Es ist schon wieder passiert: Wie die Bild-Zeitung berichtet, sind jetzt CDs mit den Namen, Geburtstagen, Adressen, Telefonnummern und sogar Kontonummern von 17.000 Bundesbürgern aufgetaucht. Datenpannen wie diese sind an der Tagesordnung: In deutschen Behörden sind in den vergangenen zwei Jahren zudem Hunderte von Laptops, PCs und Handys mit vertraulichen Daten verschwunden. Und jüngst konnten Internet-Nutzer die Meldedaten von 15 deutschen Städten und Gemeinden abrufen. Nutzerkennung und Passwort für die Datenbank waren mehrere Monate auf einer Website offen einsehbar. Fälle von Datenverlust und Informationsmissbrauch scheinen sich in letzter Zeit zu häufen. Die Bundesdatenschutzbehörde und diverse Politiker fordern daher eine Meldepflicht für sensible Datenverluste bei Ämtern und Unternehmen – dies ist in den USA schon lange Usus. Doch was sind eigentlich die Fallen einer solchen Meldepflicht, und welche Eventualitäten gilt es zu beachten? Im Folgenden erklären vier Sicherheitsexperten, was sie von einem möglichen Gesetz bei Datenmissbrauch halten und welche Bedenken sie haben.

Stefan Schiffert, CTO von Avira:
„Unternehmen und Behörden sollten verpflichtet werden, sowohl Betroffene als auch die Öffentlichkeit über Verstöße gegen den Datenschutz umfassend zu informieren. Noch wichtiger ist allerdings die Vorsorge vor Datenpannen jeglicher Art, damit Mitarbeiter im Vorfeld vor Persönlichkeitsrechtsverletzungen und Unternehmen vor materiellen Schäden geschützt sind. Ein umfassendes IT-Sicherheitskonzept ist dabei für die Unternehmen unerlässlich – wird allerdings allzu häufig vernachlässigt. Der Schutz vor ungewollten Datenverlusten beginnt bereits am Unternehmens-Gateway. Firmen sollten neben einem umfassenden Virenschutz auch unbedingt eine Schutzsoftware für Email- und Proxyserver installieren, damit Viren, Würmer, Trojaner und andere digitalen Übeltäter gar nicht erst in das Unternehmensnetzwerk eindringen können.“

Jasmine Eichele, Marketing Executive DACH von Kensington:
„Eine Meldepflicht für Datenverluste wäre dann sinnvoll, wenn sie Unternehmen über die tatsächliche Anzahl der Fälle aufklärt und die Folgen verdeutlicht, die beispielsweise ein Notebookdiebstahl haben kann. Nur so lässt sich das Bewusstsein für die physische Datensicherheit schärfen, die leider immer noch in vielen Unternehmen vernachlässigt wird. Notebookdiebstahl ist nach wie vor an der Tagesordnung: Wie IDC letztes Jahr ermittelt hat, wurden in 90 Prozent aller kleinen und mittelständischen Firmen schon einmal Notebooks gestohlen. Dennoch hatten zwei Drittel der Firmen bis dato keinen Verantwortlichen für die Notebook-Sicherheit. 96 Prozent waren sich nicht einmal der Folgekosten bewusst, die ein Diebstahl neben der verlorenen Hardware verursachen kann. Dabei ist die größte Gefahr beim Notebook-Klau nach wie vor die Offenlegung vertraulicher Daten. Wenn Kundeninformationen in die falschen Hände fallen, steht im schlimmsten Fall die Kundenbeziehung auf dem Spiel. Sicherheit sollte also nicht erst dann zum Thema werden, wenn das Kind bereits in den Brunnen gefallen ist. Sie fängt bereits bei der physischen Sicherung an. Jeder zweite Notebookdiebstahl könnte zum Beispiel durch ein Schloss verhindert werden. Solche Sicherheitslösungen sind einfach angebracht und schützen effektiv vor Notebook- und Datenklau.“

Ansgar Dodt, Director of Sales Embedded Systems EMEA bei SafeNet:
„In den vergangenen Jahren haben deutsche Behörden Hunderte von Computern, Laptops, Handys und Smartphones verloren. Diese Nachricht alleine erschreckt. Was aber noch mehr schockiert, ist die Tatsache, dass es derzeit kein Gesetz gibt, das von Behörden und Unternehmen verlangt offen zu legen, wenn sie Daten verloren haben, oder diese gestohlen wurden. Eine derartige Offenlegungspflicht würde jedoch helfen, Fälle von Datenmissbrauch deutlich zu minimieren, da Organisationen mögliche Konsequenzen fürchten müssten. Strafen, Bußgelder und eine Schädigung des Rufes sind effektive Maßnahmen, Organisationen davon zu überzeugen, die notwendigen Sicherheitslösungen zum Schutz ihrer Daten einzuführen – sofern sie dies noch nicht getan haben. Ohne Konsequenzen wie diese müssen Unternehmen oder Organisationen kaum etwas absichern. Es wird Zeit, zu handeln! Organisationen, die mit vertraulichen Daten arbeiten, sollten nicht nur gesetzlich dazu verpflichtet werden, Datenmissbrauch zu melden, sondern auch verlässliche Sicherheitsstandards einzuführen und sämtliche Informationen, die sich in ihren Systemen befinden, zu verschlüsseln. Solange es keine Vorgaben wie diese gibt, sind weitere Fälle von Datenmissbrauch vorprogrammiert, und gleichzeitig bringen Organisationen durch ihr fahrlässiges Handeln die Öffentlichkeit in Gefahr.“

Robert Chapman, Mitbegründer von Firebrand Training und Geschäftsführer der gleichnamigen GmbH:
„Datenverluste in Unternehmen und Behörden nehmen zu. Trotzdem gelangen nur wenige dieser Vorfälle an die Öffentlichkeit – diese sorgen dann aber für einen umso größeren Aufruhr. Da viele Firmen um ihren guten Ruf fürchten, wird die derzeit viel diskutierte gesetzliche Meldepflicht bisher eher kritisch gesehen. Daher sollten Unternehmen vorsorgen und obgleich nun eine gesetzliche Meldepflicht beschlossen wird, oder nicht – die oberste Priorität sollte lauten: Datenverluste vermeiden! Dazu gehört, dass jedes Unternehmen eine eigene Informations- und Datensicherheitspolitik einführt. Denn nur wenn Mitarbeiter wissen, welche Regeln zum Datenschutz existieren, können sie diese auch anwenden. Die Richtlinien müssen zudem regelmäßig im Rahmen von internen Schulungen erklärt werden. Ein weiterer Baustein ist ein institutionalisiertes Weiterbildungssystem im Unternehmen. Firmen stellen so sicher, dass ihre Mitarbeiter mit Hilfe gezielter Schulungen auf dem neuesten Stand im Bereich IT-Sicherheit sind. Das heißt, sie können richtig auf Hackerangriffe reagieren und Datenverluste verhindern.“

Foto:Quelle-Thaut Images/Fotolia.com