Boris Johnson war bester Laune. »Heute Morgen habe ich das erste digitale Kabinett überhaupt geleitet«, verkündete er Ende März stolz auf Twitter. Um seinen Worten Nachdruck zu verleihen, veröffentlichte der britische Premierminister dazu einen Screenshot. Zu sehen waren seine Ministerinnen und Minister, die sich über das Video-Tool Zoom konzentriert unterhielten. Und die Meeting-ID der Konferenz. Immerhin: Beitreten konnte nur, wer das Passwort besaß. Doch souveräner Datenschutz sieht anders aus.

Während der Coronavirus-Pandemie zeigen sich klar die Vorteile der Digitalisierung: Trotz strenger Maßnahmen können manche Beschäftigte im Homeoffice arbeiten, einige Schülerinnen und Schüler lernen online, und mancherorts erfolgt selbst der Gang zum Bürgeramt oder zur Bibliothek digital. Möglich machen es Programme wie Zoom oder Skype zur Kommunikation, Dropbox, um Dateien zu teilen, oder eben die guten alten Mails. Der Nachteil: Die Daten der Nutzerinnen und Nutzer sind häufig nur unzureichend geschützt.

Gewissermaßen findet derzeit ein riskantes Experiment statt, bei dem sich eine Frage besonders aufdrängt: Sind Daten auch in Coronavirus-Zeiten ausreichend geschützt?

Kostenfreie Tools sind bequem, aber unsicher

Beispiel Zoom: Das Video-Tool steht schon länger in der Kritik, unter anderem wegen diverser Sicherheitslücken und dubioser Datenschutz-Praktiken. Die deutsche Datenschutzerklärung wies bis vor Kurzem noch folgende Passage auf: »Verkauft Zoom personenbezogene Daten? Das hängt von Ihrer Definition von ›verkaufen‹ ab.« Als Reaktion auf die Kritik hat das Unternehmen die Datenschutzerklärung inzwischen überarbeitet.

Während Nutzerinnen und Nutzer in der Freizeit selbst entscheiden können, ob sie solche Tools nutzen, haben sie im Berufsleben oft keine Wahl. Schließlich gibt oft die Firma vor, welche Programme zu verwenden sind.

»Am Anfang der Pandemie musste alles sehr schnell gehen«, sagt Kai-Uwe Loser, Vorstandsmitglied beim Berufsverband der Datenschutzbeauftragten Deutschlands. »Gerade in dieser ersten Phase ist einiges schiefgegangen.« Um Mitarbeitende schnell zu vernetzen, hätten viele Unternehmen auf die bequemsten verfügbaren Lösungen zurückgegriffen. Datenschutzfragen seien dabei oft in den Hintergrund gerückt.

Loser, der für den Datenschutz an drei Universitäten im Ruhrgebiet zuständig ist, kennt das Dilemma aus eigener Erfahrung: Zwar stünden den meisten Hochschulen durchaus eigene E-Learning-Plattformen zur Verfügung. Die aber würden es nicht aushalten, wenn alle gleichzeitig die Dienste nutzen. Die Alternative? Ein kostenfreies Tool. »Ja, Zoom beispielsweise ist nicht sicher«, räumt Loser ein. »Aber für bestimmte Zwecke wie Online-Vorlesungen kann der Einsatz verhältnismäßig sein.« Ihm selbst sind zahlreiche Universitäten bekannt, die Zoom nutzen.

»Wenn es nichts kostet, zahlen Sie mit Ihren Daten«
Kai-Uwe Loser, Datenschützer

Dennoch, sagt Loser, sei es nun Zeit, in die zweite Phase einzutreten. »Jetzt kann man genau hinschauen, ob die gewählten Tools die richtigen waren«, sagt der Experte. Sein Tipp: Wenn es schon Programme wie Skype oder Zoom sein müssen, dann zumindest die kostenpflichtige Variante mit eigenen Datenschutz-Verträgen. »Wenn es nichts kostet, zahlen Sie mit Ihren Daten.«

Videokonferenz-Leitfaden für Unternehmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat derweil einen Leitfaden herausgegeben, der sich an Unternehmen richtet. Auf 173 Seiten ist im »Kompendium Videokonferenzsysteme« detailliert aufgelistet, wie sich eigene autarke Anlagen installieren lassen. Das ist, wohlgemerkt, aufwändiger, als auf den Link eines Online-Tools zu klicken. Und teurer.

Der Verein Digitalcourage bringt es auf den Punkt: »Viele entscheiden sich nun für die Tools der großen US-Datenkraken – häufig, weil sie nichts anderes kennen«, schreiben die Datenschützer auf ihrer Website. Ihr Appell: »Tun Sie das nicht! Sie legen nicht nur Ihre Inhalte und Kontakte, sondern auch Ihre Arbeitsstrukturen gegenüber Geheimdiensten und Firmenkonsortien offen.«

Welche Alternativen es gibt, hat der Verein in seinen »Technik-Tipps fürs Homeoffice« zusammengestellt. Auch wie man E-Mails verschlüsselt oder Daten sicher austauscht – besser nicht mit Dropbox –, wird dort erläutert (siehe Infobox).

Doch nicht nur der Kosten wegen wird Datenschutz mitunter laxer gehandhabt. Manchmal geht es schlicht darum, Dienstleistungen anzubieten, die wegen der Coronavirus-Maßnahmen eingeschränkt sind. Viele öffentliche Bibliotheken, die wegen der Pandemie geschlossen wurden, stellen ihre digitalen Angebote dieser Tage vereinfacht zur Verfügung.

Der Haken: Nicht immer wird dabei auch an die Sicherheit gedacht. Wer etwa in Bonn auf E-Books und Zeitschriften-Datenbanken zugreifen möchte, kann einen Mitgliedsausweis für die Bibliothek neuerdings online beantragen. Die Antragstellenden sollen dabei ihren Personalausweis einscannen und das Dokument per E-Mail verschicken – ohne jegliche Verschlüsselung.

Dabei ist die Bonner Stadtbibliothek nur ein Beispiel von vielen. In Baden-Württemberg untersuchte der Datenschutzbeauftragte im Jahr 2019, wie viele Behörden-Websites den sicheren HTTPS-Standard verwenden. Ob Kleinstadt, Arbeitsgericht oder Finanzamt: Gerade einmal 19 Prozent der untersuchten Behörden nutzten HTTPS. Schon damals warnte der Datenschutzbeauftragte, dass ungesicherte Websites leicht ausgespäht oder manipuliert werden könnten.

Phishing-Attacke beim Antrag auf Soforthilfe

Welche Folgen eine mangelnde Sensibilität für IT-Sicherheit haben kann, zeigte sich kürzlich bei einer Phishing-Attacke in Nordrhein-Westfalen. Cyberkriminelle hatten ihre Opfer auf eine gefälschte Website gelockt, auf der diese ihren Antrag auf staatliche Soforthilfe stellten. Mit den abgegriffenen Daten – Name, Adresse, Bankverbindung, Steuer-ID – stellten die Kriminellen im Anschluss selbst einen Antrag.

Anfangs gingen die Behörden von einem möglichen Millionenschaden aus, der durch den Datenklau entstanden sein könnte. Nun zeigt sich, dass die Sache wohl offenbar komplizierter ist: »Bei uns sind bislang rund 900 Strafanzeigen eingegangen«, bestätigt Christoph Hebbecker von der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC). Bisher habe man aber keinen konkreten Schaden nachweisen können.

Die These, dass es derzeit besonders häufig zu gezieltem Datenklau kommt, teilt Hebbecker indessen nicht; »Kriminelle versuchen immer Profit aus Extremsituationen zu schlagen«, sagt er. »Aber auch in normalen Zeiten haben wir gut zu tun.« Besonders beliebt in der Wirtschaftswelt sei der so genannte »CEO Fraud«. Dabei geben sich die Täter per E-Mail als Vorgesetzte aus und instruieren ihre Untergebenen, Geld aus der Firmenkasse zu überweisen.

Treffen könne es alle – vom Kleinbetrieb bis zum Großkonzern. Die Schwachstelle sei am Ende eben nicht die Technik, sondern der Faktor Mensch. »Sie können Millionen für IT-Sicherheit ausgeben«, sagt Hebbecker. »Und am Ende haben Sie doch einen Mitarbeiter, der auf ein Katzenbild klickt.«