Sicherheit und Datenschutz: Die Skandale des Jahres 2013

Andrea Voßhoff, seit 19. Dezember die Bundesdatenschutzbeauftragte.
Bild: dpa Das Jahr 2013 brachte in puncto Datenschutz und Sicherheit einige Skandale und Skandälchen. Wir blicken zurück auf die schwerwiegendsten Ereignisse des Jahres.

Edward Snwoden hat im Juni einen Skandal ins Rollen gebracht, dessen Auswirkungen bis heute zu spüren sind. Die Entwicklung der PRISM-Enthüllungen haben wir in einem eigenem Artikel nachgezeichnet. Seit dem 19. Dezember ist Andrea Voßhoff als Nachfolgerin von Peter Schaar im Amt der Bundes­datenschutz­beauftragten bestätigt.

Ein alter Skandal hat Google wieder eingeholt. Anfang des Jahres musste Google 7 Millionen Dollar Strafe bezahlen, weil Street-View-Autos des Konzerns Datenverkehr in unverschlüsselten WLAN-Netzen aufgezeichnet hatten. Auch das unerlaubte Setzen von Cookies im Safari-Browser kostete den Konzern: Auf Betreiben der Staatsanwaltschaft in New York musste der Konzern weitere 17 Millionen Dollar bezahlen - bereits Mitte 2012 waren für den Safari-Cookie 22 Millionen Dollar fällig geworden.

Aufgrund einer Sicherheitslücke bei Facebook ließen sich fremde Kontaktdaten herunterladen. Und der Betreiber des Messengers WhatsApp musste sich dieses Jahr damit auseinandersetzen, wie Verschlüsselung richtig funktioniert. Bis heute ist der Datenschutz bei WhatsApp keine Priorität. Wir haben als Alternative dazu den Messenger Threema mit sicherer Ende-zu-Ende-Verschlüsselung getestet. Weitere verschlüsselte Messenger zeigen wir Ihnen in unserer Übersicht.

SIM-Karten: Alte Verschlüsselungstechnik ist ein Risiko

Andrea Voßhoff, seit 19. Dezember die Bundesdatenschutzbeauftragte.
Bild: dpa Karsten Nohl demonstrierte im Juli, dass die Verschlüsselung einiger sehr alter SIM-Karten angreifbar ist. Angreifer könnten mit Hilfe stiller SMS Schadcode auf einem Handy ausführen und so an den Hauptschlüssel gelangen, mit dem sich die SIM-Karte im Handynetz registriert. Ein Hacker wäre damit in der Lage, Gespräche zu belauschen. Er könnte aber auch eine gefälschte SIM-Karte herstellen und über diese Gespräche auf Kosten des Opfers telefonieren.

Dass die Verschlüsselung im Mobilfunk-Netz wichtig ist, musste kurz nach der Bundestagswahl auch Angela Merkel feststellen. Denn ihr Handy wurde wohl bereits seit 2002 vom amerikanischen Geheimdienst abgehört. Die Deutsche Telekom hat im Dezember immerhin angekündigt, im eigenen Netz den stärkeren Verschlüsselungs-Algorithmus A5/3 einzusetzen - die anderen Netzbetreiber sind noch nicht soweit, die Verschlüsselung von Handy-Telefonaten zu verstärken.

Vodafone lieferte Router mit unsicherem WLAN-Passwort aus

Daten im Internet sind im Zweifel immer öffentlich.
Bild: dpa Im August waren die mitgelieferten Router bei Vodafone-DSL-Anschlüssen von einer Sicherheitslücke betroffen. Bei einigen Modellreihen waren die voreingestellten WLAN-Passwörter und die WPS-PIN anhand der MAC-Adressen zu berechnen. Für Android gab es sogar einige Apps, die den nötigen WLAN-Schlüssel errechnen konnten - Vodafone konnte jedoch erreichen, dass Google diese Anwendungen aus dem Play Store entfernt. Wir empfehlen stets, bei der Einrichtung des Internet-Anschlusses das vorgegebene WLAN-Passwort zu ändern und WPS nur bei Bedarf zu aktivieren.

Im September dann der nächste Schock: Angreifern war es gelungen, Zugriff auf eine interne Datenbank von Vodafone zu erhalten. Es handelte sich dabei um einen sogenannten Inside-Job - ein ehemaliger Mitarbeiter hatte mit Wissen um die Sicherheitsvorkehrungen des Unternehmens die Datenbanken ausgelesen. Betroffen waren rund 2 Millionen Datensätze von deutschen Kunden.

Adobe Hack: 150 Millionen Datensätze betroffen

Noch weit größer ist ein Angriff auf Server von Adobe gewesen, wie Anfang Oktober bekannt wurde. Zunächst war die Rede davon, 2,9 Millionen Datensätze von Kunden seien betroffen gewesen - kritische Daten wie Passwörter und Bankverbindungen allerdings nicht. Später stellte sich heraus: Die Angreifer konnten Datensätze von 150 Millionen Kunden erbeuten. Die vermeintlich sicher verschlüsselten Passwörter waren unzureichend geschützt. Mit etwas Aufwand ist es möglich, die Passwörter der Kunden zu rekonstruieren. Das gleiche gilt für die Bankdaten.

Unternehmen müssen Passwörter ihrer Kunden sicher speichern.
Bild: dpa Inzwischen kursieren Listen, in denen die meistgenutzten Passwörter von Adobe-Kunden zusammengestellt sind. Solche Listen dürften auch künftige Angriffe erleichtern, immerhin können Wörterbuch-Angriffe die statistischen Erkenntnisse nutzen, die aus den Daten zu gewinnen sind. Das bedeutet letztlich für jeden Internet-Nutzer: Unsichere Passwörter sind unbedingt zu vermeiden - darunter fallen vor allem Buchstabenkombinationen, die aufgrund eines Musters auf der Tastatur entstehen oder andere Zeichenfolgen, die leicht zu merken sind. Auf der anderen Seite der Medaille stehen die Unternehmen: Diese müssen dafür sorgen, dass persönliche Daten ihrer Kunden geschützt gespeichert werden. Die Firmen sollten auch moderne Verfahren anwenden, die sicherstellen, dass der verschlüsselte Text eines Passworts für jeden Nutzer einzigartig ist - selbst dann, wenn ein anderer Nutzer das gleiche Passwort verwendet. Außerdem führen solche Verfahren dazu, dass der geheime Schlüssel nicht aus den verschlüsselten Daten zu rekonstruieren ist.

Ausblick: 2014 - das Jahr der Verschlüsselung?

Diese und weitere Datenschutz-Skandale zeigen: Vollständig sicher sind Daten nie. Selbst in private oder geschützte Umgebungen können Angreifer eindringen. Auch private Cloud-Speicher sind nicht sicher. Deswegen sollten Nutzer zu Daten im Internet ein besonderes Verhältnis haben. Möglichst wenig Daten erzeugen und diese stets so behandeln, als seien sie öffentlich - das sind die wenigen Möglichkeiten, die Verbraucher haben, ihre eigenen Daten zu schützen. Lesen Sie mehr dazu in unserem Editorial Wenn Firmen Daten "verlieren". Bruce Schneier sagt in einem Manifest gegen Datenspionage: "Verschlüsseln, verschlüsseln, verschlüsseln", sei die wichtigste Maßnahme für Sicherheit und Datenschutz. Das Thema Verschlüsselung und Datenschutz wird deswegen auch im Jahr 2014 auf der Tagesordnung bleiben.