Fazit – das Wirtschaftsblog

Fazit - das Wirtschaftsblog

Für alle, die’s genau wissen wollen: In diesem Blog blicken wir tiefer in Börsen und andere Märkte - meist mit wissenschaftlicher Hilfe

Daten gehackt? Mir doch egal!

Welchen Anreiz haben Unternehmen, auf die Daten ihrer Kunden zu achten? Keinen großen. Ein neues Experiment zeigt: Vielen Kunden ist Datensicherheit gleichgültig. Damit beeinträchtigen sie die anderen.

21.06.2015 05.43

Nicht jeder Hack hat so viele Folgen wie der der Seitensprungbörse Ashley Madison. Dort tauchten die E-Mail-Adressen der Nutzer im Internet auf. Manche Ehe taumelte in die Krise, einige Mitglieder sollen sich selbst getötet haben.

Selten zeigt ein Hack so drastisch wie dieser: Es wäre gut, wenn Unternehmen auf die Daten ihrer Nutzer achtgeben würden. In der Diskussion ist deshalb, Unternehmen zur Veröffentlichung solcher Hacks zu verpflichten. Die EU will eine Meldepflicht. Der Deutsche IT-Verband Bitkom fordert eine Meldepflicht mit anonymisierten Unternehmen – aber andere wollen veröffentlichen, welche Firmen gehackt wurden. Die Idee: Wer sich hacken lässt, trägt einen Imageschaden davon – aus Angst davor achten mehr Unternehmen auf Datensicherheit.

Doch Nachrichten von Datenhacks kommen sowieso alle paar Wochen, viele Unternehmen ergreifen trotzdem noch keine ausreichenden Sicherheitsmaßnahmen. Und so kommt bald die Nachricht vom nächsten Hack. Das ist kein Wunder. Schon lange beobachten wir in „Fazit“ den Datenschutz und das Verhältnis zwischen Unternehmen und Kunden im Internet-. Und immer wieder wird deutlich: Den Kunden ist vieles egal. Denn längst nicht jede Information ist so peinlich wie die, dass man Mitglied einer Seitensprungbörse war.

Dass auch die Pflicht zur Veröffentlichung von Hacks nicht unbedingt hilft, zeigt jetzt ein neues Experiment. Es stammt unter anderem von Nicola Jentzsch am Deutschen Institut für Wirtschaftsforschung, deren Überblick zur Ökonomik des Datenschutzes wir vor kurzem vorgestellt haben, außerdem von Francesco Feri von der University of London und Caterina Giannetti von der Universität Bologna.

Die Datenschutz-Forscher kämpfen mit dem Datenschutz

Das Experiment war gar nicht so leicht auf die Beine zu stellen. Auch die Forscher müssen sich nämlich an Datenschutzbedingungen halten – und trotzdem idealerweise mit Informationen arbeiten, die den Teilnehmern wichtig sind. Am Schluss kamen sie auf einen kleinen Intelligenztest. Jeder Experiment-Teilnehmer musste seinen Namen per Ausweis angeben und einige Testfragen beantworten. Für eine komplette IQ-Einschätzung reichte der nicht, aber einen groben Eindruck ergab der Test schon mal. Dann erfuhr jeder, ob er laut dem Test zur intelligenteren Hälfte der Teilnehmer gehörte oder nicht. Diese Information wiederum konnten die Teilnehmer verkaufen: Sie bekamen dann einen um drei Euro reduzierten Einkaufsgutschein für einen Medienladen. Doch die Teilnehmer wussten auch: Wenn sie Pech hatten, wurden die Daten „gehackt“. Das heißt, wenn der Computer die falsche Zufallszahl zog, lasen die Forscher am Schluss den Namen vor – mitsamt dem Ergebnis aus dem Intelligenztest. Nach einer ersten Runde konnten die Teilnehmer ihre gleichen Testergebnisse noch mal verkaufen.

Von vornherein wollten nicht alle ihr Testergebnis preisgeben. Unter den Teilnehmern mit den besseren Testergebnissen waren 60 Prozent dazu bereit, unter denen mit den schlechteren Ergebnissen nur 25 Prozent.

Schon auf diese Weise ergibt sich eine Nebenwirkung auf die Teilnehmer, die ihr Testergebnis nicht angeben. Denn die Geschichte lässt sich auch umgekehrt betrachten: Wenn ein Teilnehmer sein Testergebnis nicht angegeben hat, gehörte er mit größerer Wahrscheinlichkeit zur schlechteren Hälfte des Felds.

Nur Leute mit sensiblen Daten sind empfindlich

Doch das wurde noch deutlicher, als im Experiment die ersten Hacks auftauchten. Sobald der Datensatz einmal gehackt war, schreckten viele der Teilnehmer mit den schlechteren Testergebnissen davor zurück, ihre Daten noch einmal zu verkaufen. Selbst zwei Drittel der Leute, die anfangs noch ihre Daten verkauft hatten, entschieden um. Die Leute mit den erfreulichen Ergebnissen störten sich dagegen überhaupt nicht an der mangelnden Datensicherheit und verkauften ihre Daten munter weiter. Sie schienen nicht das Gefühl zu haben, dass sie auf ihre Angaben achten müssten. Selbst nachdem sie gehört hatten, dass ihre Daten gestohlen worden waren, entschieden sich nicht mal sieben Prozent der Daten-Verkäufer in der nächsten Runde um.

Die Forscher ziehen daraus den Schluss: Wenn die Daten nicht sensibel genug sind, dann lassen sich auch die Deutschen nicht von einem Hacker-Angriff beeindrucken.

Doch dazu kommt ein weiterer Effekt: Je stärker Hacker-Angriffe ins Bewusstsein dringen, desto größer wird die Kluft zwischen denen, die ihre Daten sorglos angeben können – und denen, die ihre Daten nicht angeben wollen. Umso größer wird aber auch die Chance, auf die verheimlichten Daten selbst zu schließen. So wirkt die Sorglosigkeit der einen als “Externalität” auf den Datenschutz der anderen.

Das Blog:


Der Autor: