Interview mit Joachim Jakobs zum Projekt "Frei + Fit im Web 2.0" Mission: Datensicherheit

Redakteur: Peter Schmitz

Ärzte, Rechtsanwälte und andere Kleinunternehmen und freie Gewerbetreibende haben riesige Mengen personenbezogener Daten von Kunden, Patienten und Mandanten, oft ohne grundlegende Kenntnisse über IT-Sicherheit. Das muss sich ändern, findet Joachim Jakobs, Initiator des Projekts "Frei + Fit im Web 2.0".

Firmen zum Thema

Mit einem Datenschutzmobil auf Tour durch Deutschland will Joachim Jakobs Unternehmern aus den freien Berufen zeigen, wie sie die Daten ihrer Kunden schützen und auch Informatiker sollen mehr über IT-Sicherheit lernen.
Mit einem Datenschutzmobil auf Tour durch Deutschland will Joachim Jakobs Unternehmern aus den freien Berufen zeigen, wie sie die Daten ihrer Kunden schützen und auch Informatiker sollen mehr über IT-Sicherheit lernen.
(Bild: Dosch Design (3DModell), Hannes Fuß (CC-BYNCND), VBM)

Security-Insider: Herr Jakobs, warum müssen Angehörige der freien Berufe Ihrer Meinung nach eine gewisse IT-Kompetenz erwerben, die nicht zwingend zu ihrem Berufsfeld gehört?

Joachim Jakobs: Die Leistungsfähigkeit der Informationstechnik ist seit der Erfindung des „Z3“, des ersten funktionsfähigen Digitalrechners durch Konrad Zuse im Jahr 1941 exponentiell gestiegen. Die Folge: Früher standen beispielsweise die Patientendaten einer Arztpraxis zentnerschwer im Schrank. Sie waren dabei in zweierlei Hinsicht - relativ - geschützt:

  • 1. Vor Diebstahl durch ihr physisches Gewicht
  • 2. Vor maschineller Verarbeitung durch den analogen Datenträger.

Heute passen diese Daten auf einen Fingernagel-großen Chip im Wert um 50 Euro. Auf Knopfdruck lassen sich alle diese Daten auf einmal ergänzen, ändern oder löschen. Das bedeutet: Die Schaufeln zur Verarbeitung haben erheblich an Größe zugelegt. Und: Die Geschwindigkeit, mit der die Schaufeln wachsen, wird noch weiter steigen.

Diese Leistungsfähigkeit ermöglicht es uns, unsere Intelligenz in Telefone, Autos, Gebäude oder Stromnetze auszulagern. Da wäre sichere Software zur Steuerung wichtig, die außerdem auch noch sicher implementiert ist - weil Kriminelle sonst einzelne Stromverbraucher nach Meinung von Wissenschaftlern manipulieren könnten. Bislang gibt’s hier nur Schäden bei einzelnen Stromversorgern in Höhe von wenigen hundert Millionen Euro. Ich fürchte aber, dass das beim geplanten Umbau des Stromnetzes hierzulande deutlich mehr wird, weil es bis Frühjahr 2012 noch nicht einmal ein Sicherheitskonzept fürs Smartgrid in Deutschland gegeben hat. Und wenn es das gegeben hätte, wäre es fraglich, ob es denn auf fruchtbaren Boden gefallen wäre, denn bislang kommen Informatiker durchs Studium, ohne auch nur eine Veranstaltung zum Thema „Sicherheit“ besucht zu haben. In anderen Wirtschaftsbereichen ist das ähnlich.

Dax-Konzerne tun daher gut daran, ihre Mitarbeiter bei der Auswahl von Architekten, Ärzten und Steuerberatern zu unterstützen und sich zu überlegen, welcher Dienstleister die eigene Gebäudetechnik einbauen darf und wie der mit den entsprechenden Daten dazu umgeht: Im Unterschied zum DAX-Konzern beschäftigen diese Dienstleister keine Sicherheitsabteilung und sind daher leichte Beute für Kriminelle.

Security-Insider: Mit welchen Konsequenzen müssten wir rechnen, wenn es schief geht?

