Nach dem Datenklau bei Sony muss der Staat für den Schutz der Bürger sorgen

Big DataData & StoragePolitikRechtSicherheitSicherheitsmanagement

Die Sicherheitsmängel bei Sony, die zum Diebstahl von rund 100 Millionen Kundendaten führten, geben dem Staat ein Argument an die Hand, Mindeststandards wie PCI-DSS durchzusetzen, meint Eric Doyle.

Die Sicherheitslücken, die sich bei Sony aufgetan haben, sind Grund genug, dieses Thema in einen größeren Kontext zu stellen und Fragen bezüglich der Verantwortung von Konzernen zu stellen. Wie hart wird die Strafe gegen Sony ausfallen?

Die Antwort ist: wahrscheinlich nicht hart genug. Das Unternehmen hat durch den gefallenen Aktienkurs geschätzte zwei Milliarden US-Dollar eingebüßt, aber langfristiger und schwerwiegender dürften für Sony die selbst verursachten Kosten für die Schadensbeseitigung sein, außerdem wird Sonys Renommee geraume Zeit darunter leiden.

Besonders in Deutschland zeichnet sich ab, dass den Japanern massive Strafen für die entstandenen Datenrechtsverletzungen bevorstehen, aber Sony wird das als multinationaler Konzern verkraften können.

Wem stehen die Entschädigungszahlungen zu? Nur Sony kann die Geschädigten anhand des gestohlenen Datenmaterials identifizieren, aber natürlich ist nicht bekannt, ob Kunden überhaupt finanzielle Schäden erlitten haben.

Zeit für einen fundamentalen Wandel

Natürlich lachen sich nun Microsoft und Nintendo ins Fäustchen, während sie sich gegenseitig auf dem Markt für Computerspiele jagen wie Pac-Man und dabei die Kraftpillen verdrücken, von denen Sony sich die Wiederbelebung des Spielekonsolenmarktes erhofft hatte.

Sonys Finanzen werden dadurch empfindlich getroffen, auch der Unternehmensstolz, doch die Datenschutzsituation der unzähligen Spieler im Internet wird sich langfristig gesehen durch diesen Skandal nicht verbessern. Es ist an der Zeit, endlich die Escape-Taste zu drücken und einen fundamentalen Wandel herbeizuführen.

Es hinterlässt einen bitteren Nachgeschmack, dass Sony wohl damit davonkommen wird, bei diesem Skandal den Stempel »IT-Inkompetenz« aufgedrückt zu bekommen, zumindest bei den Millionen von treuen Kunden, deren Daten Sony nicht vor Spammern und Phishing-Betrügern schützen konnte. Außerdem ist auch der finanzielle Aspekt dieses Datendiebstahls und die damit einhergehende Unsicherheit zu bedenken – Sony hat anscheinend keinen Schimmer, ob tatsächlich Kreditkartendaten entwendet wurden oder nicht.

Staatlichen Stellen wird langsam klar, dass der Onlinehandel eine größere Gefahr für die Bürger darstellen könnte, als sie gedacht hatten und dass eventuell etwas unternommen werden sollte, wobei Geldstrafen als Abschreckung unwirksam sind. Wenn die Welt per Web regiert wird, muss dafür gesorgt werden, dass die Menschen, die gezwungenermaßen ihre persönlichen Daten über das Internet preisgeben, abgesichert sind.

Alles schon mal da gewesen

Wenn Firmen wie Sony, RSA Security und Epsilon Fehler unterlaufen, sollten Gesetze erlassen werden, die unter Androhung schwerer Geldstrafen sicherstellen, dass wenigstens Mindeststandards im Bereich Sicherheit eingehalten werden. Aber Moment mal, klingt das nicht irgendwie vertraut?

