Branche „Wie hältst du es mit dem Datenschutz?“

Montag, 29. Februar 2016

Datenschutz und Datensicherheit sind zwei Seiten desselben Themas. Daten vor allem über Menschen sind hochsensibel und Unternehmen, die damit arbeiten, müssen gewähren, dass sie nicht in falsche Hände geraten. Sei es in welche, die die Daten unerlaubter Weise zum Verkauf oder für kriminelle Vorhaben nutzen wollen. Das Titelthema von Heft 1/2016 von planung&analyse.

Vergangenes Jahr gab es eine Datenpanne bei den Berliner Verkehrsbetrieben (BVG). In den Linienbussen waren Kontrollgeräte installiert, die nicht nur registrierten, ob jemand einen gültigen Fahrausweis hat, sondern auf die elektronischen Fahrkarten im Scheckkartenformat das Datum, die Uhrzeit und die Haltestelle, an der sie genutzt wurden, übertrugen.

Damit könnten Bewegungsprofile der Fahrgäste erzeugt werden, kritisierte der Fahrgastverband Igeb und ging an die Öffentlichkeit. Die BVG betonte, es habe keinen Datenmissbrauch mit den derzeit rund 350.000 Fahrcards gegeben, schaltete die Geräte allerdings wegen dieser „Fehlfunktion“ ab. Unklar blieb, was die Verkehrsbetriebe mit den Daten vorhatte.

Diese relativ harmlose Meldung ist nur ein Vorfall von tausenden, die im vergangenen Jahr bekannt wurden. Wesentlich gravierender und peinlicher war im Sommer der Hackerangriff auf den Bundestag. Über irgendeinen Mail-Anhang wurde das gesamte Netzwerk infiziert und für Wochen lahmgelegt.

Die Angreifer könnten sich zahlreiche Papiere beschafft haben, zu jedem Parlamentarier ein reichhaltiges Dossier erstellt und reichlich Material für Propaganda- und Rufmord-Attacken gesammelt haben, befürchtete Innenminister Thomas de Maizière. Bis heute ist trotz intensiver Nachforschungen nicht bekannt, wer was wann und vor allem warum im Bundestag getan hat.

Pikant war auch, dass der Angriff ausgerechnet zu dem Zeitpunkt lanciert wurde, als der Bundestag das IT-Sicherheitsgesetz verabschiedete. Dieses sollte eigentlich das IT-Sicherheitsniveau für Deutschland spürbar heben. Unter anderem müssen Betreiber sogenannter kritischer Infrastruktur ein Mindestniveau an IT-Sicherheit einhalten und eventuelle Sicherheitsvorfälle den Behörden melden.

Ist die Marktforschungsbranche ist schon gut aufgestellt ?>>


Marktforschungsbranche ist schon gut aufgestellt

Kritische Infrastruktur – das sind Unternehmen der Energiewirtschaft, der Telekommunikation, des Verkehrs und der Logistik, Wasserwerke, Ernährung, aber auch Finanz- und Versicherungswirtschaft. „Die Marktforschung gehört nicht dazu. Das haben wir geklärt“, versichert Erich Wiegand, Geschäftsführer des Arbeitskreises Deutsche Markt- und Sozialforscher (ADM).

Kritische Infrastrukturen haben Marktforscher nicht, aber dennoch gehören sie zu einer Branche, die mit sensiblen, personenbezogenen Daten umgeht. Gerade deshalb ist eine hohe Sensibilität für den adäquaten Umgang mit Daten vorhanden. Nach jeder Erhebung werden die Daten getrennt und die personenbezogenen Daten nach Ablauf von bestimmten Fristen vernichtet. Datenschutz-Regeln sind in den Unternehmen bekannt und externe oder interne Datenschutzbeauftragte nehmen sich des Themas an.

Aber wie kann neben dem gesetzlichen Datenschutz auch die Sicherheit der Daten vor unbefugtem Zugriff gesichert werden? Eine Arbeitsgruppe mit acht Vertretern aus den Verbänden ADM und der Deutschen Gesellschaft für Online-Forschung (DGOF) haben sich gemeinsam mit Teletrust, dem Bundesverband IT-Sicherheit, seit 2013 mit dem Thema beschäftigt.

Zwei Umfragen haben den Status Quo abgefragt. Die erste aus dem Jahr 2014 hatte ergeben: Es ist schon vieles Top, aber es gibt noch einige Baustellen in der Marktforschungs-Branche. Unternehmen haben Virenschutzprogramme und zentrale Firewalls, sie haben Backup-Strategien und spielen regelmäßige Sicherheitsupdates in ihre IT-Systeme.

Sie haben Zugriffsrechte für ihre Mitarbeiter, die beschreiben wer an welche Daten heran darf. Es haperte allerdings am Notfallmanagement, an der Klassifizierung der Daten nach verschiedenen Vertraulichkeitsstufen, an der regelmäßigen Sensibilisierung und Schulung der Mitarbeiter und an der Festlegung von Sicherheitsbeauftragten für Daten, so damals die Diagnose des Arbeitskreises. Ein Jahr später wurde die Umfrage wiederholt und es wurde deutlich, einige aber nicht alle ToDos hatten sich verbessert.

