Wie groß ist der Schaden, der entsteht, wenn man auf Verschlüsselung verzichtet? In einem Fall aus dem Jahr 2006 lässt sich diese Frage beantworten: 100 bis 500 Millionen Dollar.

Am 3. Mai 2006 erhielt ein Mitarbeiter des US-Kriegsveteranen-Ministeriums ungebetenen Besuch. Ein Einbrecher drang in sein Haus in Aspen Hill (Maryland) ein und stahl unter anderem einen Laptop mit zugehöriger externer Festplatte.

Keine große Sache, möchte man meinen. Dummerweise waren auf dem Rechner die Daten von 26,5 Millionen Veteranen und deren Angehörigen gespeichert. Dabei handelte es sich um Namen, Sozialversicherungsnummern, Geburtsdaten und Informationen über Behinderungen– keine wirklich kritischen Informationen, aber eben eine große Menge davon.

20 Millionen Dollar für die Geschädigten

Immerhin kehrte der Bestohlene die Sache nicht unter den Tisch. Er informierte sofort seine Dienststelle und die örtliche Polizei. Das Kriegsveteranen-Ministerium musste nun verschiedene Maßnahmen treffen, um einem möglichen Missbrauch der gestohlenen Daten zu vorzubeugen (keine Ahnung, um welche Maßnahmen es sich dabei genau handelte). Am 30. Juni wurden der Laptop und die Festplatte wiedergefunden. Wie sich zeigte, hatte niemand die kritischen Daten angefasst. Dennoch schätzte man den entstandenen Schaden auf 100 bis 500 Millionen US-Dollar. Alleine 20 Millionen Dollar musste das Ministerium bezahlen, um einen Rechtsstreit mit den Geschädigten beizulegen.

Natürlich hätte der besagte Mitarbeiter diese Daten nicht auf seinem Laptop gespeichert haben dürfen (nach eigenen Angaben hatte er dies seit drei Jahren getan, damit er zuhause arbeiten konnte). Trotz allem wäre die Sache glimpflich verlaufen, wenn die Daten verschlüsselt gewesen wären. Das waren sie aber nicht. Dabei ist das Verschlüsseln einer Festplatte kein Hexenwerk. Es gibt sogar spezielle Verschlüsselungsfestplatten, die diese Aufgabe übernehmen.

Harddrive-Encryption

Wem eine solche Verschlüsselungsfestplatte zu teuer ist, findet auch verschiedene Software-Lösungen für diesen Zweck, beispielsweise das kostenlose TrueCrypt (dessen Entwicklung wurde jedoch inzwischen eingestellt). Die Qualität von TrueCrypt zeigt sich regelmäßig dann, wenn die Polizei versucht, auf diese Weise verschlüsselte Daten von Tatverdächtigen zu dechiffrieren.

Manchmal kommt ein Laptop-Diebstahl nicht ungelegen

Der Laptop-Diebstahl im US-Ministerium war übrigens kein Einzelfall. Intel ermittelte 2009 in einer Studie, dass sieben von 100 Laptops vor Ende ihres produktiven Lebens gestohlen werden – mit einem durchschnittlichen Schaden von 49,256 US-Dollar pro Gerät. Wer meint, die Passwort-Abfrage beim Einloggen würde einen Unbefugten vom Lesen der Platte abhalten, liegt falsch – wenn ein Dieb ein eigenes Betriebssystem bootet oder das Speichermedium ausbaut, kommt er an die Daten heran. Verschlüsselung ist also eine sinnvolle Maßnahme.

Dieser Artikel über den Laptop-Klau beim US-Kriegsveteranen-Ministerium nennt noch zwei weitere Fälle, die sich ebenfalls 2006 ereignet haben. Am 12. Juni wurde der Mobilrechner eines Angestellten von ING U.S. Financial Services mit den Daten von 13.000 Angestellten gestohlen. Im gleichen Monat landete ein Laptop der Firma Equifax Inc. in den Händen eines Diebs. Die Daten von 2.500 Angestellten waren darauf gespeichert. Die Dateien auf beiden Rechnern waren natürlich nicht verschlüsselt.

Manchmal kommt ein gestohlener Laptop aber auch ziemlich gelegen: So soll im Februar 2014 der Laptop des Politikers Sebastian Edathy, der unter Kinderporno-Verdacht steht, im Zug nach Amsterdam geklaut worden sein. Die Bundespolizei leitete eine bundesweite Fahndung nach dem möglichen Beweisstück ein – ohne Erfolg.

Zum Weiterlesen: Wie ein Industriespion eine Verschlüsselung knackte

Kommentare (2)

  1. #1 Gerry
    17. Oktober 2014

    Für Truecrypt gibt es inzwischen Ersatz durch Forks.
    Wird sich noch zeigen müssen ob die was taugen.

  2. #2 Anonymous
    18. Oktober 2014

    Noch bedenklicher finde ich, wenn es zur unverschlüsselten Platte Anweisungen vom Arbeitgeber gibt.

    So geschehen bei der Übernahme eines deutschen Unternehmens durch einen US-Konzern, bei der nachträglich die Truecrypt Verschlüsselung entfernt werden musste. Passwort sei vollkommen ausreichend, alles andere sowieso kriminell. Da fragt man sich’s dann schon…