Angriffe auf Datenbanken von Firmen werden derzeit zuhauf publik. Zuletzt war die SBB wegen eines Datenlecks im Fokus. Aber auch die Plattformen Swisstransplant und meineimpfungen.ch sowie jüngst ticketcontrol.ch offenbaren Sicherheitslücken beim Datenschutz. Weshalb das so ist, und was diese Angriffe für die Cybersicherheit in der Schweiz bedeuten, erklärt Experte Marc Ruef im Interview.
SRF News: Scheint es nur so, oder nehmen Datenlecks in der Schweiz in letzter Zeit zu?
Marc Ruef: In der Tat, die Anzahl der Datenleaks nimmt stetig zu. Und die Berichterstattung dazu ebenso. Dies gilt nicht nur für die Schweiz, sondern für die ganze Welt.
Warum ist das so?
Organisationen und Behörden sammeln zunehmend Daten über Benutzer und ihr Verhalten. Da ist es nur eine Frage der Zeit, bis irgendwo ein Fehler passiert und diese Daten geleakt werden. Nicht umsonst predigen Cybersecurity-Spezialisten seit Jahren «Datensparsamkeit». Zudem erkennen immer mehr Leute den Wert, der solchen Daten beigemessen werden kann. So mancher möchte in einem der vielen Datenmärkte das schnelle Geld machen. Das ist aber meist schwieriger, als man sich das als Laie vorstellt.
Welche Folgen hat das für zukünftige Digitalisierungsprojekte wie eine E-ID?
Zu meinem Bedauern in den meisten Fällen wahrscheinlich keine. Nach wie vor zelebriert man die digitale Transformation mit einer gefährlichen Naivität. Cybersecurity wird vielerorts ignoriert oder vernachlässigt. Da können langfristig tatsächlich nur konkrete gesetzliche Vorgaben und konsequente Strafen helfen.
Cybersecurity wird vielerorts ignoriert oder vernachlässigt.
Nun aber zu behaupten, dass sämtliche Digitalisierungsprojekte nichtig sind, wäre zu einfach. Für viele digitale Probleme gäbe es Ansätze, die Risiken zu minimieren. Gerade die zentralen Projekte des Bundes geniessen in dieser Hinsicht eine erhöhte Aufmerksamkeit.
Gibt es Zahlen zur Häufigkeit von Hackerangriffen in der Schweiz?
In der Schweiz sind uns rund 9 Millionen geleakte Konten bekannt. Diese Zahl ist aber mit Vorsicht zu geniessen, da eine hohe Dunkelziffer von Fällen, die nie oder erst sehr stark verzögert an die Öffentlichkeit kommen, vermutet werden muss. Viele Firmen bemühen sich in egoistischer Weise darum, dass bei Leaks keine Details nach aussen dringen. Das totalrevidierte Datenschutzgesetz sieht aber zukünftig vor, dass betroffene Personen konsequent informiert werden müssen.
Ist jeweils überprüfbar, ob Daten in falsche Hände gelangten?
Es gibt forensische Möglichkeiten, um Angriffe nachzuvollziehen. Diese sind aber oftmals aufwändig und können selten abschliessende Erkenntnisse liefern. Aber spätestens, wenn die Daten im Darknet zum Verkauf angeboten werden, hat man unliebsame Gewissheit. Für Unternehmen wird es also wichtig, die entsprechenden Datenmärkte im Auge zu behalten.
Welche juristischen Folgen drohen einem Unternehmen nach einem Datenleck?
Das neue Datenschutzgesetz in der Schweiz tut es der EU-Datenschutzgrundverordnung (DSGVO) gleich und sieht Bussen bis zur Höhe von 250'000 Franken vor. Wie konsequent diese ausgesprochen werden, wird erst die Zukunft zeigen. Vor allem, da ausschliesslich eventualvorsätzliches Verhalten von natürlichen Personen bestraft werden soll.
Man sollte Datensparsamkeit leben und auf das Erstellen unnötiger Konten und die Angabe nicht zwingend erforderlicher Daten verzichten.
Was geschieht mit geleakten Daten?
Diese werden in der Regel zuerst verkauft und zu einem späteren Zeitpunkt in der Szene getauscht. Irgendwann tauchen sie meistens «frei» zugänglich in Foren oder Tauschbörsen auf. Der Erwerb der Leaks dient in der Regel dazu, Identitätsdiebstahl, Angriffe auf Passwort-Authentifizierung oder Phishing umzusetzen. Auch Jahre später können sie durch Cyberkriminelle genutzt werden, um die betroffenen Personen zu belästigen.
Wie kann ich meine eigenen Daten am besten schützen?
Man sollte selber Datensparsamkeit leben und auf das Erstellen unnötiger Konten und die Angabe nicht zwingend erforderlicher Daten verzichten. Das Nutzen der stetig gleichen Passwörter sollte vermieden und diese regelmässig geändert werden. Dadurch kann man zwar einem Leak nicht vorbeugen, aber den Wert der gestohlenen Daten und die eigene Angreifbarkeit massgeblich mindern.
Das Interview führten Enrique Heer und Laura Sibold.