Neugierige Augen sind überall!

In sämtlichen Datenschutzschulungen bekommen die Teilnehmer beigebracht, vorsichtig mit den ihnen anvertrauten Daten und Informationen umzugehen. Hierzu zählen natürlich auch die E-Mails. Doch viele können Theoretisches schwer in die reale Welt umsetzen. Offenbar tiefsitzende Verhaltensmuster lassen uns so unbesorgt mit unseren Daten umgehen, dass wir selbst über unser Verhalten erstaunt wären, würden wir sie uns öfters einmal bewusst machen.

Ungesicherte WLAN-Netze

Es muss noch nicht mal das „ungesicherte WLAN-Netz“ sein, in dem man z. B.  in einem Internetcafé surft. Der Datendieb müsste hierbei zumindest über eine Schnüfflersoftware verfügen, die den Datenstrom in diesem WLAN-Netz 1:1 mitlesen würde, um an die für ihn interessante Daten zu kommen.

Nein, was ich meine, ist das laute Telefonieren oder auch das Arbeiten auf dem Laptop in der Öffentlichkeit. Der Datendieb benötigt hierfür keine Schnüfflersoftware. Das, was er für seine Tat benötigt, hat er stets bei sich: Es ist der schlichte „Schulterblick“, der zu einer äußerst unangenehmen  Angelegenheit des Betroffenen werden könnte.

Die IT-Sicherheit endet an der Schnittstelle zum Benutzer!

Zu viele vertrauen darauf, dass der verschlüsselte VPN-Kanal in das Firmennetzwerk ausreicht, um einen genügenden Datenschutz zu gewährleisten. Doch nützt die beste Verschlüsselung nichts, wenn der Benutzer jedem Einblick auf seinen Bildschirm gewährt!

Wie funktioniert der „Schulterblick“?

Zunächst sucht man sich eine Lokation aus, die für eine solche Missetat eher unverdächtig erscheint. Daher ist weniger gut: klassische Internetcafés, FastFood-Restaurants oder öffentliche Plätze.

Sehr gut geeignet sind hingegen: Hotellobbys von Business-Hotels, Deutsche Bahn Lobbys (möglichst 2. Klasse), Lufthansa-Lobbys und entsprechend die Businesclass bei Fliegern oder 1. Klasse bei der Bahn. Überall dort, trifft man auf diejenigen, die richtig arbeiten (müssen).

Vor wenigen Tagen saß ich als Zuhörer in einem Vortrag über Immobilienfinanzierungen. Wie üblich ist der Raum äußerst eng bestuhlt. Das Umfeld ist im Übrigen für den potentiellen Datendieb ideal: Viele potentielle Kapitalanleger in einer ihnen „Sicherheit“ versprechenden Umgebung eines gehobenen Hotels.

Ich setzte mich neben einem sehr seriös gekleideten Herren mittleren Alters und lauschte den Vortrag. Wir sprachen kein Wort miteinander. Und doch wusste ich am Ende des Vortrags seinen Vor- und Nachnamen, seinen akademischen Grad, seine Position, sein Unternehmen, seine E-Mail-Adresse, seine sozialen Netzwerke (Xing, LinkedIn etc.), sein Projekt, an dem er gerade tätig ist, Bekannte, Familienangehörige (Namen, wie Kosenamen), Geschäftspartner, Vorlieben, Termine, Urlaubspläne und so weiter.

Nein, ich hatte kein „Google-Glas“ oder dergleichen. Er studierte während des Vortrags lediglich seine E-Mails auf seinem Tablet-PC und ich schaute ihm nur über die Schulter. Beinahe überflüssig zu erwähnen, dass ich damit auch seinen Sperrcode für seinen Tablet-PC hatte.

Dem Opfer kann nun ganz leicht seine Identität genommen werden

Wie leicht es nun ist, mich seiner Identität anzunehmen und zu seinen Lasten mir Waren aus den Internet zu bestellen, Kreditkartenanträge zu stellen oder sonstige Vorteile mir zu beschaffen, kann sich jeder vorstellen. Daneben habe ich hervorragendes Informationsmaterial für einen erfolgreichen Hackerangriff auf sein E-Mail-Account, insb. dann, wenn seine Passwörter aus Kosenamen bestehen. Ich könnte mir sogar auch vorstellen, dass der Sperrcode für sein Tablet auch der gleiche Code ist, mit dem er seine Simkarte auf seinem Blackberry entsperrt (wer fühlt sich ertappt?). Wem hier noch ein wenig Fantasie fehlt, dem empfehle ich „Voll abgezockt“, ein Kinofilm, der im vergangenen Jahr in deutschen Kinos lief.

Nachdem der Vortrag zu Ende war und man sich zu einem kleinen Buffet traf, begrüßte ich ihn mit seinem vollen Namen. Seine Frage, ob wir uns kennen, war zu erwarten. Und ja: Ich kannte ihn sehr gut – nur er kannte mich überhaupt nicht. Ein krasses Missverhältnis, welches sofort ein enormes Unbehagen bei meinem Gegenüber auslöste.

Als ich ihn über die Situation aufklärte und ihm mitteilte, dass ich all seine E-Mails mitlas, die er während des Vortrags öffnete, teilte er mir mit, dass er sogar gespürt hat, dass ich die gesamte Zeit mitlas.

„Ich habe nichst zu verbergen“ – lasse ich deshalb meine E-Mails durch fremde Menschen mitlesen?

Das erstaunliche ist nun: Die Person bekam es also durchaus mit und traf dennoch keine Vorkehrungen, dass das Mitlesen seiner E-Mails unterbunden hätte. Er hätte sich ja auf einen anderen Platz setzen können (vielleicht in der letzten Reihe), er hätte auch eine Sichtschutzfolie anbringen können oder einfach das Lesen seiner Mails auf einen späteren Zeitpunkt verschieben können. Doch er studierte seine E-Mails dennoch weiter, obwohl er (bewusst oder unbewusst) mitbekam, dass wildfremde Menschen seine E-Mails alles mitlesen, weil … ja, weil … – mir fällt absolut nichts ein.

Ich will damit keinen Eindruch erwecken, man könne sich völlig anonym im Netz bewegen und einen völlig sicheren E-Mail-Verkehr pflegen. Doch da, wo man etwas für den Schutz der eigenen Persönlichkeit tun kann, sollte man auch aktiv werden – jeder im Rahmen seiner Möglichkeiten. Der Weg ist das Ziel.