Süddeutsche Zeitung

Datenklau:Wenn Opfer nicht wissen, dass sie Opfer sind

  • Immer mehr Firmen werden die Daten ihrer Kunden gestohlen. Datendiebstahl ist ein alltägliches Delikt geworden, und jeder kann zum Opfer werden.
  • Werden die Daten alle veröffentlicht, dann kann es im Leben der Betroffenen zugehen wie auf einem Dominospielbrett.
  • Trotz all dieser bekannten Schwachpunkte der digitalen Datensammelei geben die Menschen gerne ihr Innerstes preis.
  • Bis sich ein kulturgesellschaftliches Bewusstsein dieser Problematik herausbildet, wird es noch dauern.

Von Johannes Boie

Eine kurze Übersicht über einen kleinen Teil der Firmen, denen in der letzten Zeit Daten geklaut wurden: Target, eine amerikanische Supermarktkette. Ebay, das Online-Auktionshaus. AOL, der Internetprovider. Adobe, die Softwarefirma. Snapchat, das hippe Soziale Netzwerk mit Videobildern. Sony Entertainment, der Unterhaltungsgigant, der die Welt unfreiwillig mit internem, geklautem und politisch nicht gerade korrektem E-Mail-Verkehr seiner Mitarbeiter zu unterhalten gezwungen war, weil ein paar Hacker das so wollten.

Und dann war da noch die ominöse Attacke des vergangenen Sommers, bei der 1,2 Milliarden Datensätze von unterschiedlichen Webseiten geklaut worden sind, offenbar von einer Handvoll russischer Hacker aus einem kleinen Ort. Und das sind nur die bekanntesten Fälle. Von Hunderten Attacken auf deutsche und amerikanische Firmen berichten die Archive allein für das laufende Jahr 2015. Datendiebstahl ist ein alltägliches Delikt geworden, und jeder kann zum Opfer werden.

Der jüngste Eintrag auf der Liste ist der Diebstahl bei Avid Life Media (ALM), der Firma, die unter anderem die Webseite Ashley Madison betreibt. Der Angriff hält seit Beginn der Woche mindestens 37 Millionen Menschen in Atem, nämlich diejenigen, die sich auf dem Seitensprungportal registriert haben. Ihre Namen, Adressen, Kreditkartendaten, (Nackt-)Fotos und sexuellen Fantasien sind jetzt in den Händen von unbekannten Schwerkriminellen, die sich mit dem moralisch gemeinten Argument verteidigen, wer sich auf einer Plattform für Affären registriere, der habe es nicht anders verdient.

"Betrügerische Drecksäcke"

"Wie blöd für diese Männer, die betrügerische Drecksäcke sind und keinerlei Diskretion verdienen", schreiben die Hacker und: "Wie blöd für ALM, dass der Konzern Sicherheit versprochen hat, aber sein Versprechen nicht eingelöst hat." Die Hacker verlangen, dass der kanadische Konzern alle seine Webseiten abschaltet, allesamt Portale, die ähnliche Bedürfnisse wie Ashley Madison erfüllen. ALM wollte bald an die Börse gehen und dabei 200 Millionen Dollar erlösen. Davon scheinen die Kanadier nun weiter entfernt zu sein denn je.

Verschiedene Aspekte machen die Attacke auf die Affären-Seite besonders interessant. Zum einen sind da die potenziellen Folgen. Werden die Daten alle veröffentlicht, wie die Hacker das angedroht haben, dann kann es im Leben der Betroffenen zugehen wie auf einem Dominospielbrett. Ehen werden zu Bruch gehen, Menschen werden ihre Familien verlieren, veröffentlichte Zahlungsdaten werden missbraucht werden, Menschen, deren intime Bilder auftauchen, können zum Opfer von Mobbing und Hass werden. Es wäre nicht erstaunlich, wenn Menschen in der Folge dieses Diebstahls ihr Leben verlieren würden.

Zum anderen ist da die Rechtfertigung der Hacker. Gerade weil sie so absurd erscheint, illustriert sie, wie unterschiedlich Hacker mittlerweile agieren. Die klassische Unterscheidung in "black", "grey" und "white hat", also in die guten Hacker, die sich als Träger weißer Hüte bezeichnen, die zwielichtigen und die bösen, ist historisch. Es gibt Hacker, die arbeiten für Regierungen, für Unternehmen, für kriminelle Organisationen. Es gibt Hacker, die hacken, weil sie es können, weil sie viel Geld verdienen können mit geklauten Daten und mittlerweile offenbar auch, wie möglicherweise im Fall Ashley Madison, weil sie sich für moralisch überlegen halten.

