Was ist Datenschutz?

„Datenschutz? Na klar, unsere Daten sind sicher.“ Solche Aussagen höre ich in Gesprächen immer wieder. Viel zu oft wird der Begriff Datenschutz aber falsch verstanden oder angewandt. Es gibt dazu natürlich viel Information im Internet, aber mein Blog wird nicht vollständig sein, ohne Grundlagenartikel. Das hier ist so einer.

Zugegeben, der Begriff Datenschutz ist missverständlich. Die Franzosen haben es da etwas einfacher. Dort heißt der Datenschutz „Informatique et Libertés“, frei übersetzt „Informatik und Freiheiten“. Hier kommt der Gedanke rüber, dass durch die Informatik, also die automatisierte Verarbeitung von Daten die Freiheit bedroht sein könnte. Derselbe Gedanke liegt natürlich auch dem Datenschutzgesetz zu Grunde. Als 1970 das Hessische Datenschutzgesetz verabschiedet wurde sagte der damalige Ministerpräsident Albert Osswald: „Die Orwellsche Vision des allwissenden Staates, der die intimsten Winkel menschlicher Lebenssphäre ausforscht, wird in unserem Land nicht Wirklichkeit werden.“ (http://www.spiegel.de/spiegel/print/d-43176393.html). Das hessische Datenschutzgesetz war das weltweit erste formelle Datenschutzgesetz und diente als Vorbild sowohl für das Bundesdatenschutzgesetz, als auch die Landesdatenschutzgesetze. Wie der Aussage Osswalds zu entnehmen ist, ging es darum den Bürger vor dem Ausspionieren durch den Staat zu schützen. Ein Thema das heute so aktuell ist, wie damals, wenn nicht sogar noch aktueller. Es sollte die Daten des Bürgers vor unbeschränktem und vor allem unkontrolliertem Zugriff durch den Staat schützen. Darum Datenschutzgesetz.

Das Bundesdatenschutzgesetz ist nach wie vor ein Schutzgesetz (Gola/Schomerus BDSG §1 RN 3). Das BDSG selbst nennt als Schutzgegenstand das allgemeine Persönlichkeitsrecht. §1 (1) BDSG: „Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Was ist das allgemeine Persönlichkeitsrecht? Da muss ich etwas weiter ausholen. Der Artikel 2 des Grundgesetzes sagt: „Jeder hat das Recht auf freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.“ Der Bundesgerichtshof entschied 1958 dass dieser Artikel in Verbindung mit dem Artikel 1 GG „Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.“ das allgemeine Persönlichkeitsrecht darstellt. Also: das Recht auf freie Persönlichkeitsentfaltung ist Teil der Würde des Menschen und daher vom Staat zu schützen.

Was aber braucht der Mensch zur freien Persönlichkeitsentfaltung? Die Liste umfasst im Moment 7 Punkte:

  • Recht am eigenen Namen
  • Recht am eigenen Bild
  • Recht am selbst Geschaffenen
  • Recht auf Achtung
  • Recht auf Vertraulichkeit von Wort und Schrift
  • Recht auf informationelle Selbstbestimmung
  • Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Diese Punkte sind seit 1958 vom BGH in verschiedenen Urteilen definiert worden und der Staat ist verpflichtet (Art. 1 GG) diese Rechte zu schützen. Der Datenschutz gründet sich natürlich überwiegend auf das Recht der informationellen Selbstbestimmung. Dieses Recht wurde im Volkszählungsurteil des BGH vom 15. Dezember 1983 etabliert. Der BGH kam zu dem Schluss dass die Volkszählung in der geplanten Form gegen Art. 2 GG in Verbindung mit Art. 1 GG verstösst.

Und wo ist jetzt die Relevanz für mich? Ein Mensch kann sich nur frei Entfalten, wenn er selber bestimmen kann, wer welche Information über ihn bekommt. Ein Mensch existiert immer in verschiedenen Kontexten, dem Arbeitsplatz, der Familie, dem Fußballverein usw. Ein Mensch muss die Möglichkeit haben diese Kontexte, auch informationstechnisch voneinander abzugrenzen. Sonst kann er sich nicht frei entfalten. Dieses Recht gehört zur Menschenwürde. Ein beobachteter Mensch wird sich anders verhalten, als jemand der nicht unter Beobachtung steht. Das ist völlig wertfrei zu sehen.

