Datenverlust der Telekom schlägt hohe Wellen

Datenschutz und Compliance-Regeln: Unternehmen und Organisationen müssen verpflichtet werden, Datenverluste den Betroffenen und der Öffentlichkeit sofort mitzuteilen
Es könne nicht angehen, dass Datendiebstähle erst öffentlich werden, wenn engagierte Journalisten auf einen derartigen Fall aufmerksam machen

(08.10.08) - Der Verlust von 17 Millionen Kundendaten bei der Telekom Mobilfunktochter T-Mobile schlägt weiterhin hohen Wellen. Laut Telekom seien in den Datensätze neben Name und Anschrift die Mobilnummer, teilweise das Geburtsdatum und in einigen Fällen auch die E-Mail-Adresse zu finden. Die Telekom hatte die Öffentlichkeit nicht direkt über diesen Vorfall informiert, sondern lediglich "Anzeige erstattet und Untersuchungen eingeleitet".

Gerade Anbieter von Sicherheitslösungen kritisieren den sorglosen Umgang mit sensiblen Daten bei Unternehmen. Ursache sei vor allem eine fehlende Investitionsbereitschaft in umfangreichen Datenschutz. Datenschutzvorkehrungen in der Wirtschaft seien eher suboptimal ausgeprägt. Auch die Geheimniskrämerei beim Auftauchen von Datenlecks wird moniert. Ebenfalls ein Thema: Firmen sollen für Datenverluste haftbar gemacht werden.

Falsche Einstellung: Investition in Datensicherheit lohnt sich nicht, solange nichts Gravierendes passiert
Zum Datenverlust bei der Telekom stellt beispielsweise Böning, Vice President Sales EMEA beim Sicherheitsspezialisten Workshare, fest:

"Der Vorfall zeigt einmal mehr, wie fahrlässig viele deutsche Unternehmen mit sensiblen Daten umgehen. Die aktuelle Welle an Datenlecks ist aber längst kein Spaß mehr. Als weltweit agierender Anbieter von Data Leak Prevention-Lösungen können wir bestätigen, dass deutsche Unternehmen hinsichtlich ihrer Investitionen in umfangreiche Datenschutzmaßnahmen im internationalen Vergleich eher mittelmäßig abschneiden. Viele Unternehmen sind offenbar der Meinung, dass sich für sie die Investition in Datensicherheit nicht lohnt, solange ihnen nichts Gravierendes passiert ist.

Hiergegen sollten sich die deutschen Verbraucher wehren und strengere gesetzliche Auflagen fordern! Wenn Unternehmen sensible Kundendaten intern speichern, sind sie es den Kunden schließlich schuldig, mit diesen auch verantwortungsbewusst umzugehen. Werden Daten oder vertrauliche Dokumenteninhalte nicht ausreichend geschützt, besteht sehr schnell die Gefahr, dass sie in falsche Hände geraten. Der Fall Telekom ist wahrscheinlich nur die Spitze des Eisbergs."

Schutz der Daten gesetzlich unterstützen
Ingo Wachter, Vorstand der PGP Deutschland AG, kommentiert die Informationspolitik des größten deutschen Telekommunikationsunternehmens:

"Ableiten lassen sich aus diesem erneuten Fall von Datendiebstahl zwei grundsätzliche Forderungen:

>> Zum einen muss es für Unternehmen, die sensitive Daten erheben, speichern und verarbeiteten, nicht nur selbstverständlich, sondern auch klar gesetzlich vorgegeben sein, diese Informationen zuverlässig und vor allem durchgängig zu schützen. Unabhängig davon welches Endgerät oder welche Übertragungswege beim Datenaustausch mit externen Dienstleistern genutzt werden - Unternehmen und Behörden müssen in der Pflicht stehen, technologisch ein Optimum an Datenschutz zu gewährleisten. Dies ist mit den heute verfügbaren Lösungen etwa zur konsequenten, plattformübergreifenden Datenverschlüsselung alles andere als ein Hexenwerk.