Die Zahl der 37 Millionen Datensätze erinnert daran, dass jedes wirtschaftlich arbeitende Unternehmen Daten zentral lagern muss. Auf keinem Server dieser Welt liegt ein einzelner Datensatz, das wäre ineffizient. So wird die Beute immer fetter. Für die Nutzer aber steigt die Gefahr, zum Kollateralschaden zu mutieren, einfach nur, weil ihre Daten halt dabei waren, als ein paar Kriminelle zugriffen.

Menschen geben gerne ihr Innerstes preis

In dieselbe Verantwortung, nämlich in die der datensammelnden Unternehmen, fällt die Frage nach der Datensicherheit. Anders als ein Flugzeughersteller, der ebenfalls viel Verantwortung trägt, muss ein rein digitales Unternehmen die Sicherheit des eigenen Produkts nicht einmal grundsätzlich testen, sondern permanent. Die technologische Entwicklung ist so schnell, dass die für Sicherheit zuständigen Administratoren der Firmen mit den Hackern tagaus tagein Hase und Igel spielen. Manchmal geht es um Stunden.

Dieses Spiel ist teuer und die Firmen sind von den Softwareunternehmen abhängig, bei denen sie zum Beispiel ihre Datenbanksoftware oder ihre Internetseite gekauft haben. Und die sichern ihre Produkte nach dem Bekanntwerden einer Sicherheitslücke häufig nicht schnell genug ab. Wie auch - allein im Jahr 2015 sind bis heute 2662 Softwareschadstellen offiziell gemeldet worden, nach einer Statistik des Hasso Plattner Instituts. Und das sind nur die Lücken, die offen bekannt sind. Ordentliche Hacker kennen in der Regel noch andere - oder haben den Ehrgeiz, eigene zu finden.

Und trotz all dieser bekannten Schwachpunkte der digitalen Datensammelei geben die Menschen gerne ihr Innerstes preis auf Seiten wie Ashley Madison - die ja nun nicht zum mehr oder weniger unvermeidbaren Alltag gehören wie Google oder Facebook und die sehr offen nach sehr viel expliziteren Dingen fragen als etwa Whatsapp oder Apple. Jeder Mensch möchte mit jeder Handlung seine eigene Lebenssituation verbessern. Das Produktversprechen der Webseiten ist so gut, dass die Hürde, die eigenen Geheimnisse preiszugeben, sehr niedrig erscheint. Mehr noch: Die ständige Verletzung der eigenen Würde durch die Preisgabe des Innersten steht direkt neben der Stärkung der Würde, weil viele offenbar nur hier sich trauen, ihr Innerstes zu offenbaren.

Reale Auswirkungen

Das ist auch dadurch bedingt, dass es für Nutzer nicht einfach zu verstehen ist, dass ein virtueller Mausklick höchst reale Auswirkungen haben kann. Ähnlich wie beim Cybermobbing, bei dem Menschen andere Menschen, die ihnen wildfremd sind, bis in den Suizid erniedrigen, fehlt auch hier für alle Beteiligten eine direkte, emotionale Reaktion auf das eigene Handeln. Wer einem Freund in einer Bar ein, zwei Geheimnisse anvertraut, wird danach, abhängig von der Reaktion des Freundes, noch länger reflektieren, ob das nun richtig oder falsch war. Die Eingabemaske der Webseite aber bleibt immer dieselbe. Ist das Notebook erst mal zugeklappt, scheint das Problem gelöst zu sein. Und wem Daten geklaut werden, der spürt zunächst mal nichts. Materiell fehlt schließlich nichts. Und Firmen haben kein größeres Interesse daran, Angriffe zu melden - falls sie sie überhaupt bemerkt haben. Die allermeisten Opfer wissen deshalb gar nicht, dass sie Opfer sind.

Bis sich ein kulturgesellschaftliches Bewusstsein dieser Problematik herausbildet, wird es noch dauern. Das liegt auch daran, dass die Politik in den letzten Jahren nie als Korrektiv des marktwirtschaftlichen Datenrauschs gewirkt hat, sondern, wenn sie es denn intellektuell überhaupt geschafft hat, die Technologie zu erfassen, als Beschleuniger. Kaum ein Konzern presst so viele Geheimnisse aus seinen Nutzern wie der Staat aus seinen Bürgern, und im Gegensatz zum freien Markt hat der Bürger auch kein Recht, dem Staat die Daten einfach zu verweigern. So kann in nächster Zeit kein Bewusstsein für die notwendige Sensibilität entstehen. Darum kümmern sich bislang neben Aktivisten höchstens Medien. Zuletzt hat CNN eine nette Oberfläche ins Netz gestellt, der ein Nutzer nur mitteilen muss, bei welchen Unternehmen er Kunde ist, um zu erfahren, was ihm möglicherweise schon alles geklaut wurde. Man schläft danach nicht unbedingt besser, selbst wenn das Notebook zugeklappt ist.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.2577899
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ vom 23.07.2015
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.