Diskussion um den Datenhack ist kindergartenhaft
*** Gastkommentar von Franz Neumeier, freier Autor ***
Franz NeumeierSolange Sicherheitsexperten von hochkomplexen Passwörtern und Zwei-Faktoren-Authentifizierung schwadronieren, zugleich aber eine Hotelkette Millionen von Passdaten ihrer Kunden unverschlüsselt speichern darf (wozu überhaupt speichern?), stimmt in unserem Verständnis für Datenschutz etwas ganz grundlegend nicht.
Wir sollten endlich damit aufhören uns einzubilden, dass man Daten vor Missbrauch schützen kann. Wirklich sicher sind nur Daten, die erst gar nicht erhoben und gespeichert werden.
Datensparsamkeit muss erste Priorität haben! Kürzlich wollte mich ein Hotel in Oslo nicht einchecken, wenn ich Ihnen meine Telefonnummer nicht gebe. Das ist haarsträubend, das darf nicht sein (ich habe dann eine Fantasie-Nummer angegeben).
Und dort, wo Speicherung zwingend nötig ist, nicht nur für die Bequemlichkeit oder zum wirtschaftlichen Nutzen von Privatunternehmen oder zur Ergötzung aktionistischer Politiker unter dem Vorwand der Terrorbekämpfung, müssen die Daten so schnell wie möglich wieder gelöscht werden. In der Zwischenzeit gilt es die gespeicherten Daten, mit einem möglichst hohen Aufwand zu schützen und zu verschlüsseln.
Investieren wir bitte Steuergelder zum Entwickeln von Verfahren (und in die zugehörige Infrastruktur), die beispielsweise eine Identitäts- oder Bonitätsprüfung auch ohne Übertragung von Passdaten und ähnlichem erlaubt – vielleicht sowas wie Einmal-Token? Das würde echte Datensicherheit bringen. So etwas scheitert bislang typischerweise daran, dass diejenigen, die solche Infrastruktur bereitstellen könnten, den Rachen nicht voll genug kriegen beim Bestreben, sich an der Technik dumm und dämlich zu verdienen.
Die Anforderungen an den Nutzer zu erhöhen, wird jedenfalls immer ins Leere gehen. Niemand kann und will sich 20 Passwörter von der Qualität §jDL$HxD>jf34p53 merken (schonmal versucht, so ein Passwort fehlerfrei am Handy einzutippen?). Auch eine Zwei-Faktoren-Authentifizierung kostet gerade bei den wichtigen (nämlich: ständig benutzten) Accounts so viel Zeit und Nerven, dass die meisten es ganz schnell wieder deaktivieren.
Mit diesem Hintergrund empfinde ich die Diskussion um die aktuellen Datenhacks in weiten Teilen als kindergartenhaft. Auch wenn Details dazu noch nicht öffentlich sind: Vermutlich stecken da noch nicht einmal aktive und gezielte Hacks dahinter, sondern nur das simple Zusammentragen von vorhandenen Informationen aus früheren Datenlecks aus allen möglichen Quellen wie jetzt die Passnummern bei Marriott. Das Fatale ist nicht ein einzelner Hack oder eine bedauerliche Schwachstelle bei einem einzelnen Unternehmen. Es ist ein grundlegender, systemischer Fehler.
Franz Neumeier (50) war jahrelang Chefredakteur bei IT-Zeitschriften wie PC Professionell, Internet Professionell und Internet Magazin. Heute ist er als freier Autor und Fotojournalist mit Spezialisierung auf Kreuzfahrt-Themen tätig, bloggt sehr erfolgreich auf cruisetricks.de und engagiert sich im Vorstand des Bloggerclub e.V. für die Vertretung von Blogger-Interessen.