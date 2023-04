Hessen: Dienstleister im Visier der Hacker

Von: Jutta Rippegather

Angriffe auf IT-Unternehmen nehmen zu, sagt Hessen oberster Datenschützer. Sie können großen Schaden anrichten. Sorge bereitet ihm das Treiben von Facebook-Betreiber Meta.

Wenn die eigene Firma gehackt wird, sei das eine „unternehmerische Nahtoderfahrung“, sagt ein mittelständischer Betroffener. © dpa

Was aktuell die größte Gefahr für den Datenschutz ist? Konzerne wie Facebook-Anbieter Meta, die von Irland aus in Europa agieren und sich bislang einen Kehricht um die hiesigen Vorschriften kümmern, sagt Alexander Roßnagel, Hessens oberster Datenschützer. Die gleich mehrfach dagegen verstoßen, das hätten Gerichte rechtskräftig festgestellt. Und die dennoch weiter fleißig genutzt werden. Etwa von vielen Wirtschaftsunternehmen in Deutschland, die sagen, sie seien von deren Diensten abhängig. Ein dickes Brett, das es zu bohren gilt. „Es ist irrsinnig schwierig, weil diese Anbieter von anderen Voraussetzungen ausgehen“, sagt Roßnagel, der am Dienstag in Wiesbaden seinen Tätigkeitsbericht für das vorige Jahr vorgestellt hat.

Auf das Unternehmen mit europäischem Hauptsitz in Irland haben Roßnagel und sein Team zwar keinen Einfluss. Aber sie sind zuständig für hessische Nutzer:innen dieser Produkte. Denen rät der Datenschutzbeauftragte, zu Anbieter:innen zu wechseln, die datenschutzkonforme Techniksysteme anbieten. Die existieren, wie das Beispiel der öffentlichen Verwaltung zeigt. Dort gibt es große Fortschritte. Seit vorigem Jahr nutzen Schulen und Hochschulen datenschutzgerechte Videokonferenzsysteme. Die Landesverwaltung arbeitet ebenfalls mit einem sicheren Videokonferenzsystem mit „Open-Source-Standard“, von deutschen Anbietern bereitgestellt. Auch das hessische Schulportal wurde als souveräne technische Lösung etabliert. Derzeit arbeiten die Datenschützer:innen mit an mehreren großen und anspruchsvollen Digitalisierungsprojekten in der Landtagsverwaltung – etwa dem Onlinezugang zur Verwaltung oder der Registermodernisierung.

Ein weiteres Kapitel des Berichts ist der Cyberkriminalität und Angriffen auf IT-Systeme gewidmet. Die nahm im vergangenen Jahr zwar um zehn Prozent leicht ab. Doch aus den 1750 Meldungen lasse sich nicht schließen, dass sich die Lage verbessert habe. „Wir müssen davon ausgehen, dass die Gefährlichkeit steigt, weil die Dienstleister jetzt in den Fokus geraten.“

Ein gehackter Dienstleister eines Energieunternehmens beispielsweise könnte gravierende Folgen für die Bevölkerung haben, wenn etwa tagelang die Wasserversorgung ausfällt. „Es geht nicht nur um Kundendateien“, betont Roßnagel. Im zurückliegenden Jahr gab es viele Angriffe auf IT-Dienstleister, die für Hunderte Unternehmen und Behörden die Datenverarbeitung übernehmen, sagt Roßnagel. „Damit wird der Schaden vielfach multipliziert.“ Um Unternehmen und Behörden zu erpressen, verschlüsseln die Angreifer deren Daten und bieten die Entschlüsselung gegen hohe Geldsummen an. Alternativ veröffentlichen sie einen Teil der Daten im Darknet oder drohen damit.

Mit der zunehmenden Digitalisierung der Arbeitswelt sind neue Aufgabestellungen für die Datenschützer:innen entstanden, wie die Frage, wie intensiv Personal überwacht werden darf. Roßnagel benennt die Grenzen: „Es ist keinesfalls zulässig, alle Beschäftigten unter Generalverdacht zu stellen und von vornherein präventiv zu überwachen.“ So sei es nicht gestattet, die Fahrer und Fahrerinnen einer Spedition mit Außenkameras und Kameras in der Kabine lückenlos zu überwachen. Ein Beispiel, das im Tätigkeitsbericht ausgeführt ist.

Kritisch würdigt der Datenschutzbeauftragte die schleppende Umsetzung der Informationsfreiheit. Anders als in anderen Bundesländern und dem Bund gilt sie in Hessen zunächst nur in der Landesverwaltung. Gemeinden und Landkreise können sie per Satzung übernehmen. In vier Großstädten ist dies erfolgt – Frankfurt, Kassel, Darmstadt und Wiesbaden. Auch einige kleinere Städte und fünf Landkreise sind dabei. „Daher gilt in Hessen die Informationsfreiheit in vielen praktisch relevanten Verwaltungsbereichen nicht“, urteilt Roßnagel.

Eines der Schwerpunktthemen dieses Jahres wird der Umgang mit ChatGPT sein, dem textbasierten Dialogsystem, das auf maschinellem Lernen beruht. Seit November ist es auf dem Markt. Die italienische Datenschutzaufsichtsbehörde hatte dem US-amerikanischen Unternehmen OpenAI zeitweise untersagt, personenbezogene Daten ihrer Bürgerinnen und Bürger im Rahmen der Anwendung zu verarbeiten. Die deutschen Kolleginnen und Kollegen gehen einen anderen Weg. Sie haben OpenAI einen umfangreichen Fragekatalog geschickt: Wie wird das Alter der Nutzer:innen festgestellt? Werden die Daten genutzt, um ein Profil zu erstellen? Um die Künstliche Intelligenz weiter zu füttern? Werden die Daten weitergegeben? All das wollen sie wissen.

Die Absicht sei nicht, sich in die Entwicklung einzumischen, betont Roßnagel. „Das ist alleine eine gesellschaftliche Frage.“ Seine Rolle sei es, die Bürgerinnen und Bürger vor möglichen Nachteilen zu bewahren. „Ein hippes ChatGPT darf nicht zu Datenschutzkulanz führen.“