winnis weblog

Datensicherheit ist ein häufig viel zu wenig diskutiertes Thema im Bereich Datenschutz. In Zeiten wie diesen, in denen wir jeden Tag neue Schreckensnachrichten zum Thema Datenschutz vorgesetzt bekommen, sollte man sich da mal mehr gedanken zu machen. Jeden Tag gehen tausende von Datensätzen irgendwo verloren, weil jemand nicht aufpasst oder weil jemand mit krimineller Energie versucht an Daten heranzukommen. Datensicherheit ist ein unglaublich wichtiges Datenschutzprinzip, man würde “den Datenschutz” falsch verstehen, würde man der Illusion erliegen, beim Datenschutz ginge es nur um die “Datenvermeidung”.

Datenvermeidung ist selbstverständlich ein wichtiges Thema und die meisten Datenschutzfronten, an denen gekämpft wird, beziehen sich auf Datenvermeidung. Der Versuch, unnötige oder zweckfremde Daten erst gar nicht zu erheben ist wichtig und findet sich in vielen Debatten wieder, sei es die Debatte um die Vorratsdatenspeicherung, den Bundestrojaner, Drohnen, RFID-Chips oder die gesammelten Daten in den Rechenzentren bei Google. Ein wichtiges Thema, denn wenn Daten erst gar nicht erhoben werden, dann können sie auch nicht zweckentfremdet werden oder kurz gesagt, sie können keinen Schaden anrichten.

Sind die Daten jedoch einmal erhoben, rechtmäßig gespeichert und verarbeitet, ist das Prinzip der Datensicherheit besonders wichtig. Nachdem heutzutage diese Daten alle digital gespeichert werden, sollte man sich Gedanken darüber machen, was das eigentlich für die Daten bedeutet. Wie macht man “digitale Daten” sicher? Ein Panzerschrank um einen Server herum zu bauen wird wenig Sinn machen, solange er eine Gigabit-Internetanbindung hat und schlecht (unsicher) administriert wird. Hier sind also die  Informatiker gefragt. Geht denen auch mal was schief, insbesondere im größeren Maßstab, dann haben wir in der Regel einen Skandal, wie gerade bei der Telekom. Man stellt also fest, man hat Millionen von Datensätze verloren, was bedeutet das für die Datensicherheit?

Zunächst mal wurde natürlich einer bisher unbestimmten Zahl an unauthorisierten Personen Zugriff auf Daten gewährt. Das widerspricht selbstverständlich dem Prinzip der Datensicherheit. Das leuchtet insbesondere in diesem Fall ein, in dem es sich auch teilweise um sensible Daten zu handeln scheint. Was versucht eine große Firma, wenn alles schief gelaufen ist? Sie betreibt Schadensbegrenzung, genau wies im Lehrbuch steht. So, genau so, entstehen Sätze wie der folgende:

Die Telekom hat nach eigenen Angaben “alles unternommen, um die entwendeten Daten wieder zu bekommen”

Daten wieder bekommen? Wie stellen die sich das vor? Die haben die elementarsten Prinzipien der Datensicherheit im digitalen Zeitalter nicht verstanden. Denen wurden kein LKW mit Aktenordnern geklaut, sie hatten ein Leck in ihrer EDV! Vermutlich ein Innentäter, Totalversagen interner Datenschutzrichtlinien, die Datensicherheit war nicht gewährleistet. Wenn da jemand 17 Millionen Datensätze kopieren (!) kann, dann ist das selbstverständlich keine Datensicherheit. Was ihnen ebenfalls nicht klar zu sein scheint, anderenfalls würden sie nicht solche unsinnigen Statements abgeben, dass eine digitale Kopie eines Datensatzes etwas anderes ist, wie ein LKW voll Aktenordnern. Einen LKW kann man wieder finden, in der Hoffnung, dass bis dahin nicht alles kopiert wurde. Aber davon zu sprechen, digitale Daten zurück zu holen, ist nicht nur ein verbaler Fehltritt, weil Kopien nicht zurück kommen (höchstens möchte man in den Besitz der unrechtmäßig angefertigten Kopien gelangen), sondern zeigt auch, dass da nicht verstanden wurde, was digitale Kopien eigentlich sind. Sie sind nicht zurück zu holen. Man kann Kopien finden, löschen und weiter suchen, weiterfinden und weiterlöschen. Wer schonmal versucht hat, Daten aus dem Internet zu entfernen, weiß, was ich meine. Getting information out of the internet is like getting pee out of the ocean.