Ist die Aufregung über den Hackerangriff „scheinheilig“?
Nach dem Hackerangriff eines 20-jährigen Schülers, bei dem personenbezogene Daten von Politkern und Prominenten, teils auch von ihren Angehörigen geklaut und veröffentlicht wurden, ist der Aufschrei in Politikerkreisen groß. Dabei ist das Problem, dass Hacker zu leicht an unsere Daten gelangen können, längst bekannt: „Das passiert in jeder Minute, in jeder Sekunde“, sagt der IT-Experte Dirk Arendt. Wird das Problem jetzt also öffentlichkeitstauglich hochgeschaukelt, nur weil Politiker und Prominente betroffen sind und nicht der Bürger oder ein Unternehmen?
Denn plötzlich ist die Rede von einem „sehr ernsten Vorfall“ und einem „Angriff auf die Demokratie“. Die BR-Sendung „Report München“ nennt das „Jammern“ sogar „scheinheilig“. Immer wieder hätten die Journalisten aufgedeckt, wie Tausende von Datensätzen von Bürgern geklaut und im Internet verkauft wurden. Doch von der Politik sei immer die gleiche Reaktion gekommen: „Kein Handlungsbedarf.“
Auch, wenn die Situation für die Betroffenen jetzt unangenehm ist, stößt der Vorfall eine wichtige Debatte an: Die Diskussion über den Datenschutz in Deutschland wird nun auf höchster Ebene und öffentlich geführt. Ist die Forderung des Bundesinnenministers Horst Seehofer nach einer Novellierung des IT-Sicherheitsgesetzes, das aktuell insbesondere für Kritische Infrastrukturen (KRITIS) anzuwenden ist, und der Aufstockung des Cyber-Abwehrzentrums aber der richtige Lösungsansatz oder gibt es an anderen Stellen Handlungsbedarf?
Lesetipp: Erfahren Sie, welche Tricks Betrüger anwenden, um von Unternehmen Daten zu klauen.
„Secure by design“: Sicherheitslücken bei IT-Produkten schließen
Experten für IT-Sicherheit kritisieren seit geraumer Zeit, dass die „allermeisten“ Geräte wie Computer, Smartphones oder auch Smart-TV mit Sicherheitslücken auf den Markt gebracht werden. Dem Bundesinnenministerium ist das laut Report München bekannt. Doch bislang ist die Frage nach der IT-Sicherheit keine Voraussetzung dafür, ob ein Produkt verkehrsfähig ist oder nicht. „[...] dafür werden wir sicherlich neue Gesetze brauchen“, sagt Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrats. Auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, kritisierte 2017 „erhebliche Qualitätsmängel“ bei IT-Produkten.
Dabei haben die Koalitionspartner das Thema „secure by design“ im Koalitionsvertrag bereits festgeschrieben. Wörtlich heißt es da: „Zusammen mit der Wirtschaft werden wir IT-Sicherheitsstandards für internetfähige Produkte entwickeln“ oder „Wir werden klare Regelungen für die Produkthaftung in der digitalen Welt aufstellen“. „Secure by design“ zielt darauf ab, dass Hersteller von Hard- und Software von Anfang an darauf achten, dass Schwachstellen im System vermieden werden und dieses vor Cyberangriffen geschützt ist.
Was ist das Gütesiegel für IT-Sicherheit?
Im Zusammenhang mit dem aktuellen Fall von Datenklau bringt Bundesjustizministerin Katarina Barley ein sog. IT-Sicherheits-Gütesiegel ins Spiel, das europaweit gelten soll. Hintergrund ist, dass Verbraucher vertrauenswürdige IT-Produkte auf den ersten Blick erkennen können. Diese Idee ist nicht neu. Auf Bundesebene ist dieser Ansatz ebenfalls schon im Koalitionsvertrag festgeschrieben.
Im Koalitionsvertrag angekündigt war das sog. „Gütesiegel für IT-Sicherheit“: „Die Einhaltung dieser über die gesetzlichen Mindeststandards hinausgehenden IT-Sicherheitsstandards werden wir Verbraucherinnen und Verbrauchern mit einem Gütesiegel für IT-Sicherheit transparent machen“, heißt es wörtlich. Im Jahr 2018 waren diesbezüglich Pilotprojekte u. a. für den Bereich Smart-Home geplant. Allerdings liegen (unseres Wissens nach) noch keine Auswertungen vor.
Kritik am Gütesiegel für IT-Sicherheit
Kritiker bemängeln, dass Hersteller nur auf freiwilliger Basis ihre Produkte testen lassen können. Außerdem sei der bisherige Blick ausschließlich auf Konsumenten zu kurz gegriffen. Denn es geht hauptsächlich um einfache Sicherheitsmechanismen und -funktionen, was auf Unternehmensebene nicht ausreichend ist – und auf Behördenebene noch weniger.
Mitarbeiter sensibilisieren: „123456“ beliebtestes Passwort der Deutschen 2018
Eines der zentralen Probleme im Hinblick auf die IT-Sicherheit bleiben jedoch die Anwender und Mitarbeiter selbst – sowohl in Unternehmen als auch in Behörden. Denn auch im Jahr der DSGVO besetzt das Passwort „123456“ Platz eins im Ranking der beliebtesten Passwörter der Deutschen. Das Passwort „passwort“ belegt immerhin noch Platz 9. Das geht aus einer Untersuchung des Hasso-Plattner-Instituts (HPI) an der Universität Potsdam hervor. Dafür hat das Institut 500.000 Datensätze ausgewertet.
Solche Passwörter stellen für Hacker kein Hindernis dar, weshalb viele Web-Anbieter diese Kombinationen gar nicht mehr zulassen, sondern darauf bestehen, dass das Passwort eine gewisse Länge aufweist und der Nutzer Groß- und Kleinschreibung sowie Sonderzeichen und Zahlen einbaut. Experten fordern nun, dass alle Web-Anbieter verpflichtend nur solche sicheren Passwörter zulassen.
Bis dahin bleibt nur eins: Mitarbeiter in Behörden und Unternehmen müssen im richtigen Umgang mit Passwörtern und personenbezogenen Daten unterwiesen werden. Behördenleiter und Arbeitgeber kommen dieser Unterrichtung ganz einfach mit dem „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit“ nach. Einmal an den Mitarbeiter ausgehändigt, kann dieser immer wieder im Merkblatt nachschlagen, wenn datenschutzrechtliche Fragen aufkommen.
Selbsttest: Sie wollen wissen, ob Ihre Behörde / Ihr Unternehmen die Anforderungen an den Datenschutz erfüllt? Dann machen Sie den Selbsttest mit der Checkliste „Kurzcheck Datenschutz“.
Parteien müssen mehr in die Pflicht genommen werden
Der Leiter des Transatlantischen Cyber-Forums der Stiftung neue Verantwortung, Dr. Sven Herpig, erklärt im Video die Methode des aktuellen Hackerangriffs und warum die Parteien mehr in die Pflicht genommen werden müssten:
Quelle: euronews, YouTube
Fazit zur Debatte um Datenklau
Dass der aktuelle Vorfall so hochgeschaukelt wird, mag scheinheilig erscheinen, tut der Diskussion um den Datenschutz in Deutschland jedoch nicht weh. Wichtig ist, dass die Politiker nun Maßnahmen beschließen, die wirklich sinnvoll und nicht nur aus einem Aktionismus heraus entstanden sind.
Die Hersteller zu verpflichten, Sicherheitslücken von Beginn an zu schließen und die Systeme bei Bedarf mit Updates zu schützen, wäre ein notwendiger Schritt, um vor allem kleine und mittelständische Unternehmen zu entlasten, die sich darauf verlassen müssen, dass die IT-Produkte, die sie erwerben ein gewisses Schutzniveau mitbringen.
Eines macht der Bundesinnenminister jetzt schon richtig: Er weckt keine unrealistischen Erwartungen und betont immer wieder, dass es keine 100-prozentige Sicherheit in der Informationstechnik geben kann, egal welche und wie viele Maßnahmen getroffen werden. Denn die Hacker sind auf diesem Feld schon sehr weit entwickelt.
Quellen: Forum Verlag Herkert, BR, Neue Presse, t3n, CDU