Statt am Firmenrechner zu sitzen, arbeiten Tausende von Beschäftigten derzeit zu Hause. Im Homeoffice und bei digitalen Behördengängen bleibt die Datensicherheit oft auf der Strecke.
Boris Johnson war bester Laune. „Heute Morgen habe ich das erste digitale Kabinett überhaupt geleitet", verkündete er Ende März stolz auf Twitter. Um seinen Worten Nachdruck zu verleihen, veröffentlichte der britische Premierminister dazu einen Screenshot. Zu sehen waren seine Ministerinnen und Minister, die sich über das Video-Tool Zoom konzentriert unterhielten. Doch nicht nur die Regierung war zu sehen. Johnson hatte es versäumt, die „Meeting-ID" der Konferenz unkenntlich zu machen. Mit ein wenig Expertise hätten Unbefugte das „digitale Kabinett" belauschen können. Zwar versicherte die britische Regierung umgehend, die Videokonferenz sei zusätzlich passwortgeschützt gewesen. Aus Datenschutz-Sicht handelte es sich trotzdem um einen groben Schnitzer.
In normalen Zeiten hätte man einen solchen Vorfall schnell abhaken können. Doch jetzt, in Zeiten von Corona und Homeoffice, kann eine solche Panne jeden treffen. Abertausende von Menschen, die zuvor am gut gewarteten Firmenrechner saßen, sind plötzlich im Wohnzimmer auf sich selbst gestellt. Dort soll nun alles digital laufen – vom Videochat mit dem Chef bis zum Antrag beim Bürgeramt. Es ist ein riskantes Experiment, bei dem sich eine Frage besonders aufdrängt: Kommt der Datenschutz in Corona-Zeiten zwangsläufig zu kurz?
Beispiel Zoom: Das Video-Tool steht schon länger in der Kritik, unter anderem wegen diverser Sicherheitslücken und dubioser Datenschutz-Praktiken. Die deutsche Datenschutzerklärung wies bis vor kurzem noch folgende Passage auf: „Verkauft Zoom personenbezogene Daten? Das hängt von Ihrer Definition von ‚verkaufen‘ ab." Als Reaktion auf die Kritik hat das Unternehmen die Datenschutzerklärung inzwischen überarbeitet.
In vielen Fällen ein riskantes Experiment
Während Nutzer in der Freizeit selbst entscheiden können, ob sie solche Tools nutzen, haben sie im Berufsleben keine Wahl: Wenn die eigene Firma ein Programm vorgibt, kann man schlecht Nein sagen – gerade dann, wenn es scheinbar keine Alternative gibt. „Am Anfang der Pandemie musste alles sehr schnell gehen", sagt Kai-Uwe Loser, Vorstandsmitglied beim Berufsverband der Datenschutzbeauftragten Deutschlands. „Gerade in dieser ersten Phase ist einiges schiefgegangen." Um Mitarbeitende schnell zu vernetzen, hätten viele Unternehmen auf die bequemsten verfügbaren Lösungen zurückgegriffen. Datenschutzfragen seien dabei oft in den Hintergrund gerückt.
Loser, der für den Datenschutz an drei Universitäten im Ruhrgebiet zuständig ist, kennt das Dilemma aus eigener Erfahrung: Zwar stünden den meisten Hochschulen durchaus eigene E-Learning-Plattformen zur Verfügung. „Wenn aber alle gleichzeitig diese Dienste nutzen, dann ist Schicht im Schacht." Die Alternative? Ein kostenfreies Tool. „Ja, Zoom ist nicht sicher", räumt Loser ein. „Aber für bestimmte Zwecke wie Online-Vorlesungen kann der Einsatz verhältnismäßig sein." Er selbst kenne im Übrigen keine Uni, die Zoom nicht nutzt.
Dennoch, sagt Loser, sei es nun Zeit, in die zweite Phase einzutreten. „Jetzt kann man genau hinschauen, ob die gewählten Tools die richtigen waren", sagt der Experte. Sein Tipp: Wenn es schon Programme wie Skype oder Zoom sein müssen, dann zumindest die kostenpflichtigen Varianten mit eigenen Datenschutz-Verträgen. „Wenn es nichts kostet, zahlen Sie mit Ihren Daten."
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat derweil einen Leitfaden herausgegeben, der sich an Unternehmen richtet. Das 173 Seiten starke „Kompendium Videokonferenzsysteme" listet detailliert auf, wie sich eigene autarke Anlagen installieren lassen. Das ist wohlgemerkt aufwendiger, als auf einen Zoom-Link zu klicken oder Skype zu nutzen. Und teurer.