Jakobs: Regelmäßig verhält sich das Niveau der Angreifer umgekehrt zum Niveau der Angegriffenen - deshalb könnte der Preis hoch sein: Im August wurde eine halbe Million Kreditkartendaten gestohlen. Die können jetzt zum Stückpreis von wenigen US-Dollar verkauft werden. Sind weitere Informationen wie Geburtsdatum oder Mädchenname einer Frau dabei, steigt der Wert. McAfee erwartet aber, dass Kriminelle zunehmend in der Lage sein werden, Profile von Entscheidern und anderen Zielpersonen automatisiert - mit Hilfe von Computerlinguistik - zu bilden: Dazu würden Blogs, Pressemitteilungen, Magazine und Zeitschriften, Unternehmensdatenbanken und soziale Netze durchforstet, um Details aus dem beruflichen wie privaten Leben der Betroffenen zu finden, die Zugang zu Kennungen, Passwörtern, Finanz- bzw. Systeminformationen und anderen sensiblen Unternehmensdaten verschaffen – weitere Informationen aus „intelligenten“ Telefonen, Autos, Gebäuden und Stromnetzen wären da sicher willkommen. Mit dererlei Informationen lassen sich nicht nur Rechtsgeschäfte aller Art im Namen und zu Lasten des Betroffenen ausführen, sondern die Person wäre vermutlich auch empfänglich für Manipulation, Bestechung oder Erpressung. Selbst der optimale „Angriffsvektor“ - also die Antwort auf die Frage wer, wann, wie elektronisch angreift oder auf welchen Mitarbeiter einwirkt - lässt sich mit all diesen Daten „berechnen“. So könnte der Mensch zur Bedrohung für seinen Arbeitgeber werden.

Hinzu kommt: Die Cyberkriminalität war bereits in der Vergangenheit extrem profitabel – und drohte dem Drogenhandel in Punkto Gewinne bereits 2005 den Rang abzulaufen. 2011 aber konnten die Russischen Kriminellen ihre Gewinne aus Datengeschäften gegenüber dem Vorjahr Kaspersky zu Folge nochmals verdoppeln.

Deshalb ist es wichtig, dass sich alle ihrer Verantwortung bewusst werden, die an der elektronischen Verarbeitung von Informationen aller Art beteiligt sind oder Einfluss darauf haben: Das sind neben den Entscheidern in Politik und Wirtschaft, diejenigen die Software entwickeln, implementieren oder nutzen, um Anlagen zu steuern oder personenbezogene Daten verarbeiten. Und das nicht nur in kleinen und mittelständischen Unternehmen. Das ganze System ist nur so sicher, wie das schwächste Glied in der Kette.

Security-Insider: Reicht der Einsatz gängiger Sicherheitssoftware wie Virenschutz und ggf. Verschlüsselung nicht aus, um den Anforderungen an die Sicherheit der Daten gerecht zu werden, braucht es da noch mehr Fachwissen?

Jakobs: Software stellt zunächst einmal nur ein technisches Hilfsmittel zur Verarbeitung von Informationen dar. Viel wichtiger als die Technik ist das Verständnis für die Fähigkeit der Angreifer, aus Informationen Geld zu machen und dafür die Leistungsfähigkeit der Technik höchst professionell einzusetzen: So wurde im Sommer bekannt, dass über 7000 Datensätze einer US-Amerikanischen Facharztpraxis verschlüsselt und der Arzt um ein Lösegeld erpresst wurde. Das bedeutet: Bereits verschlüsselte Daten könnten jederzeit nochmals verschlüsselt werden. Dazu könnte es ausreichen, einen „edlen“ USB-Speicher auf dem Parkplatz vor der Praxis zu „verlieren“. Wenn ein neugieriger Mitarbeiter den in den nächsten USB-Steckplatz schiebt, könnte ein geschickter Schädling eine böse Weihnachtsüberraschung entfalten – die Inhalte auf der Festplatte wären dann ohne Passwort schlicht nicht mehr verfügbar. Symantec zu Folge sind insbesondere Deutsche Anwender 2012 besonders bei Erpressern beliebt.

Die Technik allein hilft uns also nicht – die Menschen müssen von ihrem Nutzen überzeugt sein – ansonsten werden sie Mittel und Wege finden, die Sicherheitsvorkehrungen zu umgehen. Und sie müssen in der Lage sein, die Technik verantwortungsbewusst einzusetzen. Wenn sich diese Erkenntnis durchsetzt, werden die Menschen ihr Verhalten ändern – und zum Beispiel das Papier ihrer Patienten und Mandanten schreddern, bevor sie es entsorgen.

Und sie werden noch dazu darauf achten, dass die eingesetzten Geräte das Papier entsprechend der jeweiligen Sicherheitsstufen vernichten, weil Dienste wie unshred.com sogar geschreddertes Papier zu neuem Leben erwecken können.

Security-Insider: Wie verändert sich die Situation im ''papierlosen'' Büro?

