In der Stadt fällt das Licht aus. Steckdosen liefern keinen Strom mehr. In den Straßen bleiben die Ampeln schwarz. Die Laufbänder der Fabriken stehen still. Die Ursache: Hacker haben die städtischen Kraftwerke lahmgelegt. Dieses Szenario ist nicht nur die Vorlage des Romans „Blackout“, ein ähnlicher Fall hat sich in der Ukraine ereignet: Dort gab es im Dezember 2015 einen Stromausfall infolge eines Hackerangriffs. Der Auslöser waren gefälschte E-Mails und manipulierte Textdokumente – und ein Mitarbeiter, der sie angeklickt hatte.
„IT-Sicherheit ist nicht nur bei der kritischen Infrastruktur, sondern in allen Bereichen wichtig“, sagt Sönke Maseberg, Geschäftsführer beim Unternehmen Datenschutz Cert. Die Firma mit Sitz in der Bremer Überseestadt prüft und zertifiziert die Sicherheit von Computersystemen sowie den Datenschutz. Mit kritischer Infrastruktur meint der Diplom-Mathematiker für die Gesellschaft bedeutsame Systeme und Einrichtungen wie die Wasser- und Stromversorgung, Krankenhäuser oder Banken.
Aber auch für Unternehmen, kleine und große, sei die Sicherheit der Computersysteme wichtig, sagt Maseberg. Viele Firmen werden nahezu täglich über das Internet angegriffen. Sie sind hunderttausenden Attacken ausgesetzt: Laut Lagebericht des Bundesamtes für Sicherheit (BSI) waren 2018 mehr als 800 Millionen Schadprogramme im Umlauf, ein Drittel mehr als noch im Vorjahr.
Die Unternehmen schützen ihre Computersysteme vor Angreifern – Datenschutz Cert überprüft, ob der Schutz auch hält. Informatiker des Unternehmens testen beispielsweise, ob die Server regelmäßig Sicherheitskopien erstellen und ob diese auch fehlerfrei sind. Er schaut, welche Daten die sogenannte Firewall durchlässt, eine Schutzwand zwischen den Computern und Netzwerken. Er prüfe aber auch, ob der Pförtner keine unbefugten Personen in die Gebäude lässt, ob die Server vor Feuer geschützt und nicht für jeden zugänglich sind, sagt Maseberg. Wenn die IT-Sicherheit den Standards genügt, gibt es von Datenschutz Cert eine Zertifizierung. Dafür hat das Unternehmen die Erlaubnis, es ist bei Behörden und Stellen wie etwa dem BSI offiziell anerkannt.
Datenschutz Cert wurde 2008 in Bremerhaven gegründet und ging aus dem Unternehmen Datenschutz Nord hervor, das zu den gleichen Themen Beratungen anbietet. 2011 zog Datenschutz Cert dann in die Überseestadt, dort arbeiten heute insgesamt 15 Mitarbeiter: drei Juristen, zwei Bürokräfte und zehn Informatiker. „Wir bekommen Aufträge aus Bremen und Bremerhaven und aus dem gesamten Bundesgebiet. Zwei Kollegen sind gerade in Stuttgart“, sagt Maseberg.
Zweiter großer Aufgabenbereich ist Datenschutz
Die Kunden seien vielfältig, nicht nur Unternehmen, sondern auch Bundes- und Landesbehörden oder Kliniken nutzten den Prüfdienst von Datenschutz Cert, sagt Irene Karper, Prokuristin, Justiziarin und stellvertretende Geschäftsführerin. Aufgrund der Nachfrage habe man ein Büro in Berlin eröffnet, ein weiteres in Frankfurt werde bald folgen.
Der zweite große Aufgabenbereich der Bremer Spezialisten ist der Datenschutz. Die Informationssicherheit schütze die Gesamtheit der Daten sowie das System selbst, der Datenschutz nur die personenbezogenen Informationen, sagt Karper. Zur Veranschaulichung dient die Prüfung eines Krankenhauses. Meistens besucht ein Zweierteam aus einem Juristen und einem Informatiker dann die Klinik. „Recht und Technik nennen wir die beiden Bereiche“, sagt Karper. Der Informatiker prüft nicht nur die Computer, ob sie die Daten angemessen speichern. Er ist zum Beispiel auch dafür zuständig, ob Videokameras nur das filmen, was sie filmen dürfen. Ruheräume gehören etwa nicht dazu. „Die Juristen kontrollieren Verträge und Dokumente auf Rechtskonformität“, sagt Karper.
Von besonderer Bedeutung sei für das Unternehmen die Datenschutzgrundverordnung (DSGVO), die vor einem Jahr in Kraft trat. Das Gesetz vereinheitlicht den Datenschutz in Europa. Wenn Unternehmen gegen die DSGVO verstoßen, können Geldstrafen von bis zu 20 Millionen Euro fällig werden. „Diese Strafe wurde aber noch nicht verhängt“, sagt Karper. Ein guter Mittelwert sei etwa 50 000 Euro, manche Strafen seien aber auch schon höher ausgefallen.
Um solche Fälle zu vermeiden, bietet Datenschutz Cert auch eine Überprüfung des Datenschutzes an, das DSGVO-Audit. „Wir prüfen, welche Daten zum Beispiel für ein Gewinnspiel verwendet werden. Sind das Daten, die auch nur für diesen Zweck gebracht werden?“ Noch gibt es kein Zertifikat für einen ordentlichen Datenschutz nach dem DSGVO, aber das soll sich laut Karper ändern: „Wir entwickeln gemeinsam mit den Behörden eine standardisierte Prüfung, um später ein DSGVO-Siegel anbieten zu können.“ Damit wären sie dann die ersten auf dem Markt.
"Zertifikate wecken Vertrauen"
Es gebe viele Fallen, wo der Datenschutz verletzt werden kann: „Wenn sie beim Zahnarzt ins Behandlungszimmer kommen und dort immer noch die Krankenakte des vorherigen Patienten geöffnet ist, dann ist das streng genommen eine Straftat“, sagt Karper. Diese könne für die Ärzte eine Geldbuße oder sogar eine Haftstrafe nach sich ziehen – ihres Wissens nach sei allerdings noch kein Arzt deshalb hinter Gittern gelandet. Ein anderes Beispiel sei ein Computer in einem Schwesternzimmer: Wenn der Bildschirmschoner nicht angeht, könnten andere Patienten die Daten einsehen. Datenschutz Cert prüft daher auch, ob Mitarbeiter für einen sensiblen Umgang mit Daten geschult sind.
Nach einer Prüfung ächzten die Unternehmen oftmals, wie viel Arbeit sie noch in die Sicherheit und den Datenschutz stecken müssten, sagt Maseberg. Die Mühe lohne sich aber: „Zertifikate wecken Vertrauen – für viele Unternehmen sind Sicherheitsstandards zu einem Wettbewerbsvorteil geworden“, sagt Karper.