Der Verband der wichtigsten Kreditkartenanbieter (PCI) hat bereits vor einigen Jahren erkannt, dass den Kunden Gefahr droht. Eine Reihe seiner Mitglieder hat sich 2004 zusammengetan und das Regelwerk PCI-DSS (Payment Card Industry Data Security Standard) geschaffen, das Mindestsicherheitsstandards für die Abwicklung von Kreditkartenzahlungen festlegt. Damals wurde dieser Schritt heftig kritisiert, aber Untersuchungen haben gezeigt, dass Firmen, die den PCI-DSS-Richtlinien folgen, weit weniger häufig mit Datendiebstahl zu kämpfen haben als diejenigen, die den DSS-Standard nicht implementiert haben und stattdessen die Verantwortung an zentralisierte externe Zahlungsabwicklungsfirmen abgeben.

Die Kreditkartenfirmen haben durch ihr Handeln anscheinend für mehr Sicherheit bei Kartenzahlungen gesorgt, wobei allerdings Sony beteuert, dass man die DSS-Regeln befolgt hätte – trotzdem konnten Kreditkarteninformationen entwendet werden. Es scheint, als ob die DSS-Normen nicht die Datenbanken geschützt hatten, die Millionen, wenn nicht Milliarden von Namen, Anschriften und E-Mail-Adressen enthalten, die von Internethändlern gespeichert wurden.

Nach sieben Jahren und einer Reihe von massiven Datendiebstählen kommen nun staatliche Stellen zum selben Schluss wie die Kreditkartenfirmen – so viel zum Thema »von Privatunternehmen lernen«.

Zugegeben, gesetzlich vorgeschriebene Mindestsicherheitsstandards werden Unternehmen, die immer noch unter den Nachwirkungen der Finanzkrise leiden, nicht gerade entlasten, zumindest nicht kurzfristig, aber wie man an den Sicherheitslücken bei Sony und Epsilon sieht, könnten solche Vorschriften Unternehmen und Kunden langfristig vor Schäden bewahren.

Corporate Governance im Namen des Volkes, für das Volk

In der Vergangenheit war viel die Rede von Corporate Governance und es hat sich auch viel getan in diesem Zusammenhang, der Bereich Sicherheit wurde jedoch ausgeklammert. Es gibt immens viele gesetzliche Vorschriften, die festlegen, wie Unternehmen untereinander Geschäfte abwickeln müssen, von Kunden ist dabei kaum die Rede. Trotzdem sind die Hauptbetroffenen in der Privatwirtschaft die unzähligen Kundinnen und Kunden, Herr und Frau Normalverbraucher, die nicht die Macht haben, Unternehmen dazu zu zwingen, fair mit ihnen umzugehen.

Viele dieser Durchschnittsbürger geben ihre Daten freiwillig preis, wobei sie sich keineswegs der Sicherheitsrisiken bewusst sind – entweder um in den Genuss von Prämien zu kommen oder weil sie per Zuckerbrot und Peitsche dazu gebracht werden, persönliche Daten weiterzugeben, um damit Garantieversprechen oder -zusicherungen zu erhalten. Sollten Kriege wirklich, wie Regierungen behaupten, zukünftig mit Mitteln der Informationstechnologie ausgefochten werden, dann sollte der Staat dafür sorgen, dass die einfachen Bürger und Bürgerinnen geschützt sind. Eine Internet-Bürgerwehr, die alle schützt, wenn Eindringlinge die Verteidigungsstellungen überrennen.

Amerika wird sich langsam der Realität bewusst, und auch der EU wird der Ernst der Lage klar, mit welchen Gefahren die Bürger und Bürgerinnen immer häufiger konfrontiert werden. Unternehmen sollten gesetzlich dazu verpflichtet werden, Firewalls und Programme zur Bekämpfung von Schadsoftware einzusetzen sowie Kundendatenbanken zu verschlüsseln.

Derartige Maßnahmen bieten keinen Schutz vor unsicheren Datenbanken, die sich in Rechenzentren im Ausland befinden, aber jede Revolution fängt mit einem Scharmützel an und die Industrieländer sollten mit gutem Beispiel vorangehen.