Utimaco: Die Politik schaut weiterhin untätig beim Datenklau zu

Die Serie der Datenpannen reißt nicht ab: Jetzt sind auch noch Bankdaten von 21 Millionen Bundesbürgern illegal im Umlauf. Dieser neue Skandal zeigt, wie sorglos weite Teile der Wirtschaft mit dem Thema Datenschutz umgehen. Die Regierung muss endlich aufwachen und die Gesetze drastisch verschärfen. Was muss eigentlich noch alles passieren, bis die Politik aufwacht? Nach den vielen groß;en Datenskandalen in diesem Jahr schaut der Gesetzgeber nach wie vor untätig zu, und die Fälle werden immer brisanter: Am Wochenende ist bekannt geworden, dass der Düsseldorfer „Wirtschaftswoche“ als „Appetitanreger“ eine CD mit 1,2 Millionen Datensätzen von Bankkunden angeboten wurde – einige sogar mit detaillierten Angaben zu Vermögensanlagen. Wie diese Daten in Umlauf geraten konnten und woher sie stammen könnten, klärt momentan die Düsseldorfer Staatsanwaltschaft.

Dabei wäre genügend Gelegenheit zum Handeln gewesen: Mitte Oktober beispielsweise lehnte der Bundestag mit den Stimmen der Koalitionsmehrheit einen Antrag zur Einführung einer Informationspflicht für Unternehmen bei Datenschutzpannen ab. Wäre dies bereits Gesetz, hätte der Verlust der Bankdaten sofort gemeldet werden müssen. Die Politik jedoch schweigt weitgehend zu dem Vorgang. Es gibt lediglich vereinzelte Stimmen, die den längst überfälligen Gesetzentwurf für schärfere Datenschutz-Vorschriften anmahnen.

Die wichtigste Lehre aus diesem erneuten Eklat: Eine Selbstverpflichtung der Unternehmen zum Datenschutz reicht nicht aus. Mit hoher Priorität muss der Datenschutz so rasch wie möglich durch ein Gesetz erweitert werden, das die Informationspflicht bei Verlust von nicht verschlüsselten Kundendaten vorschreibt. Ergänzend dazu müssen Unternehmen verpflichtet werden, automatisch zu protokollieren, wer zu welchem Zeitpunkt auf Kundendaten zugreift. Damit lässt sich sehr schnell die berechtigte Nutzung der Kundeninformationen vom absichtlichen Missbrauch trennen. Die technischen Möglichkeiten dazu sind schon lange vorhanden.

Notwendig ist der Einsatz einer Sicherheitslösung, die unternehmensweit nur autorisierten Benutzern Zugriff auf sensible Kundendaten gewährt. Die Sicherheitsrichtlinien des Unternehmens sollten dabei individuelle Zugriffsrechte für Arbeitsgruppen oder einzelne Nutzer festlegen und definieren, wer vertrauliche Daten im Klartext lesen, sie bearbeiten und damit beispielsweise auch kopieren darf. Kombiniert mit der konsequenten Verschlüsselung ist dann der illegalen Weitergabe unverschlüsselter Bankdaten und anderer sensibler Kundeninformationen ein wirksamer Riegel vorgeschoben.

Seit dem Datenschutzgipfel Anfang September ist zu viel Zeit verstrichen, ohne dass ernsthaft gehandelt wurde“, mahnt Markus Bernhammer, Executive Vice President Central and Eastern Europe der Utimaco Safeware AG in Oberursel. „Wie will man den Bundesbürgern eigentlich vermitteln, dass trotz der vielen Vorfälle in diesem Jahr der Gesetzgeber keine wirksamen Maß;nahmen ergriffen hat, diese Vorfälle nachhaltig zu verhindern beziehungsweise einzudämmen? Aber auch die Verbraucher können etwas tun: Bei persönlichen Daten ist Geiz eine Tugend. Jeder sollte Konten- und Kreditkartennummern nur an Unternehmen weitergeben, denen man vollkommen vertraut und dies nur über vertrauenswürdige Kommunikationskanäle tun.“

www.utimaco.de