Datenmissbrauch bedeutet die kriminelle Verwendung von Personen-, Finanz-, Wirtschafts- und Technikdaten. Dem Missbrauch geht ein Diebstahl bzw. das illegale Kopieren der Daten voraus. Der eigentliche Datendiebstahl ist seltener. Er würde bedeuten, dass der vorherige rechtmäßige Inhaber der Daten sie nach dem Diebstahl nicht mehr besitzt. Das wäre nur denkbar, wenn die Daten ausschließlich auf einem einzigen physischen Datenträger vorlagen, der entwendet wurde. Viel häufiger ist das illegale Kopieren der Daten. Solche Daten werden auch im Darknet gehandelt. Es ist also möglich, dass der missbräuchliche Verwender sie nicht selbst kopiert oder gestohlen, sondern gekauft hat.
Schaden durch Datenmissbrauch
Selbst milliardenschwere Unternehmen werden gelegentlich Opfer von Datenmissbrauch. Große Aufmerksamkeit erregte im Sommer 2020 zudem ein Hack auf Twitter-Konten von Prominenten. Konzerne die Deutsche Telekom, Yahoo und US-amerikanische Kreditkartenunternehmen waren schon betroffen, die Dunkelziffer bei KMU auf der ganzen Welt scheint hoch zu sein. Schätzungen gehen von jährlichen Milliardenschäden allein für die deutsche Wirtschaft aus, allerdings wird das Gros der Fälle nicht gemeldet. Das liegt daran, dass eine häufige Form von Cyberkriminalität die Erpressung ist, bei der die Opfer stillschweigend zahlen, um wieder die Herrschaft über ihre Daten zu erlangen. Dementsprechend liegen die gemeldeten Schadensummen niedriger. Die ökonomischen Folgen von Datenmissbrauch beziffert das Portal statista für die Jahre 2011 bis 2018 wie folgt (in Millionen Euro):
- 2011: 71,2
- 2012: 42,5
- 2013: 42,6
- 2014: 39,4
- 2015: 40,5
- 2016: 51,6
- 2017: 71,8
- 2018: 61,4
Der Schaden kann rein finanzieller Natur sein, doch auch Reputationsschäden wiegen für die Wirtschaft sehr schwer. Wenn ein Unternehmen zugibt, das Opfer von Datenmissbrauch geworden zu sein, könnte es wertvolle Kunden verlieren. Aus diesem Grund kommen die Unternehmen Erpressungsversuchen häufig nach: Daher ergibt sich die wahrscheinlich sehr hohe Dunkelziffer.
Datendiebstahl bzw. -kopie als Voraussetzung für den Datenmissbrauch
Der Datendiebstahl, um beim geläufigen (wenngleich weniger korrekten) Begriff zu bleiben, kann auf verschiedenen Wegen erfolgen. Eine große Gefahr droht Privatpersonen und Unternehmen durch die Verwendung kostenloser E-Mail-Dienste. Die dort übermittelten Daten sind trotz aller Beteuerungen der Anbieter bezüglich der Sicherheit eben nicht sicher. Sie werden erstens von den Anbietern selbst für Werbezwecke missbraucht, zweitens ist ein Hack auf ein kostenloses E-Mail-Konto für einen erfahrenen Hacker ein Kinderspiel. Es gibt Experten, die eine E-Mail über einen kostenlosen Account mit einer Postkarte vergleichen, die wirklich jedermann mitlesen kann. Wirkliche Sicherheit bietet eine Lösung über das Tor-Netzwerk, die etwa Securemail anbietet. Hier werden Mailadressen von der IP getrennt, Tor verschlüsselt zusätzlich hochgradig über mehrere Knoten. Wer über einen kostenlosen Mail-Account operiert, riskiert hingegen alsbald, dass sein Klarname, die Adresse, der Geburtstag sowie die Konto- oder Kreditkartennummer abgegriffen und zusammen mit der E-Mail-Adresse missbräuchlich verwendet werden. Letztere ist für viele Anbieter ein Ausweis der digitalen Identität, die auf diese Weise gestohlen werden kann. Nach einem Identitätsdiebstahl muss das Opfer befürchten, dass auf seine Rechnung im Netz eingekauft und schlimmstenfalls sogar Bank- und Kreditkartenkonten gekapert werden. Unternehmen sind extrem durch die Cloud gefährdet. Das legt eine Cloud-Security-Studie aus 2019 nahe. Demnach sind offenbar die IT-Abteilungen vieler deutscher Unternehmen nicht imstande, die Risiken der Cloud-Technologien angemessen zu managen. Schon im Jahr 2019 glaubten 70 % der befragten IT-Manager, dass Daten ihrer Firma abgegriffen und bereits im Darknet gehandelt wurden. Fachleute wie Nico Popp von Symantec verweisen inzwischen darauf, dass wegen der vielen geschäftskritischen Daten in Clouds die Sicherheitsrisiken inzwischen auf einem nie zuvor erreichtes Niveau liegen dürften. Es sei aber nicht die Cloud-Technologie an sich, so Popp. Vielmehr fehle meistens die richtige Verschlüsselung. Erschreckend und kaum zu glauben, aber wahr: Im Jahr 2019 verwendeten ~80 % aller deutschen Unternehmen keinerlei Verschlüsselung für ihre Daten in der Cloud. Diese ist damit extrem angreifbar. Hinzu kommen Risiken durch Phishing, auf das immer noch selbst Mitarbeiter von Weltunternehmen hereinfallen. So basierte der Twitter-Hack des Jahres 2020 auf Phishing bei Twitter-Supportern. Diese hatten Zugänge zu den Konten von Prominenten verraten. Die Probleme mit Clouds sind so gravierend, weil Firmen ab KMU-Größe heute durchschnittlich 436 Cloud-Apps verwenden, über welche die IT-Verantwortlichen schnell den Überblick verlieren. Die zerfaserte IT-Landschaft entsteht, weil sich die verschiedenen Abteilungen einer Firma unabhängig voneinander jeweils eigene Lösungen aussuchen. Die tatsächliche Zahl möglicher Cloud-Apps dürfte derzeit (2020) bei rund 2.000 liegen. Jede einzelne dieser Apps hat bestimmte Sicherheitslücken, zusätzlich sorgen Schnittstellen zum Betriebssystem für Risiken. Das klassische Einfallstor ist sehr oft die E-Mail. Daher verweisen Experten darauf, gerade die sicherheitskritischen Stellen der IT von kostenlosen E-Mail-Accounts strikt zu trennen oder am besten diese gar nicht mehr zu nutzen.
