Zum Inhalt

Internet: mehr Sicherheit - Achtung, Datenklau!

Wie jüngste Vorfälle zeigen, können Konsumenten selbst bei großen, ­internationalen Unternehmen nicht darauf vertrauen, dass ihre Daten vor unberechtigten Zugriffen geschützt sind. Tipps für Betroffene und sinnvolle Maßnahmen zur Vorbeugung.

Meldungen über Cyberattacken und Datenklau tauchen immer öfter in den Schlagzeilen auf. Ein besonders brisanter Fall ist wohl noch in bester Erinnerung: Datendiebe haben vom 16. bis 19. April mehr als 100 Millionen Datensätze von Sony-Kunden entwendet, darunter auch jene von rund 410.000 Österreichern, die das PlayStation Network nutzen oder ­Onlinespiele von Sony Online Entertainment gespielt haben.

Mangelhafte Sicherheits­vorkehrungen ermöglichten den Zugriff auf praktisch alle Kundendaten: Name, Adresse, Geburtsdatum, E-Mail-Adresse, Benutzer­name und Passwort wurden ausgeforscht. Zum Teil betraf der Datenklau auch Bank- und Kreditkarteninformationen. Ärgerlich: Die Kunden wurden erst eine Woche nach dem Einbruch kontaktiert.

Vorfälle häufen sich

Sony ist bei Weitem nicht das einzige Unternehmen, das mit Cyberattacken zu kämpfen hat. Mitte Mai erlangten Hacker den Zugriff auf Daten von 80.000 Kunden diverser Webseiten des Spieleherausgebers SQUARE ENIX. Eine Sicherheitslücke bei Facebook-Apps (die mittlerweile geschlossen ist) hat über lange Zeit versehentlich Daten verraten, mit denen man sich Zugriff auf Facebook-Konten verschaffen konnte.

Kreditkarteninformationen verkauft

In dubiosen Internetchats bieten Cyberkriminelle ganze Datenbanken mit Tausenden gestohlenen Kreditkarteninformationen zum Kauf an. Betroffene fallen dann aus allen Wolken, wenn sie auf ihrer Abrechnung Einkäufe finden, die sie nie getätigt haben, bei Händlern, die sie gar nicht kennen. Auch für die gehackten Firmen ist der Diebstahl von Kundendaten eine sehr unangenehme Sache. Zu den Kosten für eine Schadensbegrenzung kommen Verluste während des Ausfalls der Systeme und auch der Imageverlust durch negative Schlagzeilen.


 

Theoretisch guter Schutz

Theoretisch guter Schutz

Wenn es nach dem österreichischen Datenschutzgesetz geht, so sind Ihre persönlichen Daten grundsätzlich gut geschützt. Wer Daten verarbeitet, übernimmt weitreichende Pflichten zur Wahrung der Datensicherheit. Er muss sicherstellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass sie Unbefugten nicht zugänglich sind.

Die Maßnahmen, zu denen das Datenschutzgesetz verpflichtet, reichen von der Aufgabenver­teilung über die Protokollierung bis hin zu Zutrittskontrollen. Maßstab ist der aktuelle Stand der Technik – gerade im Onlinebereich ist das enorm wichtig, da Sicherheitssysteme im Internet laufend geknackt werden.

Informationspflicht bei Datendiebstahl

Konsumenten können auf einen Datendiebstahl natürlich nur reagieren, wenn sie davon wissen. Das österreichische Datenschutz­gesetz verpflichtet den Unternehmer, seine Kunden unverzüglich in geeigneter Form (z.B. in einem Rundschreiben) zu informieren, sobald ihm bekannt wird, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Kunden ein Schaden droht.

Der Unternehmer kann sich die Information nur dann sparen, wenn seinen Kunden nur ein geringfügiger Schaden droht oder der Aufwand für die Informationserteilung unverhältnismäßig wäre. Eine Verletzung der Informationspflicht ist mit einer Verwaltungsstrafe von bis zu 10.000 Euro bedroht.

Schwierige Durchsetzung

Schwierige Durchsetzung

Wenn Ihnen durch den Datendiebstahl ein Schaden entstanden ist, wenn zum Beispiel jemand unter Verwendung dieser Daten auf Ihre Kosten Waren bestellt, können Sie vom Unternehmer Schadenersatz verlangen. Sie müssen dazu den Schaden nachweisen und darlegen, dass er aus dem Verhalten des ­Unternehmers resultiert.

Einen Schaden könnte auch jener Aufwand darstellen, den Sie für die Auseinandersetzung mit dem Kreditkartenunternehmen (wegen Rückbuchung oder Sperre der Karte) oder für die Stornierung von Geschäften haben, die jemand mit Ihren Daten abgeschlossen hat. Der Schaden muss vom Unternehmer zumindest fahrlässig verursacht sein – sei es wegen unzureichender Sicherheitsmaßnahmen (fehlende Updates, fehlende Sicherheitsprüfung), sei es wegen nicht erfolgter oder verspäteter Verständigung über den Datendiebstahl.

Schaden gerichtlich einklagen

Sie können den Schaden grundsätzlich vor österreichischen Gerichten einklagen. Prob­lematisch könnte aber sein, dass Sie das ­Urteil gegen jemanden durchsetzen müssten, der im Ausland sitzt. Die Vollstreckung von Urteilen in anderen EU-Mitgliedstaaten ist aufwendiger und dauert länger. Wenn der Unternehmer nicht einmal einen Sitz oder Vermögen im EU-Raum besitzt, ist es schwierig, wenn nicht aussichtslos, einen Schaden ersetzt zu bekommen.

