Die zunehmende Digitalisierung bewirkt zwar weiterhin Produktivitätsgewinne und ermöglicht Dienstleistungen, die analog nicht darstellbar waren, dafür bezahlt man allerdings auch einen Preis, der vor­dergründig nicht wahrgenommen wird: Die Sicherheit unserer Daten ist zunehmend gefährdet. Das Bundeskriminalamt bezifferte die Zahl der Anzeigen für das erste Halbjahr 2019 mit rund 13.000 Fällen, im Jahresvergleich ist das ein Zuwachs um 50 Prozent.

Auf unterschiedlichste Weise wird versucht, Privatpersonen, Unternehmen und öffentliche Einrichtungen zu betrügen, zu erpressen oder ihre Daten zu stehlen. Zugangsdaten zu Bank- und Kryptowährungskonten zählen neben Kreditkartendaten zur bevorzugten Beute von kriminellen Akteuren im Internet, aber grundsätzlich werden auch alle anderen Datensätze von Namen über Adressen bis zu Telefonnummern gestohlen. Dass auch große Unternehmen wie die amerikanische Bank One, die Hotelkette Marriott oder der Aluminiumkonzern Norsk Hydro Opfer solcher Angriffe wurden, zeigt, dass es jeden treffen kann.

Erfolgreiche Angriffe durch Hacker verursachen in der Regel nicht nur einen Image-, sondern auch einen massiven finanziellen Schaden – sogar dann, wenn den betroffenen Kunden kein unmittelbarer finanzieller Schaden entsteht. Die US-Großbank Capital One, der von einer Hackerin mehr als 100 Millionen Datensätze von potenziellen Kreditkartenkunden gestohlen wurden, geht davon aus, dass 100 bis 150 Millionen US-Dollar an Kosten für Rechtsberatung, die Benachrichtigung von Kunden und die Umstellung der Technik anfallen werden. 

Strafen durch Behörden
Hinzu kommt, dass Unternehmer in solchen Fällen auch noch mit Strafen rechnen müssen, nämlich dann, wenn man ihnen nachweisen kann, dass sie ihre Kundendaten nicht gesetzeskonform geschützt haben. In Deutschland wurde erst kürzlich gegenüber einem Lieferdienstanbieter eine Strafe von 195.000 Euro verhängt, da dieser nach Ansicht der ­Behörde gleich mehrfach gegen Datenschutzvorgaben verstoßen hat. Noch massiver griff 2019 die britische Datenschutzbehörde ICO durch: Die Fluggesellschaft British Airways und Marriott Hotels wurden vom Information Commissioner’s Office (ICO) zu Strafzahlungen in Höhe von 180 beziehungsweise 99 Millionen Pfund verdonnert. 

In Österreich wurden bisher nur eine Handvoll Strafen verhängt – die höchste lag bei 4.800 Euro. "Diese Fälle beziehen sich ausschließlich auf den Bereich der unerlaubten Videoüberwachung. Diese wären aber wohl auch vor Inkrafttreten der DSGVO schon zu ahnden gewesen, es ist lediglich die Sensibilität gestiegen und damit die Zahl der Fälle bei der Datenschutzbehörde", erklärt Wolfgang Millner, Geschäftsführer beim Wiener IT-Sicherheitsdienstleister Rentea. Bisher folgt die Datenschutzbehörde (DSB) in Österreich noch dem Motto "Verwarnen vor strafen", das muss allerdings nicht so bleiben. 

FMA zeigt Interesse
Besonders sorgfältig müssen Unternehmen agieren, die mit sensiblen personenbezogenen Daten zu tun haben. Dazu zählen insbesondere Wertpapierfirmen, Vermögensberater und Versicherungsvermittler. Obwohl die DSGVO seit 2018 in Kraft ist, wurde sie nach Ansicht von Fachleuten noch nicht in allen Unternehmen vollständig implementiert. Der Unternehmensberater und Datenschutzexperte Andreas Dolezal meint: "Wir sind immer noch sehr weit davon entfernt, dass eine breite Masse die Pflichten der DSGVO erfüllt." Dolezal legt hier eine Tempoverschärfung nahe, weil das Thema IT-Sicherheit und Datenschutz zunehmend in das Interessenfeld der Finanzmarktaufsicht rücke. Dem Vernehmen nach wird bei einigen Wertpapierfirmen und deren Erfüllungsgehilfen bei Vor-Ort-Prüfungen ­bereits gezielt in diese Richtung nachgefragt. Sich dem Thema IT-Sicherheit stärker anzunehmen, kann somit in mehrfacher Hinsicht von Vorteil sein. 

In der Praxis rät IT-Experte Millner, vor allem beim Datenaustausch mit Kunden besondere Vorsicht walten zu lassen. Während Banken und Versicherungsunternehmen mittlerweile über eigene Portale für den sicheren und rechtskonformen Datenaustausch verfügen, hinken die kleinen Unternehmen hier oftmals noch hinterher, Millners Erfahrung: "Vom Makler zum Kunden ist mir so eine Lösung noch nicht untergekommen. Hier wird meist noch auf E-Mail gesetzt. E-Mails werden aber meist unverschlüsselt versendet und liegen dann unter Umständen auch noch lang auf Servern außerhalb der Geltungsbereichs der DSGVO, was aus rechtlicher und technischer Sicht ein Problem ist."

Im ersten Schritt empfiehlt der IT-Spezialist dazu, sensible Daten grundsätzlich nur verschlüsselt zu übertragen. Wer dies per E-Mail mache, könne zu versen­dende PDFs beziehungsweise komprimierte Dateien (ZIP-Files) verschlüsseln. Der Schlüssel müsse allerdings dementsprechend lang sein und unbedingt auf einem anderen Weg übermittelt werden. Wer Cloud Services zur Datenspeicherung beziehungsweise zur Übertragung nutze, sollte grundsätzlich europäische Dienste verwenden und die Daten nur für begrenzte Zeit in der Cloud speichern. Bei der Frage, welche Cloud-Dienstleister geeignet seien, helfe die Wirtschaftskammer. Mit dem von der Kammer ins Leben gerufenen Gütesiegel „Austrian Cloud“ werden Anbieter ausgezeichnet, die Daten nur im Inland speichern. Bisher finden sich bereits 28 Unternehmen mit einem entsprechenden Gütesiegel in der Firmensuche der Wirtschaftskammer.

Einen Lösungsansatz liefert auch Millner selbst mit seinem Dienst s-transfer.at. Das Tool ermögliche eine DSGVO-konforme und sichere Datenübertragung. Die Daten werden dabei auf österreichischen Servern zwischengespeichert und nach spätestens sieben Tagen gelöscht. So wird ein "Datenfriedhof" vermieden, der Angriffspunkt einer Cyberattacke werden könnte. Außerdem prüft s-transfer alle transferierten Daten auf Schadprogramme wie Viren, Würmer und Trojaner. (gp)


Den gesamten Artikel finden Sie in der aktuellen Heftausgabe 4/2019 von FONDS professionell und im E-Magazin.