Der Verein Digitalcourage bringt es auf den Punkt: „Viele entscheiden sich nun für die Tools der großen US-Datenkraken – häufig, weil sie nichts anderes kennen", schreiben die Datenschützer auf ihrer Website. Ihr Appell: „Tun Sie das nicht! Sie legen nicht nur Ihre Inhalte und Kontakte, sondern auch Ihre Arbeitsstrukturen gegenüber Geheimdiensten und Firmenkonsortien offen."
Welche Alternativen es gibt, hat der Verein in seinen „Technik-Tipps fürs Homeoffice" zusammengestellt. Auch wie man E-Mails verschlüsselt oder Daten sicher austauscht – besser nicht per Dropbox –, wird dort erläutert. Eine Übersicht der wichtigsten Tipps gibt es in der Infobox oben rechts.
Doch nicht nur Geld spielt eine Rolle, wenn in Corona-Zeiten der Datenschutz laxer gehandhabt wird als im Normalfall. Manchmal geht es auch schlicht darum, Dienstleistungen anzubieten, die wegen der Regeln eingeschränkt wurden. Viele öffentliche Bibliotheken, die wegen der Pandemie geschlossen wurden, stellen in diesen Tagen ihre digitalen Angebote vereinfacht zur Verfügung.
Der Haken: Nicht immer wird dabei auch an die Sicherheit gedacht. Wer beispielsweise in Bonn auf E-Books und Zeitschriften-Datenbanken zugreifen möchte, kann einen Mitgliedsausweis für die Bibliothek neuerdings auch online beantragen. Die Antragstellenden sollen dabei ihren Personalausweis einscannen und das Dokument per E-Mail verschicken – ohne jegliche Verschlüsselung.
Dabei ist die Bonner Stadtbibliothek nur ein Beispiel von vielen. In Baden-Württemberg untersuchte der Datenschutzbeauftragte im vergangenen Jahr, wie viele Behörden-Websites den sicheren HTTPS-Standard verwenden. Ob Kleinstadt, Arbeitsgericht oder Finanzamt: Gerade einmal 19 Prozent der untersuchten Behörden nutzten HTTPS. Schon damals warnte der Datenschutzbeauftragte, dass ungesicherte Websites leicht ausgespäht oder manipuliert werden könnten.
Wie schnell sich eine mangelnde Sensibilität für IT-Sicherheit rächen kann, zeigte sich erst kürzlich bei einer Phishing-Attacke in Nordrhein-Westfalen. Cyberkriminelle hatten ihre Opfer auf eine gefälschte Website gelockt, auf der diese ihren Antrag auf staatliche Soforthilfe stellten. Mit den abgegriffenen Daten – Name, Adresse, Bankverbindung, Steuer-ID – stellten die Kriminellen im Anschluss selbst einen Antrag.
HTTPS-Standard oft nicht verwendet
Anfangs gingen die Behörden von einem möglichen Millionenschaden aus, der durch den Datenklau entstanden sein könnte. Nun zeigt sich, dass die Sache wohl offenbar komplizierter ist: „Bei uns sind bislang rund 900 Strafanzeigen eingegangen", bestätigt Christoph Hebbecker von der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC). Bisher habe man aber keinen konkreten Schaden nachweisen können. Soll heißen: Es gibt aktuell keinen bestätigen Fall, in dem die Hacker tatsächlich einen Soforthilfe-Antrag stellten und diesen auch ausgezahlt bekamen (Stand: 28. April). Aber wieso dann der Datendiebstahl? Darüber kann auch Hebbecker nur spekulieren. „Persönliche Daten lassen sich für verschiedenste Zwecke nutzen", erläutert der Staatsanwalt. „Vielleicht wurden sie im Darknet inzwischen weiterverkauft."
Die These, dass die Corona-Zeit zu besonders vielen Hackerangriffen führt, teilt Hebbecker indessen nicht: „Kriminelle versuchen immer, Profit aus Extremsituationen zu schlagen", sagt er. „Aber auch in normalen Zeiten haben wir gut zu tun." Besonders beliebt in der Wirtschaftswelt sei der sogenannte „CEO Fraud". Dabei geben sich die Täter per E-Mail als Vorgesetzte aus und instruieren ihre Untergebenen, Geld aus der Firmenkasse zu überweisen. „Da geht es um unfassbare Summen", weiß der Staatsanwalt.
Treffen könne es alle – vom Kleinbetrieb bis zum Großkonzern. Die Schwachstelle sei am Ende eben nicht die Technik, sondern der Faktor Mensch. „Sie können Millionen für IT-Sicherheit ausgeben", sagt Hebbecker. „Und am Ende haben Sie doch einen Mitarbeiter, der auf ein Katzenbild klickt."