Erstellt am: 3. 6. 2013 - 10:41 Uhr
Datenschutz hilft, Cyberspionage abzuwehren
Wenn der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am kommenden Donnerstag zusammentritt, dann wird dort ein Thema mit abgehandelt, das nicht auf der Tagesordnung steht. Nach Ansicht dreier unabhängiger Sicherheitsexperten, die von ORF.at befragt wurden, wird bei dieser ersten Beratung über Maßnahmen gegen Cyberangeriffe automatisch auch über die heftig umstrittene Novelle zum EU-Datenschutzpaket diskutiert.
"Firmen, in denen das Thema Datenschutz hoch angesiedelt ist, haben praktisch immer auch ein überdurchschnittlich hohes Sicherheitsniveau. Beides geht ja Hand in Hand", sagte Joe Pichlmayr zu ORF.at. Erst wenn quer durch die Belegschaft ein Bewusstsein dafür da sei, dass Daten einen Wert darstellen, der von existenzieller Bedeutung für ihr Unternehmen sei, könne auch ein "vitales Interesse entstehen, diese Daten auch zu schützen"; Mit dieser Ansicht steht der Geschäftsführer des österreichischen Sicherheitsunternehmens Ikarus nicht allein.
Datenschutz, Informationssicherheit
"Das kann ich nur unterschreiben. Wer die Aufgabe hat, was auch immer an Informationen zu schützen, der muss sich auch intensiv mit Sicherheitsfragen beschäftigten", so IT-Sicherheitexperte Rene Pfeiffer, der aus der Hackerszene kommt.
"Das ist nur logisch" sekundiert Sicherheitsberater Gert-Rene Polli, was in der allgemeinen Öffentlichkeit nämlich unter "Datenschutz" verstanden werde, sei doch nur Teil des Komplexes "Informationssicherheit". Dieser Begriff stammt aus der militärischen Welt, seit jeher ist "Information Assurance" neben der Spionage ("Signals Intelligence") eine der beiden Kernaufgaben des fortgeschrittensten aller Militärgeheimdienste, der National Security Agency der USA.
HNA, Hacker, Wirtschaft
Der nunmehrige Sicherheitsberater Polli war mehr als zwei Jahrzehnte für das Heeresnachrichtenamt (HNA) tätig und wurde 2002 Direktor des damals neu gegründeten Bundesamts für Verfassungsschutz und Terrorismusbekämpfung (BVT) im Innenministerium. Dass ein gelernter Geheimdienstmann derselben Ansicht zu diesem Thema ist, wie ein gelernter Hacker und der Geschäftsführer einer mittelständischen Antі-Virusfirma klingt nur für Außenstehende befremdlich.
In der Sicherheitsbranche ist es "Common Sense", dass die absolut wichtigste Linie der Verteidigung gegen die überbordenden Spionageangriffe auf Unternehmen das Sicherheitsbewusstssein der Mitarbeiter ist. Dieser Aspekt wurde im Zusammenhang mit dem EU-Datenschutzpaket bis jetzt noch überhaupt nicht diskutiert.
Ein Bärendienst
Im EU-Ministerrat, wo die Meinungsbildung von großen Mitgliedsstatten wie England, Frankreich oder Spanien überproportional geprägt ist, wird der Parlamentsentwurf zum Datenschutzpaket regelrecht demontiert. Österreich hat deshalb generellen Vorbehalt eingelegt .
Dieser wichtige Aspekt der EU-Datenschutznovelle aus dem Blickwinkel der Datensicherheit ist in die Diskussionen von EU-Parlament und Ministerrat bis jetzt noch überhaupt nicht eingeflossen. Jene EU-Parlamentarier, die erklärtermaßen die Interessen der Wirtschaft schützen wollen, indem sie Partei gegen grundlegende Maßnahmen zum Datenschutz ergreifen, erweisen der Wirtschaft damit einen Bärendienst, meint Pfeiffer.
Jede Hebung des betrieblichen Datenschutz- und damit des Sicherheitsniveaus bringe einen "wirtschaftlichen Benefit mit sich, der überhaupt nicht abstrakt sondern in konkreten Zahlen darstellbar ist."
"Geistiges Eigentum der KMUs"
"Betroffen sind vor allem kleine und mittelständische Unternehmen, bei denen in Österreich Innovation und Knowhow zuhause sind", sagt Polli, "Es geht hier um den Schutz des geistigen Eigentums dieser Firmen." Und das sei schon jetzt ziemlich gefährdet, denn "dieser Bereich ist leider so offen wie ein Scheunentor."
Angesichts der kleinteiligen Struktur der österreichischen Wirtschaft sei es gerade für innovative und obendrein neu gegründete Firmen gar nicht erschwinglich, von vornherein eine entsprechend dimensionierte Sicherheitsabteilung mit einem "Chief Security Officer" einzurichten, so Polli weiter.
