Wenn der Mensch in maschinenlesbare Informationen zerfällt

Die Informationstechnik teilt die Menschen in zwei Gruppen - die eine hat vor allem mit den Folgen zu kämpfen, für die andere ergeben sich rosige Aussichten für die Zukunft. Allerdings hat sich bislang noch nicht ausreichend herumgesprochen, dass jede Information, jedes Passwort, jede PIN und jede Zugangsberechtigung Bares bringt.

Das Geburtsdatum einer Person ist Kriminellen drei USDollar, Kreditkartendaten 1,50 Dollar und der Mädchenname einer Frau sechs Dollar wert. Eine ganze Krankenakte kostet schon 50 Dollar. Den Grund dafür sieht die Sicherheitsfirma RSA unter anderem darin, dass die Krankenakte eine Vielzahl von Informationen (wie Adresse, Bank und Krankenversicherten und Krankenhistorie) enthielte. Wer über den Namen und das Geburtsdatum eines Menschen verfügt, kann zu dessen Lasten einkaufen gehen. Es soll Opfer geben, die meinen, ihr Leben sei durch einen derartigen „Identitätsdiebstahl“ „zerstört“.

Datenmissbrauch als Hebel zur Erpressung

RSA meint, Patientendaten könnten auch einen Hebel zur Erpressung des Betroffenen bieten. Für derlei Attacken sind Besserverdienende nach Ansicht von RSA besonders dankbare Opfer. Kein Wunder: Häufig verfügen sie nicht nur über einen dicken Geldbeutel, sondern auch über Macht und Einfluss. Der Wert einer Patientendatenbank lässt sich ermitteln aus: Σ Datenfelder * Σ Kunden * X EUR. Damit ist klar, wieso Mancher sich die Mühe machen, um im Papiercontainer nach dem „Gold“ der Informationsgesellschaft zu „tauchen“.

Geschreddertes wird zu neuem Leben erweckt

Sollte das Papier wider Erwarten geschreddert sein, lässt es sich mit Hilfe spezieller Software zu neuem Leben erwecken. Die digitalisierten Daten lassen sich dann noch dazu mit der Beute aus anderen Quellen zu Profilen kombinieren.

Tatsächlich können Ärzte, Anwälte, Steuerberater und ähnliche Dienstleister die Daten ihrer Klientel auf einem Daumennagel unterbringen. Und in Sekundenschnelle ans andere Ende der Welt übertragen. Wie aber wird der Daumennagel geschützt? Scheitert der Geheimnisträger an dieser Aufgabe, kann er sich ganz fix vorm Kadi wiederfinden.

Physikalische Sicherheit in Gefahr

Somit sind die Rollen verteilt: Diejenigen, die Systeme entwickeln, implementieren oder nutzen, um industrielle Anlagen zu steuern oder personenbezogene Daten zu verarbeiten, müssen sogar um die physikalische Sicherheit ihrer Klientel kämpfen. Unternehmern, die Sicherheitsdienstleistungen erbringen, eröffnen sich rosige Aussichten. Nicht einmal die Informatiker aber müssen auch nur eine Vorlesung zum Thema „Sicherheit“ gehört haben, bevor sie ihr Abschlusszeugnis ausgehändigt bekommen. Nur so lässt sich erklären, wie dem Softwareentwickler Adobe Quellcodes diverser Anwendungensowie 38 Millionen Kundendatensätze geklaut werden konnten.

Versagen innerhalb der Prozesskette

Es gibt keine Hinweise darauf, dass der Bildungsstand bei jenen besser wäre, die die Software der Informatiker implementieren oder anschließend anwenden, um damit industrielle Anlagen zu steuern oder personenbezogene Daten von Bürgern, Immobilienbesitzern, Kunden, Mandanten, Mietern, Mitarbeitern, Patienten, Steuerpflichtigen und Versicherten zu verarbeiten.

Sobald ein Glied in der Prozesskette versagt, ist die gesamte Kette in Gefahr: So sollten sich die Kunden von Adobe – darunter Architekten, Bauingenieure, Designer und Konstrukteure in der Industrie – auf Schadsoftware gefasst machen, die die bislang geheimen Lücken in ihren Anwendungen perfekt ausnutzen.

Solche Schadsoftware lässt sich den Betroffenen nun im Namen von Adobe zielgerichtet und automatisiert unterschieben – eine Erfahrung, die der Leiter einer Finanzabteilung eines mittelständischen Unternehmens machen musste, indem er eine – gefälschte! – Mail scheinbar von seinem Chef erhielt.

