Mining-Technologie, um die tatsächlichen Abläufe zu analysieren. Binnen Sekunden tut sich ein Gewirr an verschlungenen Wegen auf. "Nur in einem Drittel aller Fälle folgt die echte Verarbeitung der Daten dem geplanten Prozess", fasst der Jungunternehmer das Ergebnis seiner Untersuchungen zusammen.

Datenschutzanalysen seien bei Celonis gerade ein "absoluter Burner", sagt Nominacher. Insbesondere weil einige Großkonzerne aufgewacht sind. Die Allianz  etwa hat sich drei Jahre Zeit genommen, um rechtzeitig konform mit den EU-Regeln zu sein. Seit 2016 arbeiten 70 unterschiedliche Projektgruppen bei dem Versicherer daran, die Kundendaten in jedem Land EU-adäquat zu schützen. Philipp Räther, Chief Privacy Officer der Münchener, sieht in dem Aufwand die "große Chance", das Vertrauen der Kunden in die Allianz zu stärken.

Hilfe hat er sich bei Thomas Kranig geholt. Der Chef des Bayerischen Landesamts für Datenschutzaufsicht bietet den Firmen in seinem Sprengel umfängliche Beratung an. Zu gern würde es der Wirtschaftsfreund vermeiden, ab kommendem Mai als Erfüllungsgehilfe von Brüssel Bußgelder bei seiner Klientel eintreiben zu müssen.

Die Digital Crime Unit steht in den Startlöchern

Nach der EU-Direktive sind auch Verfahren gegen Behörden möglich, die Verstöße nicht streng ahnden. Sein Team stehe in den "Startlöchern", um die "Prüfungsaktivitäten zu intensivieren", sagt der Beamte. Keiner soll sich Hoffnungen machen, die Umsetzung der DSGVO werde in Deutschland schon nicht so eng gesehen. "Abwarten und nichts tun, ist mehr als riskant", warnt Kranig.

Sicherheitsfirmen, Berater sowie IT-Dienstleister und Cloudanbieter hoffen bereits auf das große Geschäft. Microsoft  leistet sich in Deutschland sogar einen nationalen Sicherheitschef. Michael Kranawetter schildert, wie intensiv sich die mehr als 100-köpfige Digital Crime Unit des Konzerns auf die DSGVO vorbereitet hat: Da seien sogenannte Discovery Tools für Datenschutzabfragen entwickelt worden und ein Dashboard, in dem Sicherheitsvorfälle auf einen Blick erkennbar sind. Für das Auffinden von Lücken in seinen Programmen zahle Microsoft  bis zu 250.000 Dollar Belohnung.

All die intern getesteten Methoden und Tools biete Microsoft seinen Kunden an, wirbt Kranawetter. Beim Aufräumen der Daten sei der reinigende Umzug in die Wolke von größtem Nutzen. Für einen Cloud-anbieter natürlich ebenfalls.

Tatkräftiger Beistand

Derlei tatkräftigen Beistand würde sich auch die deutsche SAP-Klientel wünschen. Wolfgang Honold aus dem Vorstand der in Walldorf angesiedelten deutschsprachigen Anwendergemeinschaft DSAG erhofft sich von dem benachbarten Konzern seit Monaten "wichtige Hinweise und Tipps für die Datenschutzprojekte" der Mitglieder.

Mit ein paar Informationen sei SAP schon rausgerückt. Aber dass ausgerechnet die Funktionen zum Sperren und Löschen von Daten kostenpflichtig seien, ärgert viele Nutzer. SAP-Finanzchef Luka Mucic beteuert, sein Haus sei "bestrebt", die DSGVO-Bestimmungen zu 100 Prozent einzuhalten, und werde Produkte für die Unterstützung der Kunden entwickeln. Statt aber Lösungen anzubieten, hält sich Produktvorstand Bernd Leukert nach wie vor damit auf, die wettbewerbsverzerrende Wirkung der hohen Strafen zu monieren.

Fotostrecke

Ranking: Die schlechtesten Passwörter 2013

Für derartige Lobbyarbeit ist es längst zu spät. Nach vier Jahren Beratungs- und Vorbereitungszeit greift ab Mai 2018 das EU-Recht in seiner vollen Härte. Wenn dann ausgerechnet Deutschlands einziger Softwarekonzern von Weltrang patzt, würde dies einer gewissen Ironie nicht entbehren. Zumal für das wertvollste Unternehmen der Republik auch das Strafmaß exorbitant werden könnte.

Die fünf schlimmsten Datendiebstähle der 2010er Jahre

Die fünf schlimmsten Datendiebstähle der 2010er Jahre

YAHOOHACK

Im Sommer 2013 wurden beim größten Cyberangriff aller Zeiten sämtliche Konten kompromittiert - Hacker stahlen die Mailadressen von drei Milliarden Kunden.

ZIEL US-SCHUFA

Im Frühsommer 2017 klauten Datendiebe bei der US-Wirtschaftsauskunftei Equifax Finanzinformationen von bis zu 143 Millionen US-Bürgern. CEO Richard Smith musste gehen.

KRANKE KASSE

Bei Anthem, einem der größten Krankenversicherer der USA, griffen Anfang 2015 Internetkriminelle 80 Millionen Datensätze von Kunden samt Gehaltsinformationen ab.

SONY-SABOTAGE

Rund vier Wochen fiel im Frühjahr 2011 das Spielernetz der Playstation aus. Kreditkartendaten von 77 Millionen Abonnenten wurden bei der Attacke gestohlen.

SEXSKANDAL

Im August 2015 erbeuteten Kriminelle bei Ashleymadison.com rund 40 Millionen Nutzerdaten samt erotischen Vorlieben. Es läuft eine Sammelklage gegen das Seitensprungportal.

Die Wiedergabe wurde unterbrochen.