Vorbeugen, so gut es geht

Vorbeugen, so gut es geht

Um einem Missbrauch vorzubeugen, sollten Sie darauf achten, welche Daten Sie bei der Registrierung bekannt geben. Bei der Nutzung eines Webshops müssen Sie zwar oft auch Ihre Bankverbindung oder die Kreditkartendaten eingeben. Aber immer dann, wenn Angaben nur freiwillig abverlangt werden, sollten Sie nicht zu viel von sich verraten. Manche ­Onlineshops funktionieren sogar ganz ohne Einrichtung eines Benutzerkontos.

Auf verschlüsselte Verbindung achten

Verwenden Sie, wann immer es geht, eine verschlüsselte Verbindung (SSL-Verschlüsselung) zu Onlineanbietern, vor allem bei der Registrierung und bei jeder Anmeldung. ­Ohne Verschlüsselung kann ein Angreifer den Datenverkehr und damit Ihre Anmeldedaten im Klartext mitlesen.

Dass eine verschlüsselte Verbindung besteht, erkennen Sie daran, dass die Adresse im Webbrowser mit "https://" beginnt. Die Browser weisen da­rauf durch ein Symbol oder einen Text hin. Lassen Sie sich bei Verdacht das Sicherheitszertifikat des Servers anzeigen und prüfen Sie, ob der Inhaber des Zertifikats mit der Website übereinstimmt.

Bevorzugen Sie Onlineshops, die eine ­Kreditkartenzahlung über Dienste wie ­"Verified by Visa" oder "MasterCard Secure Code" abwickeln. Denn in diesem Fall wird bei jeder Transaktion überprüft, ob Karteninhaber und Vertragspartner jene Teilnehmer am Zahlungsverkehr sind, als die sie sich ausgeben.

Wichtigster Tipp: Verwenden Sie für jeden ­Internetdienst ein anderes – oder zumindest ein abgewandeltes – Passwort. Denn sonst hat der Hacker mit einem Schlag z.B. nicht nur Ihr PlayStation-Passwort, sondern er kann auch gleich Ihre E-Mails lesen, mit Ihrem ­Konto im Webshop einkaufen, sich mit Ihrer Identität bei Facebook anmelden oder in Ihr Internetbanking einsteigen.

Was tun, wenn es passiert?

  • Passwort ändern: Sobald Sie Verdacht schöpfen, dass jemand Ihre Benutzerdaten kennt, sollten Sie unverzüglich Ihr Passwort ändern. In vielen Fällen sind Sie aufgrund der Nutzungsbedingungen sogar dazu verpflichtet, Ihren Verdacht an den Unternehmer zu melden. Verfolgen Sie die Medienberichte und beachten Sie die Informationen des Unternehmens.
  • Tricks erkennen: Seien Sie wachsam bei Versuchen, Ihnen weitere Daten herauszulocken. Betrüger könnten Sie kontaktieren, sich als Mitarbeiter der Bank ausgeben und versuchen, durch die ­Nennung von persönlichen Details, die aus gestohlenen Datensätzen stammen, Ihr ­Vertrauen zu gewinnen. Noch perfider: Betrüger geben sich als das bestohlene Unter­nehmen aus und leiten Sie zu einer angeblichen "Gegenmaßnahme" an, bei der Ihnen Daten herausgelockt werden.
  • Rückbuchung verlangen: Jede missbräuchliche Kreditkartenzahlung kann noch längere Zeit nach der Transaktion rückgebucht werden. Die Allgemeinen Geschäftsbedingungen der Kreditkartenunter­nehmen sehen meist vor, dass das Unternehmen den Ihrem Konto angelasteten Betrag im Fall eines Kartenmissbrauchs unverzüglich rückerstattet. Sie müssen dazu nur schlüssig darlegen, dass die jeweilige Zahlung nicht von Ihnen autorisiert war.
  • Kontrolle, Einspruchsfrist beachten: Kontrollieren Sie regelmäßig die Abrechnungen und beachten Sie die geltende Einspruchsfrist bei Ihrem Kreditkartenanbieter. Sie sollten das Kreditkartenunternehmen unverzüglich nach Feststellung der unrichtigen Abbuchung kontaktieren und die Rückbuchung verlangen. Es gilt eine gesetzliche Maximalfrist von 13 Monaten.

Buchtipp: "Ihr Recht im Internet"

Wir kaufen in Onlineshops ein, kommunizieren in sozialen Netzwerken, konsumieren Nachrichten und teilen sie. Die Nutzung von Internetdiensten wirft viele Rechtsfragen auf. Das Buch macht auch Nicht-Juristen verständlich, wo Risiken liegen und wie man sich in kritischen Fragen absichern kann.

www.konsument.at/internet-recht

Aus dem Inhalt

  • Gefahrlos im Internet einkaufen
  • Musik, Videos und Fotos nutzen
  • Internet am Arbeitsplatz
  • Spielregeln für Facebook, Twitter & Co
  • Umgang mit unerwünschter Werbung

Broschiert, 176 Seiten, € 19,90 + Versandkosten

 

 

Ihr Recht im Internet

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

This could also be of interest:

Gefördert aus Mitteln des Sozialministeriums 

Sozialministerium

Zum Seitenanfang