Risiken einer multidimensionalen digitalen Welt

Data science hacking und das Leben der anderen


Andreas Eicher [Redaktion RiskNET]
Risiken einer multidimensionalen digitalen Welt: Data science hacking und das Leben der anderenKolumne

Unter dem Decknamen "HGWXX/7" bespitzelt der Stasi-Hauptmann Gerd Wiesler den Theaterschriftsteller Georg Dreyman im Ost-Berlin der 1980er-Jahre. Hierzu wird die Wohnung Dreymans verwanzt und Wiesler richtet eine Abhörstation auf dem Dachboden des Wohnhauses ein. Eine Menge analoger Aufwand an Mensch und Material, um den Schriftsteller rund um die Uhr zu überwachen sowie auszuhorchen. Diese fiktive Geschichte erzählt der Film "Das Leben der Anderen". Und doch steckt in der Handlung viel Wahrheit zu den Methoden eines Staates, der sich auch auf Misstrauen, Überwachung, Diebstahl und Denunziantentum stützte.

Dieses analoge Vorgehen, um Menschen auszuspähen, zum Schweigen zu bringen oder sie letztendlich zu zerstören, verändert sich indes in Zeiten der Digitalisierung fundamental. Nicht zum Besseren für die Betroffenen und mit einem mehr als faden Beigeschmack für die handelnden Personen als auch Organisationen, die dahinter die Fäden ziehen.

Vom scheinbaren Wohl und der plumpen Geschäftemacherei

Wer an Hacker denkt, dem fallen in aller Regel dunkle Machenschaften einzelner Täter im Darknet ein oder es kommen einem professionelle Gruppen und staatliche Stellen in den Sinn. Was alle mehr oder weniger eint sind die Motive: Geld, Erpressung, Spionage und Sabotage. In diesem Reigen digitaler Ausspähung nehmen sich Einzeltäter, kriminelle Gruppen und staatliche Akteure nichts. Die einen tun es zu ihrem eigenen Wohl, die anderen zum vermeintlichen Wohl des Staates. Doch abseits dieser bekannten Ziele bringen sich seit Jahren Unternehmen in Stellung. Ihr Ansinnen liegt plump formuliert darin, mit Daten Geschäfte zu machen. Nicht immer legal, gefördert oder geduldet von der eigenen Organisation, bewegt sich manch Unternehmenshacker in einer juristischen Grauzone unter dem Deckmantel des "Data science hacking". Dieses Treiben könnte auch unter der Überschrift "Wirtschaftskriminalität" stehen. Willkommen in einer Ausspäh- und Überwachungsindustrie, scheinbar ohne Grenzen aufgrund fehlender Kontrollen. Ein zweifelhafter Marktplatz wie geschaffen, um Unternehmen und Privatpersonen zu durchleuchten – vom Bezahlverhalten über Lieferantenbeziehungen bis zu den beruflichen sowie privaten Wegen der Menschen und deren Kommunikation. Vor allem das Finanzdienstleistungsumfeld mit ihren Fintechs, aber auch Digitalkonzerne, Marketingunternehmen, Verfassungsschutzbehörden und wissenschaftliche Research-Einrichtungen (mit einer gewissen Nähe zu staatlichen Stellen) suchen nach den Spezialisten im Data-Science-Umfeld – weltweit.

Begehrt, umworben und das Vermeiden der Vokabel "Hacking"

Aufgrund exorbitant steigender Datenbestände stehen die Fähigkeiten des Sammelns, Auswertens und Interpretierens digitaler Informationen aus unterschiedlichen Quellen hoch im Kurs. Dies macht Datenexperten mit Hacking-Skills begehrt und ein Blick in die Jobportale genügt, um zu verstehen was der Markt braucht. Der Staat, die Wissenschaft und Wirtschaft buhlen um die Könige der digitalen Informationen, den Datenexperten. In Stellenangeboten heißen diese kryptisch "Data Science Specialist", "Data Engineer", "Big Data Analyst" oder "Computer Scientist". Indes fehlt in den Jobbeschreibungen die Vokabel "Hacking" und das aus gutem Grund. Denn das Hacken – also der Einbruch in Computer oder Computernetze (und darauf konzentrieren wir uns in diesem Beitrag) – steht in vielen Ländern unter Strafe. Demnach dürfte der Begriff des Hacking für die überwiegende Mehrheit der Unternehmen tabu sein. So wird das Hacking umschrieben und dank des Erfindungsreichtums der digitalen Branche dezent in neue Wörter verpackt, auch wenn damit genau das gemeint ist.