Wenn ich also nicht selbst bestimmen kann, welche Information über mich ich mit wem teile, ist meine Menschenwürde angetastet. Und genau das zu verhindern ist Aufgabe des Datenschutzes.

Meine Aufgabe als Datenschutzbeauftragter ist, dafür zu sorgen, dass ein Unternehmen die Rechte der Mitarbeiter und Kunden bzgl. Datenschutz wahrt.

 

Social Engineering? WhatsApp? Facebook? Ein Paradies für Hacker

Social Engineering? Was ist das? Schon mal gehört, aber betrifft mich das? Unter „Social Engineering“ versteht man das Erarbeiten von wichtigen Informationen durch Nutzung des sozialen Umfelds einer Person. Social Engineering ist eine der wichtigsten Methoden von Hackern. Die einfachste und oft in Filmen gezeigte Variante ist das Erraten des Passworts durch die Bilder, die so auf dem Schreibtisch rumstehen. Name vom Haustier, Geburtsdatum eines Kindes, Kosename des Partners usw. Das ist, naja sagen wir mal die Hollywoodvariante. Social Engineering ist aber tatsächlich sehr verbreitet. Warum? Weil Menschen mehr verraten als Computer. Das Ziel eines Hackers ist ja im Normalfall die Information die auf einem Computer gespeichert ist. Computer sind aber meistens nicht besonders geschwätzig. Sie sind so gebaut, dass sie ihre Information nur preisgeben im Tausch gegen ein Passwort oder andere Sicherheitsmechanismen. Aber in jedem Sicherheitskonzept ist immer der Mensch das schwächste Glied. Darum wird ein Hacker meistens versuchen über den Menschen an den Computer bzw. die Info zu kommen. Das hat aber nichts mit dem Erraten von Passwörtern zu tun. Ich versuche hier beispielhaft aufzuzeigen, wie ein Hacker vorgehen kann und wird. Dabei geht es mir nicht darum bestimmte Plattformen als unsicher zu verdammen, oder Panik bzw. Paranoia zu sähen, sondern zu zeigen, wie Hacker heute arbeiten.

Der Erstkontakt

Stell Dir vor Du blätterst in den Kleinanzeigen Deiner Zeitung. Dort verkauft Jaqueline aus Münster ihren alten Schülerschreibtisch und hat ihre Handynummer angegeben damit Du sie kontaktieren kannst. Jetzt wissen wir schon eine ganze Menge: Jaqueline wohnt in Münster, Name und Schülerschreibtisch lassen darauf schließen, dass sie ca. 20 Jahre alt ist und sie erwartet, dass Leute sie über ihre Handynummer kontaktieren. Wunderbar, genau was wir brauchen.

Recherche

Jetzt wollen wir ein bisschen was über Jaqueline wissen. Wir speichern die Handynummer in unserem Handy und da Jaqueline WhatsApp nutzt wird ihr Profilbild automatisch angezeigt. Mit Vorname, Wohnort, Handynummer und Foto ist es ein Kinderspiel Jaqueline auf Facebook zu finden. Ein paar Suchanfragen später habe wir sie. Ihr Profil sagt nicht allzuviel aus, weil sie ihre Privatsphäreneinstellungen richtig gesetzt hat. Aber wir erfahren wo sie zur Schule gegangen ist. Das ist ein sehr nützliches Detail, denn wer würde schon die Freundschaftsanfrage eines ehemaligen Klassenkameraden ablehnen, hehehe. Also erstellen wir uns schnell ein falsches Facebookprofil mit dem Namen eines anderen Schülers von dieser Schule (um welche zu finden, reicht ein Mausklick in Facebook, alternativ kann man auch Yasni oder ähnliches bemühen) und schicken Jaqueline eine Freundschaftsanfrage. Wir sind ein ehemaliger Mitschüler aus der Nachbarklasse. Freundschaftsanfrage ankzeptiert, wunderbar. Jetzt haben wir Zugang zu Jaquelines innerem Freundeskreise. Im Fall von Jaqueline sind das vielleicht 250 Freunde. Eine wahre Fundgrube.

Der Angriff

Was wir jetzt brauchen ist ein nicht besonders aktiver Freund. Da wir als Freund unbeschränkten Zugriff auf die Chronik und die Freundesliste von Jaqueline haben, können wir uns uneingeschränkt umschauen. Wir suchen jemanden der nicht viel postet und vielleicht schon länger nichts mehr gepostet hat. Vielleicht jemand mit einem gleichen Interessensgebiet wie Jaqueline. Ein Musikfan vielleicht, jemand der bestimmte Beiträge Jaquelines kommentiert. Wir finden Roman. Es scheint die beiden haben sich auf einem Konzert kennengelernt und für einige Zeit hat er auf Jaqueline Chronik Einträge hinterlassen, aber der letzte ist über 6 Monat alt. Ratet Mal: wir werden Roman. Ausgerüstet mit Romans Bild, einem Handy und Jaquelines Handynummer schicken wir Jaqueline eine WhatsApp Message als Roman. In dieser Message schicken wir Jaqueline ein bisschen Blabla, Bezug zu dem Konzert auf dem wir uns getroffen haben und das das Handy weg war, darum war so lange Funkstille, aber jetzt haben wir ein neues Handy und hier ist der Link zu einem Konzert unserer Lieblingsband in Deiner Nähe. Vielleicht können wir uns da treffen. Bäm. Der Link führt zu einer Website die einen Virus auf das Handy von Jaqueline lädt und dann zu der Konzertseite weiterleitet. Ein sogenannter Drive-By-Download. Das Ganze geht so schnell, das Jaqueline davon natürlich nichts merkt.
Mehrere Gründe sprechen dafür dass das funktionieren wird. 1. Jaqueline vertraut Roman, denn sie kennt ihn (er weiß gewisse Dinge, er hat ihre Handynummer, sie sieht sein Bild). 2. Jaqueline hat keinen Virenschutz auf ihrem Handy (denn das hat so gut wie niemand) 3. Handyviren kann man sich für ein paar hundert Euro im Internet kaufen.

Jetzt geht’s los

Und was machen wir jetzt? Wir haben Kontrolle über Jaquelines Handy. Damit haben wir Kontrolle über ihre Kontaktliste, ihr email usw. Wir werden Jaqueline. Jaqueline arbeitet als Auszubildende in einer Rechtsanwaltskanzlei. Wir schicken in ihrem Namen Emails an Kollegen, Kunden usw. Alle erhalten einen Link z.B. auf neueste relevante Informationen usw. Dahinter steckt ein Drive-By-Download und schon haben wir Zugriff auf die Dateien ihres Chefs und einiger wichtiger Kunden. Und das war genau das, was wir wollten. Jaqueline ist uninteressant. Ihr Chef und ihre Kunden sind es nicht. Denn mein Kunde bezahlt mich dafür wichtige Information zu besorgen, die auf dem Rechner des Rechtsanwalts gespeichert sind.

Fazit

Was lernen wir daraus? Bezahlte Hacker sind heute weit davon entfernt im dunklen Kämmerchen zu sitzen und sich die Zähne an irgend einer Firewall auszubeissen. Es gibt viel einfachere Wege in das Netzwerk einer Firma zu kommen. Die Angriffe von heute sind zielgerichtet, raffiniert und wurzeln im sozialen Umfeld des Opfers. Leider wird darüber viel zu wenig veröffentlicht, darum sollte sich jeder selber fragen ob er gegen so einen Angriff, wie den hier beschriebenen gefeit wäre.

Was bedeutet das für Firmen? Es sollte klare Regelungen für die Angestellten geben, wie Firmengeräte genutzt werden dürfen (keine private Nutzung von Firmenhandies) usw. Firmengeräte einschl. Handies müssen Virenschutz haben. Mitarbeiter müssen die Risiken kennen. Sogenannte Awarenesskampagnen können da Wunder wirken müssen aber auch regelmäßig wiederholt werden. Wenn Sie mehr darüber wissen wollen, kontaktieren Sie mich: David Gabel, David.Gabel@audit27001.de

David Gabel arbeitet freiberuflich als Datenschutzbeauftragter und Auditor/Berater für Informationssicherheitsmanagement. Sein Schwerpunkt ist der Bereich Marketing und Kundenbindung. Er berät Firmen im Umgang mit personenbezogenen Daten sowie im Schutz der eigenen Daten bzw. des geistigen Eigentums. Kontaktieren Sie ihn unter David.Gabel@audit27001.de