Datenschutz ist wichtiger denn je: Tipps für die Praxis

Mit dem «Datenschutztag» am 28. Januar soll mehr Bewusstsein für dieses Thema geschaffen werden – sowohl bei Unternehmen als auch bei Endanwendern. Wie wichtig es ist und was Sie gegen Angriffe unternehmen können, fassen wir hier zusammen.

Datenschutz ist ein Thema, das über die letzten Jahre immer weiter an Bedeutung gewonnen hat und das aus guten Gründen. Ein Beispiel: Laut einer Analyse von Risk Based Security gab es in den ersten drei Quartalen des Jahres 2020 zwar weniger Datenlecks, aber die Zahl der betroffenen Datensätze hat zugleich neue Rekordwerte erreicht: 36 Milliarden waren es demnach allein zwischen Januar und September. Ähnlich Schwindel erregend sind Übersichten zu den grössten Datenlecks 2020.
Insofern war es vorausschauend vom Europarat, den «Datenschutztag» anzuregen, der erstmals am 28. Januar 2007 begangen wurde. Das Datum selbst reicht dabei noch länger zurück: 1981 wurde an dem Tag die Europäische Datenschutzkonvention verabschiedet.
Vor 40 Jahren konnte allerdings sicherlich niemand ahnen, welche enormen Datenmengen in Zukunft anfallen würden.

Warum ist das wichtig?

So mancher denkt sich vielleicht, dass die eigenen Daten nicht so wichtig sind. Aber dabei sollte man immer im Hinterkopf behalten, dass viele Personen zum Einstiegspunkt für einen umfassenderen Angriff werden können. Man selbst (oder das eigene Unternehmen) ist dann nicht das eigentliche Angriffsziel, aber eben das schwächste Glied in einer lang angelegten Kette.
Fatal ist es beispielsweise, wenn der eigene E-Mail-Account in falsche Hände gerät. Denn damit lassen sich nicht nur beliebige Personen anschreiben, sondern auch alle damit verknüpften Logins zurücksetzen.
Wer viel über sich preisgibt, macht sich zugleich anfälliger für «Social Engineering». Dazu gleich noch mehr.

Das Prinzip der Datensparsamkeit

Inzwischen hat die Datenschutz-Grundverordnung (DSGVO) auf europäischer Ebene neue Regeln und Vorschriften geschaffen, die auf wichtige Grundsätze zurückgehen. Dazu gehört das Gebot der «Datensparsamkeit». Der Gedanke dahinter: Daten, die gar nicht erst gespeichert werden, können auch nicht in einem Hackerangriff offengelegt werden.
Deshalb gilt für Unternehmen, dass sie nur diejenigen Daten abfragen, speichern und verarbeiten, die sie tatsächlich benötigen. Und für Endanwender gilt, dass sie im Zweifel selbst entscheiden, was sie über sich preisgeben. Das bedeutet bspw., nur zwingend notwendige Felder eines Anmeldeformulars auszufüllen, eventuell ganz auf eine Anmeldung zu verzichten oder Phantasie-Angaben zu machen, sofern das in dem Fall möglich ist.

Daten richtig schützen

Zu den weiteren Grundlagen des Datenschutzes gehören sichere Passwörter – je länger, desto besser. Idealerweise kommt hier ein Passwortmanager zum Einsatz: Eine solche Software macht nicht nur automatisch generierte, sichere Vorschläge, sondern speichert sie zugleich ab. Auf diese Weise kommt man nicht in Versuchung, dasselbe Passwort mehrmals zu verwenden.
Weiter erhöhen lässt sich die Sicherheit der eigenen Accounts durch Zwei-Faktor-Authentifizierung. Beim Anmelden geben Sie hier nicht nur Ihr Passwort ein, sondern auch einen zufällig generierten Code, den Sie beispielsweise via SMS erhalten.
Ausserdem sollte es heute normal sein, Informationen und ihre Übertragung zu verschlüsseln. Was einst für die Spionage-Abwehr gedacht war, gehört inzwischen zum Alltag. Die Verbindung zu den meisten Websites ist deshalb standardmässig verschlüsselt.
Dabei gilt zugleich, dass Verschlüsselungsmethoden unterschiedlich sicher sind. Das ist im Prinzip so ähnlich wie mit Türschlössern: Vom Vorhängeschloss am Gartentor bis zur schweren Safetür gibt es dort ebenfalls je nach Anwendung die unterschiedlichsten Optionen. Mehr zu unterschiedlichen Verschlüsselungsmethoden haben wir hier beschrieben.

Angriffe durch die Hintertür

Die sicherste Tür nützt allerdings nichts, wenn sie versehentlich offen stehen bleibt oder wenn jemand dazu gebracht wird, einen Angreifer hereinzulassen. E-Mails gehören hier weiterhin zu den typischen Einfallstoren.
«Phishing» wird es beispielsweise genannt, wenn eine Nachricht vortäuscht, von einem bekannten Absender zu kommen. Das kann eine Person aus den eigenen Kontakten sein, sehr häufig aber ein Unternehmen. In einer solchen E-Mail wird beispielsweise erklärt, man müsse seinen Account absichern oder eine andere, sehr dringende Handlung vornehmen. Klickt man auf den Link zur Anmeldung, landet man auf einer täuschend echten Fake-Seite. Alle Eingaben dort landen bei den Hackern.
«Social Engineering» wird es wiederum genannt, wenn die Angreifer unsere Hilfsbereitschaft ausnutzen und sich als Kollege oder Kunde in Not ausgeben.
Inzwischen sind solche Mails und Anrufe zudem nicht mehr so einfach zu erkennen wie in früheren Jahren. Zum einen haben die Angreifer selbst dazugelernt. Zum anderen fokussieren sie sich vermehrt auf ein Unternehmen oder sogar eine einzige Person in einer Organisation. Entsprechend personalisiert können die Nachrichten sein.
Zugleich haben wir heutzutage immer mehr Daten in der nebulösen «Cloud». Wo genau sie liegen und wie exakt sie geschützt sind, wissen wir dabei nicht immer. Solche Dienste sind naturgemäss sehr interessante Angriffsziele fürs «Cloud Jacking». Hier hilft es vor allem, sehr genau hinzuschauen, wem man welche Daten anvertraut.
Und nicht zuletzt ist Ransomware ein weiter stark um sich greifendes Thema. Hier werden Informationen durch die Angreifer verschlüsselt und erst nach Zahlung eines Lösegelds wieder freigegeben. Neben generellen Schutzmassnahmen wie einem Virenscanner auf dem eigenen Rechner gehören auch Backups als Abwehr dazu – sofern die nicht auch zum Opfer der Verschlüsselung werden. Im oben bereits zitierten Bericht von Risk Based Security gehen 21 Prozent der Angriffe auf Ransomware zurück.

Schlusswort

Wie sich am Ende zeigt: Der «Datenschutztag» ist wichtiger denn je. Jedes Jahr fallen mehr Informationen an mehr Stellen an. Manche hinterlassen wir bewusst, andere entstehen unsichtbar durch unsere Nutzung von Apps und Diensten. Die Angriffe werden zugleich ausgefeilter und spezialisierter.
Datenschutz betrifft bei alldem jeden, egal wie wichtig man sich selbst und seine Informationen nimmt.