Hintergrund
Datenschutzprobleme im Internet
Die Offenlegung persönlicher Informationen im Internet hat mit der Verbreitung von Sozialnetzwerken eine neue Dimension erreicht. Da Netzwerkprofile zunehmend für Bewerbungsaktivitäten genutzt werden, rückt das Thema Datenschutz auch für Bewerber in den Fokus – umso mehr, da die klassische Bewerbung sehr sensible personenbezogene Daten enthält: Kontaktdaten, Lichtbilder, Unterschriften und etliches mehr.
Mit Plattformen wie Facebook und Youtube scheint es heute ganz selbstverständlich, das Interesse an der Selbstdarstellung über den Schutz der eigenen Identität zu stellen. Da liegt es nahe, sich als Bewerber mit ähnlicher Freizügigkeit im Netz zu präsentieren. Die Vorstellung, dass maximaler Erfolg nur mit maximaler Transparenz möglich sei, mag ihr Übriges dazutun.
Dass der freizügige Umgang mit persönlichen Daten sehr unangenehme Konsequenzen haben kann, ist vielen Anwendern nicht bewusst. Grund genug, sich vor Augen zu halten, warum der Datenschutz im Internet ernst genommen werden sollte.
Datenmissbrauch durch Dritte
Den meisten Nutzern ist nicht klar, dass Ihre Daten zu Zwecken verwendet werden, die über den persönlichen Nutzungszweck hinaus gehen. Das geschieht zum einen ganz legal mit Ihrem Einverständnis und ist in den Datenschutzbestimmungen des Diensteanbieters geregelt. Dazu gehört zum Beispiel die Erstellung eines Nutzerprofils, anhand dessen Ihnen personalisierte Werbung angezeigt wird.
Andererseits besteht immer die Gefahr, dass personenbezogene Daten von unbekannten Dritten zu Zwecken verwendet werden, die nicht in Ihrem Interesse liegen oder Ihnen möglicherweise sogar Schaden zufügen. Wenn Sie Ihre Daten ohne Zugriffsschutz der Öffentlichkeit preisgeben, setzen Sie sich immer einem potenziellen Risiko aus. Zum Beispiel könnte das passieren:
- Ihre Email-Adresse wird von Suchprogrammen gescannt und in einen Datenbestand für Spam-, Scam- oder Phishing-Mails überführt
- Sie erhalten betrügerische (Job-)Angebote, die zur weiteren Kontaktanbahnung sensible Informationen anfordern (Sozialversicherungsnummer, Kontodaten…) oder dazu aufrufen, bestimmte Produkte zu kaufen
- mit Ihren gesammelten Profildaten wird Adresshandel betrieben
- Fotos/ Dokumente werden ohne Ihr Einverständnis und womöglich unter anderem Namen veröffentlicht
- Worst-Case: es kommt zum Identitätsdiebstahl, d. h. in Ihrem Namen werden Geschäfte getätigt, für die Sie zur Verantwortung gezogen werden
Ein Beispiel aus dem echten Leben: Ich nutze den Service, meine Emails per Smartphone von meinem Webmailer abzurufen und erhalte für gewöhnlich jeden Tag Nachrichten. Nach einigen Tagen ohne Emails wurde ich skeptisch und begann Test-Emails von einem anderen Email-Account an mich zu senden – ohne Erfolg. Der Login beim Webmailer schlug fehl, obwohl ich sicher war, das Passwort richtig eingegeben zu haben. Ein Passwort-Reset ließ sich zunächst nicht durchführen, da ich es versäumt hatte eine zweite Email-Adresse beim Webmailer zu hinterlegen. Also: Passwort-Erneuerung auf schriftlichem Weg per Fax und Unterschrift.
Mir fiel ein, dass ich die gleiche Email-Passwort-Kombination schon bei anderen Diensten verwendet hatte, wo es zu Ungereimtheiten gekommen war (gescheiterte Logins, Hinweise auf Loginaktivitäten aus Taiwan u. ä.) – zugegeben, ziemlich fahrlässig, wenn man es im Nachhinein betrachtet – ein Missbrauch war also wahrscheinlich.
Über den Identity Leak Checker vom Hasso Plattner Institut recherchierte ich, ob meine E-Mail-Adresse in Leaklisten auftauchte – tatsächlich wurde mir bestätigt, dass es bei mehreren Diensten, die ich in Anspruch genommen hatte, schon vor Jahren zu Datenlecks gekommen und meine Email-Passwort-Kombination sehr wahrscheinlich in dritte Hände gelangt war.
Nach einigen Tagen erlangte ich endlich wieder Zugang zum Webmailer. Der Verdacht eines Missbrauchs bestätigte sich, nachdem in den Weiterleitungsoptionen eine mir fremde E-Mail-Adresse hinterlegt war. Das Unheimliche: durch die abonnierten Newsletter erfuhr der Hacker “frei Haus”, welche Dienste ich noch nutzte (u. U. mit den gleichen Login-Daten). Also: zack zack am besten alle Passwörter erneuern, bevor weiterer Schaden entsteht.
Beim Einloggen in meinen Ebay-Account erhielt ich dann die Nachricht, dass mein Account gesperrt worden sei – was mich wunderte, da ich für sensible Konten separate Passwörter reserviert hatte. Aus dem Nachrichtenverlauf im Ebay-Postfach konnte ich rekonstruieren, dass der Angreifer einen Passwortreset per Email (“Passwort vergessen”) durchgeführt hatte. In Ermangelung einer Zwei-Wege-Verifizierung (z. B. TAN per SMS) war dies leicht möglich gewesen.
