Datenklau: Wer blockiert IT Netzsicherheit?

Datenklau: Wer blockiert IT Netzsicherheit?

Im Unterkapitel Die Ursachen der IT-Sicherheitskrise ihres Buches Cyberwar, Die Gefahr aus dem Netz (September 2018) schreiben die Autoren Constanze Kurz und Frank Rieger, beide ausgewiesene Kenner der globalen IT Szene, bemerkenswerte Sätze.

Schutz vor Angriffen böswilliger Menschen

Da heißt es zu den Schwachstellen des Netzes lapidar: „In unseren Breiten sind Themen wie Stabilität, Sicherheit und Zuverlässigkeit seit Langem ein akzeptierter und wichtiger Bestandteil der Ausbildung in vielen verschiedenen Berufen. Eine kontinuierlich fortentwickelte Kultur des sicheren Ingenieurswesens (in der Ausbildung)… sorgt etwa dafür, dass nicht reihenweise Dampfkessel explodieren, Brücken und Häuser einstürzen und dass die Benutzung von Elektrogeräten nicht mit hohen Risiken verbunden ist. Dabei geht es jedoch um den Schutz vor den Auswirkungen von Naturgesetzen und -gewalten und vor menschlichen Fehlern, aber gerade nicht vor böswilligen Menschen.“

 

Es werden schlagkräftige Beispiele von Startups und Software-Entwicklern aufgeführt

Mit dieser Referenz an eine gute Tradition wird gleichzeitig herausgearbeitet, wie „safety“ (also inhärente Technologie-Sicherheit) und „security“ (also Schutz vor Angriffen böswilliger Menschen) besser in Balance gebracht werden sollte. Es werden schlagkräftige Beispiele von Startups und Software-Entwicklern (ohne Namen zu nennen) aufgeführt, bei denen meist aus Kosten- und Zeitdruck („man will Erster am Markt sein“) für das Programmieren ein Zeitplan vorgegeben wurde, bei dem Sicherheitsaspekte eine untergeordnete Rolle spielen oder erst gar nicht berücksichtigt werden, zumal dies für die Geldgeber einen größeren Kostenfaktor darstellen würde (aus: Cyberwar, Die Gefahr aus dem Netz, September 2018. Constanze Kurz ist promovierte Informatikerin, Frank Rieger ist u.a. ein Sprecher des Chaos Computer Clubs).

Was notwendig erscheint, ist eine gesellschaftspolitische Bewegung, die die Sicherheitsarchitektur des globalen Netzes re-strukturiert, „härtet“ oder besser gesagt, im Interesse des Persönlichkeitsschutzes global reformiert.

Anfang Januar 2019 brach ein Sturm der Entrüstung in Deutschland los. Ungefähr 1000 Abgeordnete aus Bund und Ländern, sowie Entertainer und YouTuber waren über Wochen ihrer Daten von Privatnummern, Bankauszügen, in einigen Fällen auch des familiären Chatverlaufs und Daten von Kindern beraubt worden. Einige sehr persönliche Daten waren dann im Netz über Twitter Konten verteilt und öffentlich gemacht worden. Ein 20jähriger aus Hessen wurde festgenommen (inzwischen wieder auf freiem Fuß). Die Untersuchungen, wie der junge Mann diesen Diebstahl durchgeführt hat, sind noch nicht abgeschlossen.

 

..alleine im September laut Facebook „Unbekannte“ knapp 30 Millionen Facebook Nutzerdaten  gestohlen haben

Zuvor gab es viel größere Datenklaus, man denke an die persönlichen Daten der Hotelgäste der Marriott Hotelkette (von 400 Millionen Datensätze ist die Rede gewesen!). Oder man denke an die Datenskandale bei Facebook im letzten Jahr, wo alleine im September laut Facebook „Unbekannte“ knapp 30 Millionen Facebook Nutzerdaten  gestohlen haben. Die Rolle der widerrechtlichen Weitergabe von Facebook Profilen an Cambridge Analytics und die SCL Group - Strategic Communication Laboratories Group- sowie deren Verwertung bei den US Wahlen, sind dabei  noch nicht umfassend analysiert und aufgearbeitet worden. Phishing Attacken  werden regelmäßig gemeldet. Beim Abfassen dieser Kolumne brach schon die nächste Welle eines riesigen Datenlecks herein: Laut einem australischen Sicherheitsexperten sind 700 Millionen E-Mailadressen in Kombination mit 22 Millionen Passwörtern ins Netz gestellt worden („Collection 1#“), davon wahrscheinlich über 140 Millionen bisher nicht veröffentlichter Adressen. Die Täter sind bisher nicht bekannt.

IT-Sicherheitsgesetz 2.0 forcieren


Der durchschnittliche Nutzer des Internets wird nach jedem großen Datenklau damit bombardiert, dass er selber Schuld hat, wenn seine Daten im Netz vagabundieren und öffentlich werden. Dass eine weitverbreitete Sorglosigkeit der Nutzer es manchen Kriminellen  leicht machen, einen Datenklau zu begehen, ist bekannt.  Aber auch in der „realen Welt“ schließen „normale Bürger“ ihre Wohnungen mit funktionierenden Schlüsseln zu, um es Dieben nicht allzu leicht zu machen.  Einbrecherbanden haben sich daraufhin „professionalisiert“, solche „einfachen“ Sicherungssysteme zu umgehen. Es dauerte eine Weile, bis neue polizeiliche Methoden entwickelt wurden, solche Banden aufzuspüren, um weitere Einbrüche in großem Stil zu verhindern. Ähnliches muss gegen den Datenklau unternommen werden, zumal  die kriminellen Machenschaften der Ausspäher und Datenhehler immer wieder verharmlost werden.

Diese strafwürdigen Handlungen müssen endlich verfolgt werden und nicht durch Hinweise auf die Gefahr der „Beschneidung von Freiheiten des Netzes“ sabotiert werden. Denn nach (inzwischen verschärftem) deutschem Recht  ist gemäß § 202 des deutschen Strafgesetz-buches (StGB) Datenhehlerei ein Vergehen, welches mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft wird ; für Ausspähen von Daten, Verletzung des persönlichen Lebensbereichs durch Bildaufnahmen oder Abfangen von Daten kann man bis zu 2 Jahren bestraft werden. Generell kann bei Verletzung des Fernmeldegeheimnisses eine Strafe bis zu 5 Jahren verhängt werden.( §§ 202-206 StGB.)

Offensichtlich könnten diese kriminellen Handlungen sehr wohl hoch bestraft werden, dazu müsste aber der nötige Wille und das Personal (Geld) neben „technischer Härtung“ durchgeführt werden. Es hieße auch, sich mit den vier amerikanischen Riesen-Internetfirmen („Gafa“), anderen Internet-Anbietern und den politischen Gegnern solcher rigoroseren Ahndungen anzulegen. Die Vorladung von Facebook-Chef Zuckerberg zur EU Anhörung im letzten Jahr hätte ein guter Anfang sein können, war aber aus politischen-organisatorischen Gründen missglückt. Insofern ist eine Weiterentwicklung des IT-Sicherheitsgesetzes 2.0 eine gute Grundlage. Dies wäre auch im Sinne des Verbraucherschutzes, der von den Grünen in vielen Bereich verstärkt gefordert wird, zumal jetzt auch der Grünen Chef  Robert Habeck selbst Betroffener des Datenklaus wurde.

 

Schon ein einziger kleiner Irrer, der nicht sonderlich talentiert ist, kann solche Sachen machen

Drastisch formulierte Sandro Gayken, der seit vielen Jahren als ausgewiesener IT Sicherheitsexperte Forderungen nach einer höheren Sicherheit der Netze aufstellt, dass die  „Gefahren … gigantisch“ (8.1.19 FAZ.NET) sind mit Blick auf den deutschen Datenklau. „Schon ein einziger kleiner Irrer, der nicht sonderlich talentiert ist, kann solche Sachen machen.“ Der deutsche Forscher, schreibt die FAZ weiter, warnte bereits vor Jahren davor, dass die zunehmende Vernetzung die Angriffsflächen potenziere, zu einer Zeit, als Fitnessarmbänder, digital vernetzte Heizungen und Industrie 4.0 noch Zukunftsmusik waren. Gaycken glaubt, so resümiert die FAZ, dass die Gefahren im Begriff sind, ins Unermessliche zu wachsen. Selbst dann, wenn private Nutzer künftig ihre Passwörter häufiger wechseln sollten. Er plädiert dafür, so viele Systeme wie möglich vom Internet zu entkoppeln und zu separieren. Vor allem militärische Computer und kritische Infrastruktur. Nur so ließen sie sich vor Cyberangriffen schützen. Werde der jetzige Weg der immer weitergehenden Vernetzung weiterbeschritten, könne andernfalls „alles Mögliche drohen“, so Gaycken gegenüber FAZ.NET.“

Die gesetzlichen Instrumente zur Bekämpfung der Internetkriminalität sind vorhanden. Der politische Wille zur Durchsetzung des Verbraucherschutzes und des Rechtes auf Persönlichkeitsschutz im Internet für den Bürger muss endlich Erfolg haben. Das IT-Sicherheitsgesetz enthält gute Ansatzpunkte. Auch die Verantwortung der Internetfirmen im In-und Ausland für die Datensicherheit muss stärker mit allen vorhandenen rechtlichen, technischen und diplomatischen Mitteln durchgesetzt werden.

Neueste Ankündigungen