Das Sammeln von Daten verändert sich in Zeiten der Digitalisierung fundamental.
Foto: Andreas Eicher

Wirtschaftskriminalität

Wirtschaftskriminalität: Daten sammeln in der Grauzone

Unternehmen machen mit Daten Geschäfte - meist nicht legal, aber geduldet. Wo bleiben die Kontrollen bei dieser Form der Wirtschaftskriminalität?

Eine Form der Wirtschaftskriminalität ist das meist illegale Sammeln von Daten, was vor Jahren noch „analog“ vonstatten ging: Unter dem Decknamen „HGWXX/7“ bespitzelt der Stasi-Hauptmann Gerd Wiesler den Theaterschriftsteller Georg Dreyman im Ost-Berlin der 1980er-Jahre. Hierzu wird die Wohnung Dreymans verwanzt, und Wiesler richtet eine Abhörstation auf dem Dachboden des Wohnhauses ein. Eine Menge analoger Aufwand an Mensch und Material, um den Schriftsteller rund um die Uhr zu überwachen sowie auszuhorchen. Diese fiktive Geschichte erzählt der Film „Das Leben der Anderen“. Und doch steckt in der Handlung viel Wahrheit zu den Methoden eines Staates, der sich auf Misstrauen, Überwachung, Diebstahl und Denunziantentum stützen konnte.

Dieses analoge Vorgehen, Menschen auszuspähen, zum Schweigen zu bringen oder sie letztendlich zu zerstören, verändert sich in Zeiten der Digitalisierung fundamental. Nicht zum Besseren für die Betroffenen und mit einem mehr als faden Beigeschmack für die handelnden Personen sowie Organisationen, die dahinter die Fäden ziehen

Mit dem Sammeln von Daten Geschäfte machen

Wer an Hacker denkt, dem fallen in aller Regel dunkle Machenschaften einzelner Täter im Darknet ein oder es kommen einem professionelle Gruppen und staatliche Stellen in den Sinn. Was alle mehr oder weniger eint, sind die Motive: Geld, Erpressung, Spionage und Sabotage. In diesem Reigen digitaler Ausspähung nehmen sich Einzeltäter, kriminelle Gruppen und staatliche Akteure nichts. Die einen tun es zu ihrem Wohl, die anderen zum vermeintlichen Wohl des Staates. Doch abseits dieser bekannten Ziele bringen sich seit Jahren Unternehmen in Stellung. Ihr Ansinnen liegt plump formuliert darin, mit Daten Geschäfte zu machen. Meist nicht legal, gefördert oder geduldet von der eigenen Organisation, bewegt sich manch Unternehmenshacker unter dem Deckmantel des „Data science hacking“. Dieses Treiben könnte unter der Überschrift „Wirtschaftskriminalität“ stehen. Willkommen in einer Ausspäh- und Überwachungsindustrie, scheinbar ohne Grenzen aufgrund fehlender Kontrollen. Eine Grauzone, wie geschaffen um Unternehmen und Privatpersonen zu durchleuchten – vom Bezahlverhalten über Lieferantenbeziehungen bis zu den beruflichen sowie privaten Wegen der Menschen und deren Kommunikation. Vor allem das Finanzdienstleistungsumfeld mit ihren Fintechs sowie Digitalkonzerne, Marketingunternehmen, Verfassungsschutzbehörden und wissenschaftliche Research-Einrichtungen (mit einer gewissen Nähe zu staatlichen Stellen) suchen nach den Spezialisten im Data-Science-Umfeld – weltweit.

Begehrt, umworben und das Vermeiden der Vokabel Hacking

Aufgrund zunehmender Datenbestände stehen die Fähigkeiten des Sammelns, Auswertens und Interpretierens digitaler Informationen aus unterschiedlichen Quellen hoch im Kurs. Dies macht Datenexperten mit Hacking-Skills begehrt, und ein Blick in die Jobportale genügt, um zu verstehen, was der Markt braucht. Der Staat, die Wissenschaft und Wirtschaft buhlen um die Könige der digitalen Informationen, den Datenexperten. In Stellenangeboten heißen diese kryptisch „Data Science Specialist“, „Data Engineer“, „Big Data Analyst“ oder „Computer Scientist“. Jüngst wurde beispielsweise eine Amazon-Stellenausschreibung „Intelligence Analyst“ bekannt, in der Amazons Global Security Operations (GSO) unverhohlen nach geeigneten Kandidaten aus dem militärischen oder geheimdienstlichen Umfeld sucht. Ziele der Analysen sollen unter anderem „Hass-Gruppen“, Gewerkschaften oder politische Akteure sein. Indes fehlt in den Jobbeschreibungen die Vokabel „Hacking“, und das aus gutem Grund. Denn das Hacken – sprich der Einbruch in Computer oder Computernetze (und darauf konzentrieren wir uns in diesem Beitrag) – steht in vielen Ländern unter Strafe.

Verstöße in Unternehmen und ethische Grundsätze

All diese wohlformulierten Gesetze und Beschlüsse sind in vielen Fällen wenig hilfreich. Denn wo kein Kläger, da kein Angeklagter. Der Staat als Regulativ kann nichts tun, hat er das Feld digitaler Entwicklungen so gut wie komplett in privatwirtschaftliche Hände gelegt. Damit fehlt es an Wissen, zugleich an Ressourcen, um Missstände zu erkennen und strafrechtlich zu verfolgen. Also vermeintlich leichtes Spiel für Unternehmen, die Daten Sammeln, Auswertungen sowie im großen Stil Handel mit den gewonnenen Informationen betreiben.

Hinzu komme nach Ansicht von Prof. Josef Scherer, Leiter des Internationalen Instituts für Governance, Management, Risk & Compliance (GMRC) der Hochschule Deggendorf, dass es bis dato keine Legal-Definition eines Gesetzgebers oder Gerichts mit Blick auf die teils nicht greifbaren Tätigkeitsbereiche beim Sammeln und Auswerten von Daten gäbe. Der fehlenden Definition zum Trotz sieht Scherer indes Verstöße, die mit dem Datenhacking einhergingen und sanktioniert werden müssten: „Einerseits können mit solchen gewollten oder geduldeten Hackingaktivitäten in Unternehmen Verstöße gegen das Grundgesetz und das Recht auf informationelle Selbstbestimmung einhergehen oder dem Treiben stehen Compliancevorschriften entgegen.“ Und der GMRC-Leiter fügt hinzu: „Selbst wenn ein solches Verhalten legal wäre, steht dem Ganzen ein möglicher Verstoß gegen Regelungen im Governanceumfeld, beim Corporate Social Responsibility oder dem Code of Ethics gegenüber.“ Gerade mit Blick auf Letzteres spricht beispielsweise der Chaos Computer Club (CCC) von ethischen Grundsätzen des Hackens und sieht die Grenzen dort erreicht, wo in den Daten anderer Leute herumgeschnüffelt wird. Für den CCC steht das Thema unter dem Motto: „Öffentliche Daten nützen, private Daten schützen.“ Doch darauf und auf die Selbstregulierung der Agierenden könne nach Scherers Worten nicht vertraut werden: „Das hat fast noch nie geklappt, wenn finanzielle Interessen im Spiel sind.“ Und damit wird das Datensammeln in der Grauzone und darüber hinaus wohl weitergehen – vorerst.

Wirtschaftskriminalität: Rechtliche Rahmenbedingungen bei Hacking

Hierzulande ist das Hacking unter anderem geregelt in den Unterpunkten zum Paragraf 202 des Briefgeheimnisses und zu finden in den Paragrafen 202a bis 202c (Hackerparagrafen) des Strafgesetzbuches (StGB). Demnach ist das Ausspähen und das Abfangen von Daten sowie das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe gestellt. In Großbritannien ist Hacking im „Computer Misuse Act 1990“ geregelt – geändert durch den „Police and Justice Act 2006“ sowie dem „Serious Crime Act 2015“. Mit dem Computer Fraud and Abuse Act (18 U.S.C. § 1030) regeln die USA den Bereich des Computer-Hacking. Und die Europäische Union (EU) hat sich mit dem Rahmenbeschluss 2005/222/JI vom Februar 2005 über Angriffe auf Informationssysteme juristisch positioniert.

Ein Hinweis in eigener Sache: Trotz diverser Anfragen im Wirtschafts- und Wissenschaftsbereich wollten sich die jeweiligen Personen nicht zum Thema äußern. Im Grunde ist keine Antwort auch eine Antwort und zeigt, dass sich die Beteiligten nicht über die Causa möglicher Datenanalysten in der Grauzone aus dem medialen Fenster lehnen wollen.

Andreas Eicher, freier Autor

Foto: Bernd Wachtmeister/Pixelio

Verschlüsselung

Ja, nein, jein

Ein Blick auf die aktuelle Diskussion zum Thema Verschlüsselung zeigt ein wirres, wenn nicht verwirrendes Bild. Die Protagonisten: das Bundesministerium des Inneren, das Bundesamt für Sicherheit in der Informationstechnik, Datenschutzbeauftragte und Geheimdienste.

Foto: Adobe Stock/Andrey Popov

Protective Intelligence

Ganzheitlicher Schutz gefährdeter Personen

Die Nachfrage zur Sicherheit von Personen im analogen und digitalen Umfeld steigt – seien es Unternehmer, Politiker oder andere Prominente, die Schutz für sich und ihre Familien suchen. Der moderne Personenschutz stützt sich dabei neben den bekannten Instrumenten auf das „Protective Intelligence“.

Foto: Ultima Ratio

Ultima Ratio

Fünf Indizien für Betriebsspionage

Mitarbeiter wechseln zur Konkurrenz, Stammkunden ziehen Aufträge zurück, Firmeninterna landen in der Öffentlichkeit – Zufall oder Datendiebstahl? Das fragen sich viele Unternehmer in diesen Fällen. Gerade mittelständische Firmen sollten genau aufpassen, ob sich nicht ein Datenleck hinter diesen Vorfällen verbirgt.

Heftarchiv

Ausgabe 11/2020

Hanwah Techwin kombiniert KI und Deep Learning mit hohen IT-Security Standards