Mein Ebay-Account wurde in der Folge dazu benutzt, seltene chinesische Münzen (wahrscheinlich Hehlerware) für mehrere tausend Euro zur Versteigerung anzubieten. Glücklicherweise verfügte Ebay über Sicherheitsmechanismen, die zur automatischen Sperrung des Accounts führten, sodass eine Transaktion unterbunden wurde und die Angelegenheit am Ende für mich glimpflich ausging.
Das Netz vergisst nichts
Wer Daten im Netz öffentlich freigibt, muss sich darüber im Klaren sein, dass diese weltweit abgerufen und reproduziert werden können. Anders als man es vom lokalen Rechner gewohnt ist, werden Daten nicht zwangsläufig aus dem Netz gelöscht, wenn man sie wieder offline nimmt. Möglicherweise werden Ihre Daten vom Diensteanbieter archiviert (die Datenschutzerklärung gibt darüber Auskunft), möglicherweise werden Ihre Daten von Dritten kopiert und illegal weiterverbreitet. Einmal freigegebene Daten entziehen sich praktisch jeder Kontrolle, auch wenn “Reputationsrettungsdienste” gerne behaupten, Ihre digitalen Fußspuren beseitigen zu können.
Datenlecks und Passwortdiebstahl
In der Vergangenheit hat sich wiederholt gezeigt, das auch für vorgeblich geschützte Bereiche im Internet keine Sicherheitsgarantie besteht. Oft geht es darum, dass die Datenbanken der Diensteanbieter von sog. “Hackern” angezapft werden, um Passwörter/ Kreditkarteninformationen etc. zu stehlen. Solche Lecks können zum Beispiel durch fehlerhaft programmierte Sichheitszertifikate entstehen (“https-Verbindungen”). Am heimischen Computer können sich Sicherheitslücken durch versehentlich installierte Spähprogramme oder veraltete Betriebssysteme/ Browser auftun.
Dass Sie von einem Passwortleak betroffen sind merken Sie z. B. daran, dass
- Sie von einem Diensteanbieter Warnungen über Login-Vorgänge aus anderen geografischen Regionen oder mit anderen Computer-Systemen erhalten (z. B. bieten Google, Microsoft und Facebook eine solche Warnfunktion)
- Sie sich mit Ihrem gewohnten Passwort nicht mehr einloggen können
- dass Ihre Email/Passwort-Kombination auf Leaklisten auftauchen (Kontroll-Ressource: Identity Leak Checker vom Hasso Plattner Institut)
Passwörter, die einmal in fremde Hände geraten, sind sofort aus dem Verkehr ziehen und durch ein neues Passwort ersetzen. Ein besonderes Risiko besteht insbesondere dann, wenn dieselbe Email/Passwort-Kombination bei unterschiedlichen Diensten genutzt wird.
Unverschlüsselte Emails sind einsehbar
Obwohl man meinen könnte, dass eine elektronische Nachricht diskret von einem Rechner zum anderen übertragen wird, sind Emails hinsichtlich ihres Datenschutzlevels mit einer Postkarte vergleichbar. Unverschlüsselt versendete Emails sind “quelltextoffen”, das heißt jeder, der den Datenstrom “anzapft”, könnte die Nachrichten tatsächlich sofort mitlesen. Die Kampagne “Email made in Germany” setzt an dieser Sicherheitsproblematik an, indem Emails automatisch verschlüsselt, also nicht quelltextoffen, versendet werden. Der Haken dabei: Die Verschlüsselung muss auch vom Email-Anbieter des Empfängers unterstützt werden, sonst erfolgt der Versand nach wie vor unverschlüsselt.
Sichtbarkeit von Formulardaten/Passwörtern mit HTTP-Verbindungen
Verbindungen zu Webseiten ohne SSL / HTTPS (“grünes Schloss” im Browser) sind ein potenzielles Sicherheitsrisiko, da Formulardaten und Passwörter womöglich unverschlüsselt (im sog. Klartext) übertragen werden. Die Anzeige von Passwörtern per Platzhalterzeichen (Sternchen o. ä.) in Eingabefeldern ist keine Verschlüsselungstechnik, sondern nur eine Unkenntlichmachung auf visueller Ebene! Webseiten, die ohne HTTPS-Verbindung zur Eingabe sensibler Daten auffordern, sollten daher generell gemieden werden.
Internationale Unterschiede beim Datenschutz
Das deutsche bzw. europäische Datenschutzrecht ist vergleichsweise streng geregelt. Viele Nutzer vergessen aber, dass Diensteanbieter mit einer deutschsprachigen Webseite keineswegs automatisch dem europäischen Datenschutzrecht unterliegen. Werden die Daten an Server ins außereuropäische Ausland übertragen, findet möglicherweise das Recht des jeweiligen Landes Anwendung. Das bedeutet, dass z. B. Grundsätze wie Datenvermeidung, Anonymisierung oder Einhaltung des Datengeheimnisses dort u. U. nur bedingte oder gar keine Gültigkeit haben.
Vor diesem Hintergrund sollten Bewerber peinlich genau darauf achten, welche Daten wo angegeben und inwieweit diese öffentlich einsehbar gemacht werden. Schutzwürdig sind aber nicht nur die eigenen Daten, sondern auch die von Dritten!
Schutzrechte Dritter bei der Bewerbung beachten