Wo es immer noch hapert, ist etwa die Einbeziehung von tragbaren Devices in das Sicherheitssystem der Unternehmen oder die Schulung von Mitarbeitern. Zwar gaben nur drei Prozent an, es gäbe gar keine Schulung, aber über die Hälfte (55 Prozent) haben keine regelmäßigen, sondern lediglich bedarfsorientierte Schulungen auf der Agenda.

Als Quintessenz aus diesen Untersuchungen haben die Verbände einen Leitfaden erarbeitet, der den Unternehmen als Guideline an die Hand gegeben wird, was zu tun ist. Alexandra Wachenfeld, Vorstandsmitglied der DGOF, ist seit drei Jahren in dem Arbeitskreis und resümiert die Arbeit. „Zwischen 2014 und 2015 haben wir an verschiedenen Stellen Verbesserungen festgestellt. Im Großen und Ganzen gibt es wenige Baustellen. Man kann sagen, die Markt- und Sozialforschung nimmt ihre Datenschutzbestimmungen sehr ernst.“ Diese Aussage gilt zumindest für Institute, die an der Umfrage teilgenommen haben.

Dr. Holger Mühlbauer, Geschäftsführer von Teletrust, erkennt ebenfalls an, dass die Branche sich Gedanken macht und das Thema aktiv angeht. Das wichtigste sei die Sensibilisierung für das Thema. So sehen das viele, die mit IT-Sicherheit zu tun haben. Ein sogenannter „Weißer Hacker“, also einer, der versucht in Systeme einzudringen, um sich hinterher zu outen und den Betreibern zu helfen sie sicherer zu machen, ist Gavin Millard. Gegenüber der Zeitschrift Security Insider sagt er: „Die Situation erinnert mich sehr an die Geschichte ‚Des Kaisers neue Kleider‘ – man denkt, gut gekleidet zu sein. Dabei ist man nackt, es sagt einem nur keiner.“

>> Woran hapert es? Das Bewusstsein für das Risiko fehlt.

Das Bewusstsein für das Risiko fehlt

Es gäbe zahleiche Schutztechnologien, aber gerade viele Unternehmen aus dem Mittelstand – egal aus welcher Branche – hätten oft kein ausreichendes Bewusstsein für das Risiko, weiß Christian Schaaf, Geschäftsführer von Corporate Trust, der Unternehmen in Sachen IT-Sicherheit berät. Wenn das Kind erst einmal in den Brunnen gefallen ist, kann der Schaden groß sein. In einer Studie hat Corporate Trust im Jahr 2014 Unternehmen aller Branchen in Deutschland und Österreich befragt. Jedes zweite hatte in den beiden vorherigen Jahren einen Spionageangriff oder -versuch zu beklagen.

Über 40 Prozent der deutschen Unternehmen war – laut der Befragung – ein finanzieller Schaden entstanden und zwar zwischen 10.000 und 100.000 Euro. Der jährliche finanzielle Schaden in Deutschland betrage 11,8 Milliarden Euro, so die Untersuchung.

Der Mittelstand stehe stark im Fokus der Angreifer und die Branchen Automobil, Luftfahrt und Maschinenbau seien besonders betroffen. Die Angreifer sitzen gerne in Osteuropa oder Asien. Die „Geschäftsmodelle“ von Hackern sind vielfältig. Manche Nerds mögen einfach nur den Ehrgeiz haben, irgendwo „rein“ zu kommen. Die suchen sich populäre, möglichst staatliche Institutionen aus und gehen dann damit an die Öffentlichkeit.

Um das Wissen der Unternehmen im Sinne von Industriespionage geht es eher selten. Häufig liegt der Zweck einer Datenabschöpfung darin, hinterher das betroffene Unternehmen zu erpressen. Oder der Hacker gibt sich als „Fake President“ aus. Im Vorfeld wird durch einen einfachen Telefonanruf herausgefunden, wie etwa der Buchhalter heißt. Dieser erhält dann vermeintlich von seinem Vorgesetzten (Fake President) eine Anweisung per Email, eine bestimmte Überweisung zu tätigen. Der größte Schaden liege allerdings in einer angeschlagenen Reputation, weiß Schaaf.

Doppelt trifft dies natürlich auf Unter nehmen zu, die Verbraucherdaten erheben und verarbeiten. Dort steht nun wieder die Marktforschung an vorderer Position. Und die Konsumenten zeigen sich bereits deutlich verunsichert. Weltweit sagen 36 Prozent sie seien sehr oder mäßig beunruhigt über die Verwendung ihrer persönlichen Daten. Dies ergab eine Umfrage des Trust & Personal Data Report vom Global Research Business Network (GRBN) . Vertrauen in Marktforschung hat weltweit nur jeder Dritte.

In Deutschland sieht die Situation etwas besser aus, aber auch hierzulande haben knapp 70 Prozent Sorge um den Schutz ihrer persönlichen Daten. Im Rahmen der Studie „Daten & Schutz 2015/2016“ befragte der GfK Verein rund 2.000 Personen in Deutschland zum Umgang mit privaten Daten.