>> Zudem kann es nicht angehen, dass Datendiebstähle erst öffentlich werden, wenn engagierte Journalisten auf einen derartigen Fall aufmerksam machen. Es besteht die dringende Notwendigkeit einer gesetzlichen Veröffentlichungspflicht in Fällen von Datendiebstahl - und zwar für alle Stellen, die Daten speichern. Denn die bislang vergeblich von Datenschützern geforderte Meldepflicht bei Datenverlusten in öffentlichen Stellen und Unternehmen würde dafür sorgen, dass der fahrlässige Umgang mit sensitiven Daten schnell publik wird und die Politik des Totschweigens und Aussitzens im Schadensfall - die in vielen Unternehmen leider viele eher Anwendung findet als eine konsequente Absicherung der Daten - ein Ende fände.

Viele Unternehmen fürchten - und das vollkommen zu Recht - den Imageverlust, der ihnen aus der Publikation von Datenmissbrauchsfällen entsteht. Doch mit der Geheimniskrämerei, wie das exemplarische aktuelle Beispiel der Telekom deutlich zeigt, ist keiner Seite geholfen.

Andere Länder machen uns vor, wie sich der Schutz der Daten gesetzlich unterstützen lässt - etwa Großbritannien mit der für bestimmte Branchen vorgeschriebenen Verschlüsselung oder die USA mit ihren Data Breach Disclosure Laws."

Unternehmenshaftung bei Datenverlusten
Angesichts des bekannt gewordenen Diebstahls von 17 Millionen Kundendatensätzen bei T-Mobile bekräftigt Datenschutzexpertin Utimaco in einer Presseerklärung ihren Appell an die Politik: Überarbeitete Gesetze müssen die Transparenz von Datentransfers und die Haftung von Unternehmen sicherstellen. Technische Möglichkeiten seien längst vorhanden. Außerdem: Firmen müssen für Datenverluste haften.

"Ein Datenklau gigantischen Ausmaßes bei der Deutschen Telekom ist jetzt bekannt geworden: Mehr als 17 Millionen Datensätze von T-Mobile-Kunden, darunter viele Prominente, sind bereits 2006 gestohlen und dann zum Verkauf angeboten worden. Eine 'extrem kriminelle Energie' sei an den Tag gelegt worden, sagte ein Sprecher der Telekom.

Gegenwärtig ist zwar eine Novellierung des Bundesdatenschutzgesetzes geplant, die Vorschläge von Bundesrat und Bundesregierung greifen aber nach Ansicht von Utimaco viel zu kurz: Die ausdrückliche Einwilligung von Kunden zur Weitergabe ihrer persönlichen Daten ist bei Missbrauch obsolet.

Daher fordert Utimaco eine Lösung nach kalifornischem Vorbild:

1. Unternehmen und Organisationen müssen verpflichtet werden, Datenverluste den Betroffenen und der Öffentlichkeit sofort mitzuteilen

2. Betroffene sollen leichter die Möglichkeit haben, den erlittenen Schaden in Regress zu stellen

3. Die Beweislast wird umgekehrt. Unternehmen müssen bei Datenverlusten aller Art den Nachweis erbringen, dass sie mit Kundendaten sorgsam umgehen

4. Unternehmen müssen protokollieren, welcher Mitarbeiter zu welchem Zeitpunkt auf Kundendaten zugreift. Damit lässt sich sehr wirksam die berechtigte Nutzung der Kundeninformationen vom absichtlichen Missbrauch trennen.

"Fast täglich wird über Datenklau in allen erdenklichen Varianten berichtet, die Politik hat aber offenbar die Tragweite noch nicht richtig nachvollzogen", erklärt Markus Bernhammer, Executive Vice President Central and Eastern Europe der Utimaco Safeware AG in Oberursel. "Datenklau in dieser Dimension untergräbt die informationelle Selbstbestimmung von Millionen von Bürgern."

Die technischen Möglichkeiten zu Utimacos Forderungen sind längst vorhanden. "Wird die unternehmerische Haftung bei Datenverlusten eingeführt, ändert sich die Lage sehr schnell", so Bernhammer. "Wir fordern die Politik eindringlich auf, ernsthaft und schnell zu handeln."
(Workshare, PGP, Utimaco: ra)

Lesen Sie auch: