Seit Corona arbeiten deutlich mehr Angestellte von zu Hause aus. Nicht immer achten sie dabei auf Datenschutz und IT-Sicherheit. Hacker wittern bereits ihre Chance. So entkommt man ihnen.
Stuttgart - Boris Johnson war bester Laune. „Heute Morgen habe ich das erste digitale Kabinett überhaupt geleitet“, verkündete er Ende März stolz auf Twitter. Um seinen Worten Nachdruck zu verleihen, veröffentlichte der britische Premierminister dazu einen Screenshot. Zu sehen waren seine Ministerinnen und Minister, die sich über das Video-Tool „Zoom“ unterhielten.
Doch nicht nur die Regierung war zu sehen. Johnson hatte es versäumt, die „Meeting-ID“ der Konferenz unkenntlich zu machen. Mit ein wenig Expertise hätten Unbefugte das digitale Kabinett belauschen können. Zwar versicherte die britische Regierung umgehend, die Videokonferenz sei zusätzlich passwortgeschützt gewesen. Aus Datenschutz-Sicht handelte es sich trotzdem um einen groben Schnitzer.
In normalen Zeiten hätte man einen solchen Vorfall schnell abhaken können. Doch in Zeiten von Corona und Homeoffice, kann eine solche Panne jeden treffen. Abertausende von Menschen, die zuvor am gut gewarteten Firmenrechner saßen, sind plötzlich im Wohnzimmer auf sich selbst gestellt. Dort soll nun alles digital laufen – vom Videochat mit dem Chef bis zum Antrag beim Bürgeramt.
Das Video-Tool Zoom steht schon länger in der Kritik
Es ist ein riskantes Experiment, bei dem sich eine Frage besonders aufdrängt: Kommt der Datenschutz in Corona-Zeiten zwangsläufig zu kurz?
Beispiel „Zoom“: Das Video-Tool steht schon länger in der Kritik, unter anderem wegen diverser Sicherheitslücken und dubioser Datenschutz-Praktiken. Die deutsche Datenschutzerklärung wies bis vor Kurzem noch folgende Passage auf: „Verkauft Zoom personenbezogene Daten? Das hängt von Ihrer Definition von ‚verkaufen‘ ab.“ Als Reaktion auf die Kritik hat das Unternehmen die Datenschutzerklärung inzwischen überarbeitet.
Lesen Sie aus unserem Plusangebot: Funktioniert Homeoffice auf Dauer?
Während Nutzerinnen und Nutzer in ihrer Freizeit selbst entscheiden können, ob sie solche Tools nutzen, haben sie im Berufsleben keine Wahl: Wenn die eigene Firma ein Programm vorgibt, kann man schlecht Nein sagen – gerade dann, wenn es scheinbar keine Alternative gibt.
Anfangs haben viele Firmen auf die bequemste
„Am Anfang der Pandemie musste alles sehr schnell gehen“, sagt Kai-Uwe Loser, Vorstandsmitglied beim Berufsverband der Datenschutzbeauftragten Deutschlands. „Gerade in dieser ersten Phase ist einiges schiefgegangen.“ Um die Mitarbeitenden schnell zu vernetzen, hätten viele Unternehmen auf die bequemsten verfügbaren Lösungen zurückgegriffen. Datenschutzfragen seien dabei oft in den Hintergrund gerückt.
Loser, der für den Datenschutz an drei Universitäten im Ruhrgebiet zuständig ist, kennt das Dilemma aus eigener Erfahrung: Zwar stünden den meisten Hochschulen durchaus eigene E-Learning-Plattformen zur Verfügung. „Wenn aber alle gleichzeitig diese Dienste nutzen, dann ist Schicht im Schacht.“ Die Alternative? Ein kostenfreies Tool. „Ja, Zoom ist nicht sicher“, räumt Loser ein. „Aber für bestimmte Zwecke wie Online-Vorlesungen kann der Einsatz verhältnismäßig sein.“ Er selbst kenne im Übrigen keine Uni, die Zoom nicht nutzt.
Dennoch, sagt Loser, sei es nun Zeit, in die zweite Phase einzutreten. „Jetzt kann man genau hinschauen, ob die gewählten Tools die richtigen waren“, sagt der Experte. Sein Tipp: Wenn es schon Programme wie Skype oder Zoom sein müssen, dann zumindest die kostenpflichtige Variante mit eigenen Datenschutz-Verträgen. „Wenn es nichts kostet, zahlen Sie mit Ihren Daten.“
Es gibt Alternativen zu Zoom oder Skype
Das Bundesamt für Sicherheit in der Informationstechnik hat derweil einen Leitfaden herausgegeben, der sich an Unternehmen richtet. Das 173 Seiten starke „Kompendium Videokonferenzsysteme“ listet detailliert auf, wie sich eigene autarke Anlagen installieren lassen. Das ist, wohl gemerkt, aufwendiger als auf einen Zoom-Link zu klicken oder Skype zu nutzen – und teurer.
Lesen Sie hier: Vom Homeoffice zurück ins Büro
Der Verein Digitalcourage bringt es auf den Punkt: „Viele entscheiden sich nun für die Tools der großen US-Datenkraken – häufig, weil sie nichts anderes kennen“, schreiben die Datenschützer auf ihrer Website. Ihr Appell: „Tun Sie das nicht! Sie legen nicht nur Ihre Inhalte und Kontakte, sondern auch Ihre Arbeitsstrukturen gegenüber Geheimdiensten und Firmenkonsortien offen.“
Welche Alternativen es gibt, hat der Verein in seinen „Technik-Tipps fürs Homeoffice“ zusammengestellt. Auch wie man E-Mails verschlüsselt oder Daten sicher austauscht (besser nicht mit Dropbox!) wird dort erläutert.
Ungesicherte Behörden-Websites können leicht manipuliert werden
Doch nicht nur Geld spielt eine Rolle, wenn in Corona-Zeiten der Datenschutz laxer gehandhabt wird als im Normalfall. Manchmal geht es auch schlicht darum, Dienstleistungen anzubieten, die wegen der Pandemieregeln eingeschränkt wurden. Viele öffentliche Bibliotheken, die wegen der Pandemie geschlossen wurden, stellen in diesen Tagen ihre digitalen Angebote vereinfacht zur Verfügung.
Der Haken: Nicht immer wird dabei auch an die Sicherheit gedacht. Wer beispielsweise in Bonn auf E-Books und Zeitschriften-Datenbanken zugreifen möchte, kann einen Mitgliedsausweis für die Bibliothek neuerdings auch online beantragen. Die Antragstellenden sollen dabei ihren Personalausweis einscannen und das Dokument per E-Mail verschicken – ohne jegliche Verschlüsselung.
Dabei ist die Bonner Stadtbibliothek nur ein Beispiel von vielen. In Baden-Württemberg untersuchte der Datenschutzbeauftragte im vergangenen Jahr, wie viele Behörden-Websites den sicheren HTTPS-Standard verwenden. Ob Kleinstadt, Arbeitsgericht oder Finanzamt: Gerade einmal 19 Prozent der untersuchten Behörden nutzten HTTPS. Schon damals warnte der Datenschutzbeauftragte, dass ungesicherte Websites leicht ausgespäht oder manipuliert werden könnten.
Phishing-Attacke: Kriminelle stellen Antrag auf staatliche Soforthilfe
Wie schnell sich eine mangelnde Sensibilität für IT-Sicherheit rächen kann, zeigte sich kürzlich bei einer Phishing-Attacke in Nordrhein-Westfalen. Cyberkriminelle hatten ihre Opfer auf eine gefälschte Website gelockt, auf der diese ihren Antrag auf staatliche Soforthilfe stellten. Mit den abgegriffenen Daten – Name, Adresse, Bankverbindung, Steuer-ID – stellten die Kriminellen im Anschluss selbst einen Antrag.
Führt die Corona-Zeit also zu besonders vielen Hackerangriffen? Nein, sagt Christoph Hebbecker von der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen. „Kriminelle versuchen immer, Profit aus Extremsituationen zu schlagen“, sagt der Staatsanwalt. „Aber auch in normalen Zeiten haben wir gut zu tun.“ Besonders beliebt in der Wirtschaftswelt sei der sogenannte CEO Fraud. Dabei geben sich die Täter per E-Mail als Vorgesetzte aus und instruieren ihre Untergebenen, Geld aus der Firmenkasse zu überweisen. „Da geht es um unfassbare Summen“, weiß Hebbecker.
Treffen könne es alle – vom Kleinbetrieb bis zum Großkonzern. Die Schwachstelle sei am Ende eben nicht die Technik, sondern der Faktor Mensch. „Sie können Millionen für IT-Sicherheit ausgeben“, sagt Hebbecker. „Und am Ende haben Sie doch einen Mitarbeiter, der auf ein Katzenbild klickt.“