Fehlendes Wissen und Verstöße in Unternehmen

Strafkataloge, inklusive Compliance- und Governancevorschriften sowie die viel beschworenen "Code of Ethics" in Unternehmen, greifen in vielen Fällen zu kurz. Denn, wo kein Kläger, da kein Angeklagter. Dabei gibt es sowohl hierzulande als auch beispielsweise in Großbritannien oder den USA bereits dementsprechende gesetzliche Grundlagen, das Hacking zu sanktionieren.

Allein der Staat als Regulativ kann kaum etwas tun, denn er hat das Feld digitaler Entwicklungen fast komplett in privatwirtschaftliche Hände und deren Lobbyvertreter gelegt. Damit fehlt es an Wissen, aber auch an Ressourcen, um Missstände zu erkennen und strafrechtlich zu verfolgen. Also ein vermeintlich leichtes Spiel für Unternehmen, die Daten sammeln, auswerten und für ihre Zwecke nutzen oder externe Hacking-Firmen für sich arbeiten lassen.

Das Ganze heißt dann beispielsweise "Konkurrenzspionage" oder "Consumertracking". Deshalb sind "neutrale" Instanzen wichtig, wie Wikileaks, Distributed Denial of Secrets (DDoS) oder Digitalcourage, die Missstände im Umgang mit digitalen Daten aufdecken und vor den Gefahren sensibilisieren helfen. Diese Ankerpunkte scheinen umso wichtiger in Zeiten einer eindimensionalen Sicht und Handlungsweise vieler Staaten im Umgang mit den Risiken einer multidimensionalen digitalen Welt. So konzentriert sich staatliches Sicherheitsengagement auf Unternehmen, also die Wirtschaft, wenn diese von Außen durch international operierende Hackergruppen oder durch staatliche Organisationen bedroht werden.

Das illegale Handeln mancher Unternehmen gegen die Konkurrenz oder Privatpersonen wird indes meist nicht verfolgt – auch weil viele Betroffene es nicht bemerken. So schreibt die Max-Planck-Gesellschaft in einem Beitrag zu "Die Konkurrenz schläft nicht, sie spioniert" vom Dezember 2018: "20 Prozent der Unternehmen haben keine Strategie zur Entdeckung oder Abwehr von Angriffen auf ihr Know-how." Und weiter heißt es: "Jedes fünfte Unternehmen mit weniger als 50 Beschäftigten gab an, keine Strategie gegen physische Spionage zu haben, und auch nur wenige mehr verfügen über ein Präventionskonzept gegen Cyberspionage."

Auf die ethischen und moralischen Verwerfungen eines solchen Handelns wollen wir an dieser Stelle nicht tiefer eingehen. Nur so viel: Der Chaos Computer Club (CCC) spricht von ethischen Grundsätzen des Hackens und sieht die Grenzen dort erreicht, wo in den Daten anderer Leute herumgeschnüffelt wird. Für den CCC steht das Thema unter dem Motto: "Öffentliche Daten nützen, private Daten schützen." Löbliche Worte, bei denen es wohl aktuell bleibt. Oder wie es bereits Johann Wolfgang von Goethe formulierte: "Die Botschaft hör ich wohl, allein mir fehlt der Glaube." Noch, denn auch der eingangs beschriebene Stasi-Hauptmann Gerd Wiesler kam ins Grübeln.

[ Bildquelle: Adobe Stock / artinspiring ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden