Nicht immer nur die Amis: über 100'000 Datenschutzverletzungen in der Schweiz

Der Breach Level Index ist eine länder- und branchenübergreifende Datenbank für Datenschutzverletzungen. Mit ihr können die Auswirkungen eines Angriffs anhand verschiedener Parameter ermittelt werden: zum Beispiel die Zahl der kompromittierten Datensätze, der Datentyp, der Ursprung des Angriffs, die Verwendung der Daten und deren Verschlüsselung beziehungsweise Nichtverschlüsselung. Der Breach Level Index weist jedem Angriff einen Wert zu, der die «Schwere» des Vorfalls anzeigt. Somit bietet die Datenbank eine vergleichende Liste von Datenschutzverletzungen und ermöglicht es, kleinere Zwischenfälle von solchen mit massiven Folgen zu unterscheiden (Werte von 1 bis 10). Betrachtet man die globalen Zahlen, sollten Entscheider hellhörig werden. Denn laut Breach Level Index wurden seit 2013 mehr als 7 Milliarden Datensätze offengelegt. Dies entspricht mehr als 3 Millionen erbeuteten Datensätzen pro Tag oder rund 44 Datensätzen pro Sekunde.

Laut dem aktuellen Breach Level Index kam es in der Schweiz von 2013 bis 2016 zu insgesamt 110'257 Datenschutzverletzungen, die gemeldet wurden. Verglichen mit den grösseren europäischen Nachbarstaaten liegt die Schweiz damit eher im unteren Bereich. Demgegenüber kam es in Deutschland seit 2013 allein zu 44'886'054 gemeldeten oder veröffentlichten Datenschutzverletzungen und in Frankreich waren es sogar 100'099'535 Fälle von Datenkompromittierungen.

Nach Einführung der Datenschutz-Grundverordnung der EU (General Data Protection Regulation; GDPR) könnten sich die Statistiken aber ändern: Denn dann müssen sowohl Behörden als auch betroffene Personen benachrichtigt werden, wenn eine Datenschutzverletzung vorliegt. Alle Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste in der EU müssen dann beispielswiese die nationalen Regulierungsbehörden innerhalb von 24 Stunden nach Erkennung einer personenbezogenen Datenschutzverletzung in Kenntnis setzen. Gleichzeitig müssen Kunden darüber informiert werden, ob das Vergehen die personenbezogenen Daten oder die Privatsphäre beeinträchtigt. Derzeit gilt diese Regelung nur für Telekommunikationsanbieter und Internet Service Provider. GDPR wird diese Datenschutzbestimmung aber auf alle Organisationen ausweitern, die personenbezogene Daten verarbeiten. So werden beispielsweise auch Dienstleister wie Cloud Provider in die Verantwortung genommen.

Dennoch hat der diesjährige Breach Level Index (BLI) von Gemalto einen grösseren Angriff in der Schweiz verzeichnet und in der Kategorie «Top Breaches» erfasst. So wurde der Angriff auf die Schweizerische Volkspartei (SVP) am 19. März 2016 mit einem Score von 6,6 bewertet. Damit gehört der Angriff auf der BLI-Skala von 1 bis 10 schon zu den mittelschweren Datenschutzverletzungen. Die Zahlen sprechen dennoch für sich: Allein bei der SVP wurden 50'000 Datensätze kompromittiert. Dafür hatten sich Externe mutwillig über einen Account Zugang zu den Daten der Partei verschafft.