Sie befürchten vor allem finanziellen Schaden, Identitätsdiebstahl und den unerlaubten Eingriff in die Privatsphäre. Im Vergleich zur Befragung vor zwei Jahren ist die Angst gestiegen. Das ist bedenklich, denn – das wissen Marktforscher besser als alle anderen – verunsicherte Verbraucher vermeiden unter Umständen Umfragen mit der weiteren Preisgabe von Daten.

>>90 Prozent der Unternehmen hatten einen Cyberangriff. Sind Sie dabei?

90 Prozent der Unternehmen hatten einen Cyberangriff

Dem gegenüber stehen die Verlockungen und Chancen von Big Data auf vernetzte Technologien im Internet of Things und der Industrie 4.0. Dieses Schlagwort benutzt der Cyber Security Report 2015, der vom Institut für Demoskopie Allensbach und vom Centrum für Strategie und Höhere Führung Bodman im Auftrag der Deutschen Telekom durchgeführt wurde. Die repräsentative Studie stützt sich auf 645 Telefoninterviews mit 113 Politikern sowie 532 Top-Führungskräften aus mittleren und großen Unternehmen.

Die große Mehrheit der Führungskräfte (84 Prozent) ist davon überzeugt, dass mit Industrie 4.0, also der intelligenten Vernetzung von Menschen, Maschinen und Produktionsprozessen, das Risiko von Cyber-Angriffen steigen wird. Der Studie vom November 2015 zufolge haben bereits 90 Prozent der Unternehmen einen Cyberangriff erlebt, aber nur 60 Prozent fühlen sich dagegen gewappnet.

Aber die Chancen durch die neuen Technologien sind ebenfalls enorm. Und das gilt auch für die Marktforschung. Wenn jedes Ding im Umfeld der Menschen künftig Daten sammelt, steigen die Möglichkeiten diese Daten gemeinsam mit Informationen aus Befragungen zu smarten Ergebnissen zu vereinen, ins unermessliche. „Bisher lagen die Daten in Silos“, sagt Robert Wucher, Head of Technology and Digital Clients Solutions bei GfK „aber wenn diese Daten für unsere Kunden interessant sind, dann können wir uns auch vorstellen die zusammenzuführen.“ An neuen Methoden, wie das IOT für die Marktforschung genutzt werden kann, arbeitet das GfK Data Lab.

Und Rochus Winkler, Geschäftsführer von concept m verdeutlicht: “Wenn alle Geräte funken, wird sich das Sender-Empfänger-Prinzip umkehren und man wird theoretisch in alle Lebensbereiche hineinschauen können. Die Frage wird sein, welche Daten machen für die Marktforschung wirklich Sinn.“ Die Verlockung ist groß. Aber an dieser Stelle steigen auch wieder die Gefahren. Wachenfeld vom Arbeitskreis ADM/DGOF/Teletrust: „Erst das Zusammenspiel der beiden Datenstränge aus Befragungen und aus dem Internet of Things, ermöglicht ein ganzheitliches Bild über die Verbraucher, deren Wünsche und Bedürfnisse. Da sehe ich die Zukunft für die Marktforschung.

Neue Geschäftsmodelle bedeuten aber auch wieder Herausforderungen für Datenschutz und Datensicherheit“. Gefahren zeigt ein jüngst bekannt gewordene Fall: Die Verbraucherzentrale Nordrhein-Westfalen deckte auf, dass Smart-TV-Geräte des Herstellers Samsung ungefragt Nutzerdaten an das Unternehmen weiterleiten, sobald das Gerät an das Internet angeschlossen wird.

Der sogenannte Düsseldorfer Kreis, ein Gremium der Datenschutzbeauftragten der Länder und des Bundes, beschäftigte sich mit dem Fall. Sie weisen darauf hin, dass nach den Grundsätzen der Datenvermeidung und Datensparsamkeit so wenige personenbezogene Daten wie möglich erhoben, verarbeitet und genutzt werden sollen. Und zum Zweiten müsste „ab Werk standardmäßig die datenschutzfreundlichste Voreinstellung gewählt“ werden. Privacy by Default nennen die Datenschützer diese Einstellung. Beides fehlte bei Samsung.

Für Marktforscher ist diese Forderung nichts Neues. Sie fragen bevor sie etwas erfassen, sie anonymisieren sobald die Befragung abgeschlossen ist und sie bereiten Daten so auf, dass sie den Unternehmen Aussagen ermöglichen über ihre Kunden. Problematisch wird es hingegen bei Nutzern, die glauben mit Big Data sei alles machbar. Solche „Datenpannen“ wie bei den Berliner Verkehrsbetrieben wird es häufiger geben. (hed)

Das neue Heft von planung & analyse ist erschienen. Neben dem Titel Datenschutz und Datensicherheit finden sich dort zahlreiche andere aktuelle  Themen.





Sie haben noch kein Abo, um das gesamte Heft lesen zu können?
Unser Angebot: Lesen Sie drei Hefte und zahlen nur für zwei!

stats