Interview mit Joachim Jakobs zum Projekt "Frei + Fit im Web 2.0"

Mission: Datensicherheit

| Redakteur: Peter Schmitz

Mit einem Datenschutzmobil auf Tour durch Deutschland will Joachim Jakobs Unternehmern aus den freien Berufen zeigen, wie sie die Daten ihrer Kunden schützen und auch Informatiker sollen mehr über IT-Sicherheit lernen.
Mit einem Datenschutzmobil auf Tour durch Deutschland will Joachim Jakobs Unternehmern aus den freien Berufen zeigen, wie sie die Daten ihrer Kunden schützen und auch Informatiker sollen mehr über IT-Sicherheit lernen. (Bild: Dosch Design (3DModell), Hannes Fuß (CC-BYNCND), VBM)

Ärzte, Rechtsanwälte und andere Kleinunternehmen und freie Gewerbetreibende haben riesige Mengen personenbezogener Daten von Kunden, Patienten und Mandanten, oft ohne grundlegende Kenntnisse über IT-Sicherheit. Das muss sich ändern, findet Joachim Jakobs, Initiator des Projekts "Frei + Fit im Web 2.0".

Security-Insider: Herr Jakobs, warum müssen Angehörige der freien Berufe Ihrer Meinung nach eine gewisse IT-Kompetenz erwerben, die nicht zwingend zu ihrem Berufsfeld gehört?

Joachim Jakobs: Die Leistungsfähigkeit der Informationstechnik ist seit der Erfindung des „Z3“, des ersten funktionsfähigen Digitalrechners durch Konrad Zuse im Jahr 1941 exponentiell gestiegen. Die Folge: Früher standen beispielsweise die Patientendaten einer Arztpraxis zentnerschwer im Schrank. Sie waren dabei in zweierlei Hinsicht - relativ - geschützt:

  • 1. Vor Diebstahl durch ihr physisches Gewicht
  • 2. Vor maschineller Verarbeitung durch den analogen Datenträger.

Heute passen diese Daten auf einen Fingernagel-großen Chip im Wert um 50 Euro. Auf Knopfdruck lassen sich alle diese Daten auf einmal ergänzen, ändern oder löschen. Das bedeutet: Die Schaufeln zur Verarbeitung haben erheblich an Größe zugelegt. Und: Die Geschwindigkeit, mit der die Schaufeln wachsen, wird noch weiter steigen.

Diese Leistungsfähigkeit ermöglicht es uns, unsere Intelligenz in Telefone, Autos, Gebäude oder Stromnetze auszulagern. Da wäre sichere Software zur Steuerung wichtig, die außerdem auch noch sicher implementiert ist - weil Kriminelle sonst einzelne Stromverbraucher nach Meinung von Wissenschaftlern manipulieren könnten. Bislang gibt’s hier nur Schäden bei einzelnen Stromversorgern in Höhe von wenigen hundert Millionen Euro. Ich fürchte aber, dass das beim geplanten Umbau des Stromnetzes hierzulande deutlich mehr wird, weil es bis Frühjahr 2012 noch nicht einmal ein Sicherheitskonzept fürs Smartgrid in Deutschland gegeben hat. Und wenn es das gegeben hätte, wäre es fraglich, ob es denn auf fruchtbaren Boden gefallen wäre, denn bislang kommen Informatiker durchs Studium, ohne auch nur eine Veranstaltung zum Thema „Sicherheit“ besucht zu haben. In anderen Wirtschaftsbereichen ist das ähnlich.

Dax-Konzerne tun daher gut daran, ihre Mitarbeiter bei der Auswahl von Architekten, Ärzten und Steuerberatern zu unterstützen und sich zu überlegen, welcher Dienstleister die eigene Gebäudetechnik einbauen darf und wie der mit den entsprechenden Daten dazu umgeht: Im Unterschied zum DAX-Konzern beschäftigen diese Dienstleister keine Sicherheitsabteilung und sind daher leichte Beute für Kriminelle.

Security-Insider: Mit welchen Konsequenzen müssten wir rechnen, wenn es schief geht?

Jakobs: Regelmäßig verhält sich das Niveau der Angreifer umgekehrt zum Niveau der Angegriffenen - deshalb könnte der Preis hoch sein: Im August wurde eine halbe Million Kreditkartendaten gestohlen. Die können jetzt zum Stückpreis von wenigen US-Dollar verkauft werden. Sind weitere Informationen wie Geburtsdatum oder Mädchenname einer Frau dabei, steigt der Wert. McAfee erwartet aber, dass Kriminelle zunehmend in der Lage sein werden, Profile von Entscheidern und anderen Zielpersonen automatisiert - mit Hilfe von Computerlinguistik - zu bilden: Dazu würden Blogs, Pressemitteilungen, Magazine und Zeitschriften, Unternehmensdatenbanken und soziale Netze durchforstet, um Details aus dem beruflichen wie privaten Leben der Betroffenen zu finden, die Zugang zu Kennungen, Passwörtern, Finanz- bzw. Systeminformationen und anderen sensiblen Unternehmensdaten verschaffen – weitere Informationen aus „intelligenten“ Telefonen, Autos, Gebäuden und Stromnetzen wären da sicher willkommen. Mit dererlei Informationen lassen sich nicht nur Rechtsgeschäfte aller Art im Namen und zu Lasten des Betroffenen ausführen, sondern die Person wäre vermutlich auch empfänglich für Manipulation, Bestechung oder Erpressung. Selbst der optimale „Angriffsvektor“ - also die Antwort auf die Frage wer, wann, wie elektronisch angreift oder auf welchen Mitarbeiter einwirkt - lässt sich mit all diesen Daten „berechnen“. So könnte der Mensch zur Bedrohung für seinen Arbeitgeber werden.

Hinzu kommt: Die Cyberkriminalität war bereits in der Vergangenheit extrem profitabel – und drohte dem Drogenhandel in Punkto Gewinne bereits 2005 den Rang abzulaufen. 2011 aber konnten die Russischen Kriminellen ihre Gewinne aus Datengeschäften gegenüber dem Vorjahr Kaspersky zu Folge nochmals verdoppeln.

Deshalb ist es wichtig, dass sich alle ihrer Verantwortung bewusst werden, die an der elektronischen Verarbeitung von Informationen aller Art beteiligt sind oder Einfluss darauf haben: Das sind neben den Entscheidern in Politik und Wirtschaft, diejenigen die Software entwickeln, implementieren oder nutzen, um Anlagen zu steuern oder personenbezogene Daten verarbeiten. Und das nicht nur in kleinen und mittelständischen Unternehmen. Das ganze System ist nur so sicher, wie das schwächste Glied in der Kette.

Security-Insider: Reicht der Einsatz gängiger Sicherheitssoftware wie Virenschutz und ggf. Verschlüsselung nicht aus, um den Anforderungen an die Sicherheit der Daten gerecht zu werden, braucht es da noch mehr Fachwissen?

Jakobs: Software stellt zunächst einmal nur ein technisches Hilfsmittel zur Verarbeitung von Informationen dar. Viel wichtiger als die Technik ist das Verständnis für die Fähigkeit der Angreifer, aus Informationen Geld zu machen und dafür die Leistungsfähigkeit der Technik höchst professionell einzusetzen: So wurde im Sommer bekannt, dass über 7000 Datensätze einer US-Amerikanischen Facharztpraxis verschlüsselt und der Arzt um ein Lösegeld erpresst wurde. Das bedeutet: Bereits verschlüsselte Daten könnten jederzeit nochmals verschlüsselt werden. Dazu könnte es ausreichen, einen „edlen“ USB-Speicher auf dem Parkplatz vor der Praxis zu „verlieren“. Wenn ein neugieriger Mitarbeiter den in den nächsten USB-Steckplatz schiebt, könnte ein geschickter Schädling eine böse Weihnachtsüberraschung entfalten – die Inhalte auf der Festplatte wären dann ohne Passwort schlicht nicht mehr verfügbar. Symantec zu Folge sind insbesondere Deutsche Anwender 2012 besonders bei Erpressern beliebt.

Die Technik allein hilft uns also nicht – die Menschen müssen von ihrem Nutzen überzeugt sein – ansonsten werden sie Mittel und Wege finden, die Sicherheitsvorkehrungen zu umgehen. Und sie müssen in der Lage sein, die Technik verantwortungsbewusst einzusetzen. Wenn sich diese Erkenntnis durchsetzt, werden die Menschen ihr Verhalten ändern – und zum Beispiel das Papier ihrer Patienten und Mandanten schreddern, bevor sie es entsorgen.

Und sie werden noch dazu darauf achten, dass die eingesetzten Geräte das Papier entsprechend der jeweiligen Sicherheitsstufen vernichten, weil Dienste wie unshred.com sogar geschreddertes Papier zu neuem Leben erwecken können.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 37315820 / Compliance und Datenschutz )