Im März dieses Jahres bot ein ungenannter ehemaliger Mitarbeiter eines US-amerikanischen Telekommunikationsanbieters Zugangsdaten von mehreren tausend Unternehmen auf dem Schwarzmarkt an. Eine Erlaubnis dazu - wen wundert’s - hatte der Mann dafür nicht.
Im gleichen Monat flog ein Zivilangestellter der New Yorker Polizei auf, der die Sozialversicherungsnummern sowie Informationen über die Pensionsansprüche von rund 80.000 Mitarbeitern und Pensionären geklaut hatte. Ein Angestellter der Stadt Chicago schließlich ließ einen Laptop mitgehen, der Patientennamen, Adressen und Sozialversicherungsnummern von 63.000 Menschen enthielt.
Das sind nur drei aus einer ganzen Reihe von Beispielen für dreisten Datendiebstahl, den die Independent Oracle User Group (IOUG) für ihren Datensicherheitsreport 2009 notiert hat. Für den Bericht hatte die IOUG im Juli und August 316 Mitglieder mit Verantwortung für große Datenbanken und -mengen befragt.
Der Schwarzmarkt für Daten blüht
Was haben alle Fälle gemeinsam? Sie dokumentieren die Unwirksamkeit von Sicherheitsmechanismen in Unternehmen, die eigentlich genau zu dem Zweck installiert wurden, um den Missbrauch vertraulicher Daten zu verhindern.
Auch in Deutschland, hat der NDR herausgefunden, ist das Beschaffen von illegalen Daten kein Problem: Innerhalb weniger Stunden war es Reportern des Fernsehsenders im August dieses Jahres gelungen, auf dem Schwarzmarkt im Internet Tausende Datensätze zu kaufen. Die enthielten neben Adresse und Geburtsdatum auch die Bankverbindungen der Betroffenen. Insgesamt waren den Reportern rund zwei Millionen aktuelle Daten angeboten worden.
Der IOUG-Umfrage zufolge nahm die Anzahl der Datenmissbrauchsfälle im Vergleich zum Vorjahr um satte 50 Prozent zu. Zwar wachse gleichzeitig bei den Fachleuten auch das Bewusstsein für die Gefahr des Missbrauchs. Allerdings stießen die Verantwortlichen laut IOUG auf zunehmend taube Ohren bei den Unternehmensleitungen. Hier gebe es in Zeiten zunehmend leerer Kassen vielmehr den Druck, mehr aus weniger Geld zu machen. Unglücklicherweise, so konstatieren die unabhängigen Oracle-Anwender, werde diese Marschroute tatsächlich auch konsequent verfolgt: Es werde inzwischen weniger unternommen, um Datenmissbrauch zu verhindern.
Im Generalverdacht stehen bei den Firmenleitungen ausgerechnet die IT-Fachleute selber: Der interne Missbrauch vertraulicher Daten wird vom Management als gefährlicher eingestuft, als die Gefahr durch externe Hacker oder Schadprogramme zum Ausspähen von Daten. Dennoch verfügen nur wenige Unternehmen über einen wirksamen Schutz davor. Schlimmer noch: Die wenigsten sind offenbar überhaupt in der Lage, Fälle von Datenmissbrauch überhaupt zu erkennen.
Vertrauliche Daten in ungesicherten Tests
Ein weiteres Sicherheitsproblem entsteht offenbar durch das zunehmende Outsourcing von IT-Diensten und -Infrastrukturen. Die Zahl solcher Auslagerungen stieg der Umfrage zufolge alleine im vergangenen Jahr um rund 40 Prozent. Auch die Gefahr, darüber ungewollt vertrauliche Daten an eine interessierte, aber nichts desto trotz unautorisierte Öffentlichkeit zu bringen, wächst dadurch sprunghaft an, so die IOUG.
Auch für ein weiteres Sicherheitsleck sind die Unternehmen selbst verantwortlich: So registrieren die Oracle-User, dass fast die Hälfte der befragten Firmen Produktivdaten in Testumgebungen einsetzen. Auch damit werde dem Missbrauch aufgrund unzureichender Absicherungen solcher Umgebungen Tür und Tor geöffnet. Verschlimmert wird die Situation durch die Tatsache, dass die Zahl der Unternehmen sinkt, die vertrauliche Daten für solche Tests entpersonalisiert.
So ist es kein Wunder, dass die IOUG unterm Strich eine zunehmende Apathie der Unternehmensführungen gegenüber Sicherheitslösungen ausmacht. Immerhin 25 Prozent der Befragten berichten von der fehlenden Bereitschaft des Managements, sich mit solchen Fragen auseinanderzusetzen, sowie von laxen Sicherheitrichtlinien. So ist zu befürchten, dass im nächsten Jahr beim IOUG-Sicherheitsbericht 2010 die Zahl von Datenmissbrauchsfällen erneut ansteigen wird.