„Frei + Fit im Web 2.0“

Deshalb möchte ich mit einem Datenschutzmobil durchs Land fahren und insbesondere die Angehörigen der Freien Berufe in 240 Vorträgen zwischen Kiel und Garmisch, Dresden und Aachen für das Thema begeistern. Diese freien Berufe verarbeiten einerseits besonders wertvolle Daten ihrer Mitmenschen, verfügen andererseits aber – im Gegensatz zum Großkonzern – über keine eigene Sicherheitsabteilung. Daher sind sie besonders gefährdet. Wobei: „Freiberufler“ bedeutet nicht allein die kleine Arztpraxis von nebenan, sondern auch die Universitätsklinik und die Anwaltssozietät mit mehreren hundert Anwälten an zahlreichen Standorten.

Das Thema Sicherheit im Fokus

Das Fahrzeug trägt ein Gesicht aus HexadezimalCode und soll sich mit Kraft gegen den Zerfall des Menschen in seine maschinenlesbaren Informationen stemmen. Das Ziel der Initiative ist, die Teilnehmer der Veranstaltungen für das Thema Sicherheit zu begeistern. Dabei soll zunächst das Verständnis reifen, dass wir Alle auf gegenseitige Diskretion angewiesen sind: Der Arzt braucht sichere Software, die gut implementiert ist, der Informatiker muss darauf vertrauen können, dass seine Dienstleister nicht dateninkontinent sind. Anschließend sollten die Unternehmer aus eigenem Interesse

• ein Sicherheits- und ein Notfallkonzept für ihren Betrieb erstellen
• den organisatorischen Aufbau und seine Abläufe (Aktenvernichtung!) überprüfen
• in sichere Türen, Fenster, Tresore, Schließanlagen etc. investieren
• einen „Computerführerschein“ erwerben.
  Dabei handelt es sich um ein internationales Zertifikat, das sich insbesondere auch mit der ITSicherheit beschäftigt.

Wissenschaftliche Begleitung:

Bei der Vorbereitung werde ich von einem wissenschaftlichen Beirat namhafter Professoren Deutscher Hochschulen unterstützt. Diesem gehören je ein Philosoph, Kaufmann, Informatiker und zwei Juristen an:

• Prof. Dr. iur. Ulrich M. Gassner,
  Mag. rer. publ., M. Jur. (Oxon.),
  Datenschutzbeauftragter der Universität Augsburg und
  Prodekan der dortigen Juristischen Fakultät.

 

• Professor Dr. Michael Klotz,
  Leiter Stralsund InformationManagement Team (SIMAT)
  der Fachhochschule Stralsund und
  Mit-Herausgeber der Zeitschrift „ITGovernance“

 



• Dr. Sebastian Kraska ,
  Rechtsanwalt,
  Externer Datenschutzbeauftragter und
  Gründer des „Instituts für IT Recht„

 

• Prof. Dr. Christoph Sorge,
  Fachgebiet Sicherheit in Netzwerken,
  Universität Paderborn

nbsp;

• Dr. Sandro Gaycken,
  Computer Science,
  Freie Universität Berlin

 
Beirat bietet inhaltliche Unterstützung

Der Beirat wird mich bei der inhaltlichen Vorbereitung unterstützen und meine Vortragsfolien vor Beginn der Veranstaltungsreihe prüfen. Dadurch wird die hohe Veranstaltungsqualität für Teilnehmer und Investoren sichergestellt.

Finanzierung

Auf meiner Deutschland-Rundfahrt werde ich mit meinem „Datenschutzmobil“ medienträchtig unterwegs sein. Dieses Fahrzeug hoffe ich von einem Hersteller zu erhalten.

Weitere 15 Investoren sollen jeweils 15.000 Euro zur Finanzierung der einjährigen Kampagne beitragen. Eine deutschlandweit vertretene Hotelgruppe soll Räume für die Vorträge zur Verfügung stellen. Somit hätten viele der Adressaten am jeweiligen Ort die Chance, bei einem der Vorträge zuzuhören.

Visibilität der Investoren/Werbewirksamkeit

Die Investoren können auf der Rückseite des Autos, auf der Internetseite des Projekts und den Vortragsfolien auf sich aufmerksam machen. Sollte ein einzelner Investor die Finanzierung des gesamten Projekts übernehmen wollen, könnte er außerdem in allen Vorträgen Informationsmaterial für die Teilnehmer auslegen.

Teilnehmer-Gewinnung

Eine besondere Rolle spielen bei der Kampagne die Kammern und Verbände der Freien Berufe. Sie sollen ihre Mitglieder für die Teilnahme an der Kampagne gewinnen. Um wiederum diese Organisationen davon zu überzeugen, als Mittler zur Zielgruppe zu fungieren, wird die Humboldt Universität zu Berlin 200 Kammern und Verbände der Freien Berufe zu einer Tagung in die Hauptstadt einladen. Die Verbände sollen die Teilnahme an den Vorträgen als berufsspezifische Weiterbildung honorieren und so für einen zusätzlichen Anreiz für die Teilnahme sorgen.