Methoden des Datendiebstahls
Es gibt mehrere Methoden, um an die Daten der Opfer zu gelangen. Hier sind die bekanntesten:
- Phishing: Das Opfer erhält eine gefälschte E-Mail, die beispielsweise wie eine Mail von seiner Bank aussieht. Darin wird es aufgefordert, seine PIN und TANs preiszugeben. Banken warnen heute schon auf ihrer Startseite vor dieser Betrugsmasche.
- Pharming: Es wird eine gefälschte Webseite angegeben. Sie sieht aus wie die echte Seite eines Anbieters, auch ihre URL ist fast identisch. Von dieser aus wird das Opfer auf die Betrugsseite weitergeleitet.
- Vishing: Hierbei werden Daten am Telefon abgefragt. Die Methode gehört zum Social Engineering, bei dem ein sozialer Kontakt die Voraussetzung für den Betrug ist.
- Snarfing nutzt Sicherheitslücken in WLANs aus.
- DNS-Spoofing bzw. Cache Poisoning: Durch die Fälschung der IP-Adresse bzw. Domain einer Website gelangt der Surfer auf einen Rechner, der ihn angreift.
- Content Spoofing: Die echte Seite wird perfekt gefälscht. Auf diese Fälschung wird der Surfer umgeleitet. Wenn er hier seine Zugangsdaten eingibt, greifen sie die Kriminellen ab.
- Mail-Spoofing: Mail-Adressen werden perfekt nachgeahmt. Die Mail enthält zum Beispiel eine Zahlungsaufforderung oder die Aufforderung, Zugangsdaten preiszugeben.
- ARP-Spoofing: In einem IP-Telefonnetzwerk werden zu Betrugszwecken die ARP-Tabellen im Netzwerkprotokoll verändert.
- IP-Spoofing: Einem Rechner wird der Datenzugang von einem bekannten, durch seine IP verifizierten Rechner vorgetäuscht. Der Angreifer sitzt aber in der Leitung und greift die Daten ab oder manipuliert sie.
Strafrechtliche Würdigung
Der Datenmissbrauch ist nicht direkt als Delikt strafbewehrt. Strafen drohen bei Betrug und Diebstahl als Folge des Datenmissbrauchs und auch durch den Datendiebstahl selbst (§ 202a StGB). Dieser kann mit bis zu drei Jahren Haft oder Geldstrafe geahndet werden. Dass der Datenmissbrauch im deutschen Strafgesetzbuch noch nicht als eigener Straftatbestand erfasst ist, gilt als Manko. Wer beispielsweise Daten dazu missbraucht, jemanden in fremdem Namen zu verleumden, kann nicht ohne Weiteres belangt werden. Diese Handlung kann nach einem Identitätsdiebstahl ausgeführt werden, der eine der häufigsten Formen von Datenmissbrauch ist.
Beispiel für Datenmissbrauch nach einem Identitätsdiebstahl
Wenn jemand imstande ist, mit einer geraubten E-Mail-Adresse und dem Klarnamen des Opfers ein Log-in in einem Social Network zu erlangen, kann er sich dort ein neues Passwort zusenden lassen und dann unter dem Namen seines Opfers auftreten. Schlimmstenfalls kann er auf Amazon oder eBay im Namen des Opfers einkaufen, auch wenn das nicht ganz so einfach ist. Der Zugang zu Social Networks jedoch gilt allgemein als nicht sehr sicher, wie die gekaperten Twitter-Konten des Jahres 2020 beweisen. Sogar im Namen von Barack Obama hatten die Kriminellen vorgebliche Spenden eingeworben und um Zahlungen in Bitcoins gebeten. Sie erbeuteten rund 100.000 Dollar, bevor der Schwindel aufflog. Auf Twitter sind solche Vorkommnisse im Abstand von rund drei bis fünf Jahren immer wieder beobachtet worden und wohl auch künftig zu erwarten. Der Datenmissbrauch könnte dann dazu führen, im Namen des Opfers sehr diskreditierende Äußerungen zu twittern, die sogar strafbewehrt sind. Twitter ist nicht das einzige ungesicherte soziale Netzwerk, sondern nur das prominenteste.
Schutz vor Datenmissbrauch
Ein sicherer E-Mail-Provider wie Securemail bietet den besten Schutz. Die E-Mail ist und bleibt das gefährlichste Einfallstor für Datenmissbrauch.