"Authentizität, Integrität und Vertraulichkeit"
Solche "Targeted Attacks" oder "Spear Phishing" genannten Angriffsformen zielen auf einen definierten Personenkreis. Im Fall von Cyberspionage zum wirtschaftlichen Vorteil werden etwa die Mitarbeiter einer Firma in Sozialen Netzen beobachtet und dann kontaktiert. Sobald eine gewisse Vertraulichkeit gegegeben ist, kommen die Angriffsmails, deren Anhänge eine bis dahin nicht bekannte Sicherheitslücke angreifen. Damit ist man im Firmennetzwerk.
Wer unter "Schutzmaßnahmen für betriebliche Daten" die bloße Einrichtung von Firewalls und Virenscannern verstehe, sei in der globalsierten Welt der Informationstechnologie mehr gefährdet, als er vielleicht glaube, sagt Pichlmayr. Um ein akzeptables Niveau an Datensicherheit zu erreichen, gelte es zuerst einmal, einen Masterplan zu erstellen, der auf den "drei Säulen der Informationssicherheit aufgebaut sein muss: Authentizität, Integrität und Vertraulichkeit".
Von diesen drei Prinzipien der Informationssicherheit, die lange vor dem World Wide Web schon galten, sind auch die Prinzipien des Datenschutzes hergeleitet. Alle in den Datenschutzgesetzen quer durch Europa vorgeschriebenen Mechanismen und Regeln zum Schutz der persönlichen Daten von Privatpersonen finden sich hier wieder.
Das Prinzip in der Praxis
So ist seit der ersten EU-Datenschutzrichtlinie von 1995 ein Recht auf Einsicht in die eigenen Datensätze und deren allfällige Korrektur durch den Eigentümer dieser Daten selbst gesetzlich festgeschrieben. Das Recht, bei Falschangaben in den eigenen, persönlichen Datensätzen eine Richtigstellung erzwingen zu können, fällt unter "Integrität".
"Authentizität" wiederum bedeutet mehr als nur diese Daten auf ihren Eigentümer zurückzuführen, also ihre Echtheit zu überprüfen, sondern auch den Abfragenden selbst. Wer auf personenbezogene Datensätze zugreift, muss sich daher authentifizieren, während in Punkt "Vertraulichkeit" der Regelsatz definiert ist, wer aller unter welchen Umständen auf Daten zugreifen darf und wie dieser Zugriff dokumentiert werden muss.
Historische Datenskandale
Josef Pichlmayr ist Geschäftsführer der 1993 gegründeten IT-Security-Firma Ikarus. Die Ikarus war einer der ersten europäischen Firmen überhaupt, die einen eigenen Virenscanner entwickelt hat.
In der jüngeren österreichischen Geschichte finden sich sich zuhauf Beispiel dafür, was unweigerlich passiert, wenn diese Regeln nicht beachtet werden. Weil man die Polizeibeamten nicht durch "unnötige bürokratische Hürden" - wie es damals hieß - in ihrer Ermittlungstätigkeit behindern wollte, wurden jahrelang keine internen Regeln für Protokollierung und Überprüfung dieser Zugriffe auf die Datenbanken des Innenministeriums festgelegt.
Die Folge war eine Serie von Datenskandalen im genannten Ministerium. 1998 flog eine Reihe von Beamten auf, dіe Meldedaten und solche aus den kriminalpolizeilichen Ermittlungsakten auf eigene Faust an Datenhändler weiterverkauft hatten.
Gert-Rene Polli war 25 Jahre lang Offizier, davon die längste Zeit im österreichischen Heeresnachrichtenamt. 2002 bis 2008 war Polli Direktor des damals neugegründeten Bundesamts für Verfassungssdchutz und Terrorbekämpfung Im Innenministerium.
Dann wieder kam heraus, dass Beamte nach Lust und Laune in den Datenbanken gefuhrwerkt hatten, etwa um die Identität der "feschen Blonden im Mercedes-Cabrio" über die KFZ-Halterdatenbank zu ermitteln. Dann wieder wurden im Auftrag von Detektivbüros Daten von Privatpersonen abgezogen und weitergegeben oder es wurde im eigenen, weiteren Familienbereich spioniert.
Die Crux mit dem Verwendungszweck
All diesen Fällen gemeinsam war, dass Daten zu anderen Zwecken als für jene verwendet wurden, für die sie erhoben worden waren: polizeiliche Ermittlungstätigkeit. Genau diese Zweckbindung ist einer der in Brüssel am heftigsten umstrittenen Punkte in der Novelle zum Datenschutzpaket. Wie nämlich weitere Verwendungszwecke, als jene, zu denen das Datensubjekt - eine Privatperson - zugestimmt hat, geregelt werden.
