Datendiebstahl bei Vodafone: Klau, schau, wem

Zwei Millionen Bankdaten wurden gestohlen. Vodafone Deutschland musste eingestehen, dass ein Insider im großen Maßstab Datendiebstahl begangen hat: Namen, Adressen, Geburtsdaten, Geschlecht, Bankleitzahlen und Kontonummern entwendete er von einem Firmenserver. Auch wenn tatsächlich keine Passwörter, Pin-Daten oder Kreditkarteninformationen geklaut wurden, bleibt die Gewissheit: Vor solchen Taten gibt es keinen Schutz, aber dafür viel zu tun.

Allzu lange konnte man sich als medienkompetenter Internetnutzer mit allerlei Verhaltensregeln beruhigen: Schreibe nie die eigene E-Mail-Adresse in ein Webformular und schalte immer den Tracking-Schutz im Browser ein, dann beißen sich Spam-Versender und andere neugierige Firmen die Zähne an dir aus. Besuche keine Schmuddelseiten und mache einen großen Bogen um das Dark Web mit seinen Raubkopien und gecrackten Seriennummern, dann musst du dir keine Sorgen um Hacker machen – vor allem: Finger weg von der Cloud! Gegen Viren, Würmer und Trojaner, das lernen die Kinder heute in der Schule, helfen aktuelle Virenscanner und frische Updates. Und wer auf Facebook, Google, Twitter, Microsoft, Yahoo und andere US-Firmen verzichtet, kann sich sogar einreden, vor der allmächtigen NSA geschützt zu sein. Zumindest konnte man das mit genügend starkem Willen bis zur vergangenen Woche, bevor bekannt wurde, dass der US-Geheimdienst die Internet-Verschlüsselung geknackt hat und auf jedem Smartphone nach Belieben schalten und walten kann.

Doch gegen die kriminelle Energie von Insidern, wie jetzt bei Vodafone, helfen keine Vorkehrungen. Am Ende bleibt nur die ernüchternde Erkenntnis, dass alle Daten gestohlen, abgefischt, ausspioniert oder verraten werden können. Tatsächlich kann diesem Datendiebstahl jedoch auch etwas Gutes abgewonnen werden. Für Vodafone ist das Ganze zwar ein PR-Desaster. Aber die Situation hätte sich zu einem echten GAU entwickeln können, wenn das Unternehmen den Diebstahl nicht von sich aus zugegeben hätte.

Über die Motive des diebischen Insiders ist zwar nichts bekannt, sollte es sich aber um Erpressung handeln, so ging sie diesmal daneben. Die konsequente Umsetzung einer Meldepflicht für Unternehmen bei Cyberangriffen würde aus diesem löblichen Verhalten den Normalfall machen, obwohl für den Dieb ja noch immer die Option besteht, die Daten auf dem Schwarzmarkt zu verkaufen.

Auch wenn dieser Datendiebstahl nichts mit der NSA zu tun hat, gibt es eine Tangente zu den Snowden-Enthüllungen. Die wichtigste Einsicht lautet: Speichere deine Daten nie so, dass ein einzelner Mitarbeiter den kompletten Zugriff darauf hat. Dieses Prinzip hat in vielen großen Unternehmen bereits Einzug gehalten. Aus der Kann-Empfehlung sollte – wie bei der De-Mail – eine verbindliche Regelung werden. So geschützt hätte Snowden erheblich weniger Enthüllungsmaterial abzweigen können – und Datendiebe hätten es zumindest etwas schwerer.