Datenklau grassiert – Kontrolladressen nutzen!

Sie helfen zur Aufklärung unbefugter Datenabflüsse und wirken präventiv gegen Insiderkriminalität, wenn deutlich ist, dass ein professionelles Abwehrnetz gespannt ist. Kontrolladressen sind gewiss nicht die Ultima Ratio vor der Begehrlichkeit von Datendieben, aber sie können, richtig aufgebaut und betreut, abschrecken und Aufklärung gerichtsfest machen.

Berichte über Datenklau und die kriminelle Verwertung der Beute sind Anlass, an den Nutzen von Kontrolladressen zu erinnern. Wie und gegen wen setzt man sie erfolgreich ein? Kontrolladressen sollen ungetreue Mitarbeiter oder Dienstleister entlarven; auch zur Aufdeckung von ungewollten Datenabflüssen, also Pannen in Verarbeitungsprozessen, sind sie nützlich.

In den letzten 25 Jahren habe ich an mehreren Fällen von Missbrauch von Adressen mitwirken dürfen. Man unterscheide zwischen Daten für schriftliche Werbung oder Kundenbindung und solchen, die für Telefonkontakte dienen. Adressbestände, die für Werbepost verwendet werden sollen, müssen mit leicht gefälschten Datensätzen kontaminiert werden, mit zustellbarer Adresse. Das geschieht am besten mit richtigen Adressen – durch Vornamen, die in der Familie garantiert nicht existieren. Sind Datensätze für Telefonkontakte vorgesehen, wird es komplizierter, denn nun müssen für fiktive Personen Telefonnummern eingerichtet und ein Call Center damit betraut werden, unter diesen fiktiven Nummern Anrufe entgegen zu nehmen. Das geht erfahrungsgemäß nur über ein auf Kontrolladressen spezialisiertes Unternehmen, weil der Aufwand erheblich ist. Denn erschwerend kommt hinzu, dass Daten, die für eine schriftliche Kundenbeziehung vorgesehen sind, missbraucht werden können durch kalte Anrufe, wie der Fall des türkischen Call Center-Betrugs beweist.

Auf jeden Fall ist strikt darauf zu achten, dass weder im eigenen Verantwortungsbereich noch bei beauftragten Dienstleistern jemand eine Kontrolladresse erahnen kann. Es müssen von außen Transaktionen wie Anfragen oder Bestellungen eingeschleust werden, die aus dem fiktiven Datensatz einen „echten“ machen – und zwar einen, der nach Lage der Dinge zur missbräuchlichen Nutzung geeignet erscheint. Die Adresse muss unauffällig sein, eine fiktive Telefonnummer im Verzeichnis der Telekom dokumentiert sein. Kurzum, es muss ein regelrechtes „Kontrolladressenmanagement“ eingerichtet werden, mit ständig wechselnden Eintragungen, damit Fälle, die aufschlagen, präzise zugeordnet werden können. Es muss alles gerichtsfest sein, sonst ist der Aufwand vergeblich.

Hans Gliss, Herausgeber DATENSCHUTZ-BERATER

Links/Quellenangaben – siehe.eu: Die Hinweise auf Quellen sind für die leichte Eingabe mit einem Shortlink (auch short URL, URL alias, Kurzlink) angegeben. Statt beispielsweise http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Taetigkeitsberichte/Functions/TB_BfDI_table.html?nn=408924 muss künftig nur angegeben werden: www.siehe.eu/xxx. Das xxx steht für eine fortlaufende Zahl. Mit dieser Zahl kann die eigentliche URL/Adresse in unserer Datenbank ermittelt werden. Wenn Sie wissen wollen, was sich hinter dem Shortlink verbirgt, geben Sie den Shortlink mit einer Tilde (~) ein oder nutzen Sie eine Shortlink-Auflöser wie www.prevurl.com. Ob Sie auf diese Möglichkeit verzichten, obliegt Ihrer Entscheidung. Denn wir verweisen auf die Quellen, ohne diese im Detail zu prüfen.