Datendiebstahl und Datenklau

Man spricht von Datendiebstahl oder Datenklau immer dann, wenn geschützte vertrauliche, meist sensible Daten von einer nicht befugten Person eingesehen, genutzt oder sogar gestohlen werden. Das können personenbezogene Daten wie Geschlecht, Alter etc. sein, aber auch Passwörter und andere Zugangsdaten, Zahlungsdaten oder auch vertrauliche Firmendaten.

Aus gesetzlicher Sicht ist Datendiebstahl eine Straftat (Cyberkriminalität). Das Ausspähen von Daten ist unter § 202a Strafgesetzbuch (StGB) verankert und bezieht sich auf die unberechtigte Beschaffung von magnetisch oder elektronisch gespeicherten Daten durch Ausspähen. Nicht jeder unbefugte Zugriff auf einen Rechner fällt unter diesen Paragraphen. Der Täter muss sich dafür die geschützten und für ihn nicht bestimmten Daten mutwillig beschafft haben und diese ausgespäht haben.

Physischer oder nicht physischer Datendiebstahl?

Grundsätzlich muss zwischen dem physischen und dem nicht physischen Datendiebstahl unterschieden werden. Beim physischen Datendiebstahl wird neben den eigentlichen Daten auch das Medium gestohlen, auf dem sich die Daten befinden – wie beispielsweise Festplatten, USB-Sticks, Magnetbänder, Kontoauszüge usw. Nicht physischer Datendiebstahl ist streng genommen kein Entwenden der Daten, sondern das unerlaubte Lesen und Weiterverbreiten deiner Daten.

Datendiebstahl oder Datenmissbrauch?

Unterscheiden muss man auch die Begriffe Datendiebstahl und Datenmissbrauch. Denn wer sich deine Daten illegal beschafft (Datendiebstahl), der missbraucht sie nicht automatisch. Nutzt ein Angreifer die unbefugt beschafften Daten jedoch, um sie – ohne deine Kenntnis – weiter zu verwenden, spricht man von Datenmissbrauch. Auch die Palette des Datenmissbrauchs ist lang: unbefugter Zahlungsverkehr, die Weitergabe von Kontaktdaten oder das Ausnutzen von Geschäftsgeheimnissen.

So schützt du dich vor Datendiebstahl:

Du solltest im Umgang mit sensiblen Daten den Grundsatz der Datensparsamkeit einhalten. Was nicht existiert, kann auch nicht gestohlen werden. Im beruflichen Kontext lässt sich das Ansammeln einer gewissen Datenmenge aber natürlich schlicht nicht verhindern.

Gegen physischen Datendiebstahl hilft, sein Speichermedium besonders zu sichern (Einsatz von Verschlüsselung). Wird es nicht mehr benötigt, solltest du sicherstellen, dass es gelöscht oder (im Falle von Papier) vernichtet wird.

Auch bei der Vergabe von Passwörtern muss mit besonderer Sorgfalt vorgegangen werden, denn Passwörter sind – je nach Einhaltung verschiedener Kriterien – unterschiedlich stark. Durch die Vergabe eines starken Passworts, machst du Hackern das Leben schwer.

Vor allem gilt in einem Unternehmen bei der IT-Sicherheit das Prinzip: Ihr seid nur so stark wie das schwächste Glied der Kette. Eine Sensibilisierung und Schulung aller Mitarbeiter sorgt für einen routinierten und sicheren Umgang des gesamten Teams mit der Unternehmens-IT. Zusätzlich gehörigen Antivirenprogramme und Webfilter zur notwendigen Standard-Ausrüstung.

Beim Zugriff auf IT-Systeme gilt grundsätzlich: Lasse nur das zu, was benötigt wird und für den, der es benötigt.