Neben seiner Tätigkeit als Sicherheitsberater ist Rene Pfeiffer einer der Veranstalter der jährlichen Security-Konferenz DeepSec. Dieser Event unterscheidet sich von anderen Sicherheitsveranstaltungen insofern stark, weil es eine Veranstaltung von Miglieder der Wiener IT-Security-Community ist und Open-Source-Lösungen im Mittelpunkt stehen.
Die US-amerikanischen Internetkonzerne wie der weitaus kleinteiligere, europäische Datenhandelssektor - Direktmarketer, Adressverlage, Bonitätsbüros und Internetfirmen - bekämpfen jede diesbezügliche Regelung mit allen Mitteln, die ihnen zur Verfügung stehen. Von "bürokratischen Hürden" ist da die Rede und Nachteilen im Wettbewerb, weil den Unternehmen dadurch Mehrkosten aufgebürdet würden.
Die Position der EVP
Während vor allem deutsche EU-Parlamentarier von CDU/CSU und FDP in ihren Änderungsvorschlägen einander an solcher "Wirtschaftsfreundlichkeit" zu überbieten suchen, bezieht die EVP hier eine deutlich ausgewogenere Position. Auf Anfrage von ORF.at wurde der derzeitige Stand der Meinungsbildung zum EU-Datenschutzpaket vom für das Thema zuständigen EVP-Abgeordneten Hubert Pirker so zusammengefasst:
"Bei der Verwendung von persönlichen Daten ist es wichtig, dass der Grundsatz der Zweckbindung beachtet wird. Mit anderen Worten: ich bin gegen eine vollkommen zweckfremde Bearbeitung oder Weitergabe von Daten, die ich für einen bestimmten Zweck hergegeben habe. Die strengen Erfordernisse des europäischen Rechts zur Rechtmäßigkeit der Verarbeitung müssen auf jeden Fall erfüllt sein. Wird Vertrauen missbraucht, so muss es bei schwerwiegenden Verstößen auch Sanktionen geben, die weh tun."
Im Vergleich dazu die Positionen der SPE sowie der Grünen. Die übrigen EU-Parlamentarier - mit einer Ausnahme allesamt fraktionslos - folgen in einem der nächsten Artikel.
Meinungsbildung im EU-Parlament
Der Ausdruck "derzeitiger Stand der Meinungsbildung" entspricht der Brüsseler parlamentarischen Praxis. Abseits von Fraktionszwängen und regionalen Beschränkungen geht man die Dinge dort in der Regel weitaus pragmatischer, differenzierter und weniger ideologisch an, als dies auf den nationalen Ebenen passiert.
Gerade wenn das Thema wie hier einigermaßen komplex und sehr facettenreich ist, verläuft die Meinungsbildung der Parlamentarier in der Regel über Monate. Zum einen müssen sich die MEPs erst einmal in das Thema einarbeiten. Dann gilt es, Interessen und Widersprüche abzuwägen, nicht selten paart sich das mit der Erkenntnis, dass jene, die besonders lautstark lobbyieren, ihre Partikularinteressen einfach zu Interessen der gesamten Wirtschaft erklärt haben, während de facto das Gegenteil der Fall ist.
Besonders bei Lobbyisten im Dienst von US-Großkonzernen ist die Vorgangsweise besonders beliebt, ihre Konzerninteressen als solche von europäischen Mittelstandsunternehmen zu deklarieren, was in den allermeisten Fällen tatsachenwidrig ist.
Österreich und Irland im Vergleich
Was die Kette der Datenskandale im österreichischen Innenministerium betrifft, so rissen diese abrupt ab, nachdem eine einfache Maßnahme gesetzt wurde, die wiederum auf den drei Säulen der Informationssicherheit beruht. Es wurde schlicht und einfach protokolliert, wer wann intern auf welche Datensätze zugegriffen hat. Diese Protokolle werden seitdem routinemäßig einer Plausibilitätsprüfung unterzogen.
Laut Berichten der Irlandausgabe des "Independent" der "Irish Times" u.a. Medien war erst im Dezember 2012 Weisung an die "Garda" ergangen, die Zugriffe auf die Datenbanken zu protokollieren. Davor hatten irische Polizisten offenbar aus Neugier massenhaft Prominenten nachspioniert.
So gelagerte Fälle von Datenmissbrauch durch Polizeibeamte, die jahrelang an der Tagesordnung waren, sind in Österreich seither ausgesprochen selten geworden.
In Irland, wo der Datenschutz aus ökonomischen Gründen seitens der Politik systematisch unterlaufen wird, stehen aktuell mehrere Polizeibeamte vor Gericht. Sie werden beschuldigt, für private Zwecke systematisch Daten aus den Informationssystemen der Polizei abgezogen zu haben. Ganz offensichtlich wurde erst jüngst damit begonnen, die Zugriffe von Beamten der "Garda" zu protokollieren und in Stichproben zu überprüfen. In Österreich ist das bereits vor etwa einem Jahrzehnt passiert.