Jakobs: Werden maschinenlesbare Daten verarbeitet, bleibt den Angreifern das mühsame Digitalisieren erspart; die Daten können sofort ausgewertet werden. Deshalb gewinnt die Frage der physikalischen Sicherung der Daten grade im Informationszeitalter erheblich an Bedeutung: Kürzlich wurde eine Sicherungskopie mit hunderttausenden Patientendatensätzen in Rastatt gestohlen. 2011 wurden Server samt den Daten von bis zu 120.000 Einwohnern des Landkreises Bad Hersfeld geklaut.

Die betroffenen Personen haben jetzt „lebenslänglich“ - sie müssen permanent mit Manipulation, Bestechung oder auch Erpressung von krimineller Seite rechnen. Das muss auch den jeweils ortsansässigen Arbeitgebern - wie zum Beispiel Amazon und Daimler - bewusst sein.

Das Gleiche gilt natürlich auch für elektronische Sicherungen: 250.000 Videokonferenz-Systeme weltweit sollen angeblich unsicher implementiert sein. Eine Anwaltskanzlei rollte dabei durch seine eigene unsichere Implementierung regelrecht einen „roten Teppich“ zu dem entsprechenden System der Investmentbank Goldman Sachs aus. Wir müssen also systematisch Aufbau- und Ablauforganisation eines jeden Unternehmens gezielt nach Schwachstellen absuchen, stopfen und anschließend in Bildung der Mitarbeiter und in Tresore, Fenster, Türen und Schlösser – und natürlich auch Verschlüsselung investieren.

Security-Insider: Mit Ihrem Projekt „Frei + Fit im Web 2.0“ wollen Sie Bewegung in die Thematik bringen, was genau haben Sie vor?

Jakobs: Ich möchte mit einem „Datenschutzmobil“ durchs Land fahren und den freien Berufen zwischen Kiel und Garmisch, Dresden und Aachen in 240 Vorträgen erklären, was sie besser tun oder lassen sollten, um die Sicherheit der Menschen und ihrer jeweiligen Arbeitgeber nicht zu gefährden.

Dabei sind mir Seriösität und Vertrauenswürdigkeit der Initiative besonders wichtig. Deshalb habe ich zunächst fünf Professoren, aus der Betriebswirtschaftslehre, der Informationstechnik, der Rechtswissenschaft und einen Experten für Cyberkriminalität als wissenschaftliche Beiräte gewonnen, bevor ich mit dem Projekt an die Öffentlichkeit gegangen bin.

Security-Insider: Anfang 2013 soll es als ersten Schritt des Projekts eine Veranstaltung in Berlin geben, was ist da genau geplant?

Jakobs: Herr Professor Hans-Peter Schwintowski von der Humboldt Universität in Berlin hat sich dankenswerterweise bereit erklärt, 200 Kammern und Verbände der Freien Berufe im Frühjahr 2013 zu einer Tagung in die Hauptstadt einzuladen. Die Organisationen sollen davon überzeugt werden, ihre Mitglieder zu den regionalen Vorträgen zu lotsen und die Teilnahme an den regionalen Veranstaltungen als berufsspezifische Weiterbildung anzuerkennen.

Security-Insider: Das Projekt „Frei + Fit im Web 2.0“ steht noch am Anfang, und Sie sind noch auf der Suche nach Sponsoren und Förderern. Wer sollte Ihrer Meinung nach eine Unterstützung des Projekts in Betracht ziehen?

Joachim Jakobs ist Journalist und Mitautor des Buchs "Vom Datum zum Dossier“. Als Initiator des Projekts "‘Frei + Fit im Web 2.0" will er 2013 mit einem "Datenschutzmobil" auf Deutschland-Tour gehen.
Joachim Jakobs ist Journalist und Mitautor des Buchs "Vom Datum zum Dossier“. Als Initiator des Projekts "‘Frei + Fit im Web 2.0" will er 2013 mit einem "Datenschutzmobil" auf Deutschland-Tour gehen.
(Bild: Jakobs)
Jakobs: Wir benötigen zunächst ein Fahrzeug von einem Autohersteller, dem wir ein Gesicht „überstreifen“ wollen, das aus lauter Hexadezimal-Code besteht. Dieses Fahrzeug soll als Symbol dafür dienen, dass sich „Frei + Fit im Web 2.0“ gegen den Zerfall des Menschen in seine maschinenlesbaren Daten wehrt. Außerdem benötigen wir eine Hotelkette, die über Seminarräume für bis zu 50 Personen verfügt und 15 Investoren, die jeweils 15.000 Euro beisteuern, damit wir die Personal- und Werbekosten finanzieren können.

Dafür bieten wir Visibilität in einem Markt, der im Verhältnis zu seiner Größe bislang praktisch völlig unbeackert ist: Die Investoren erscheinen mit ihrem Logo auf dem Datenschutzmobil – das allein ist schon sehr interessant, weil dieses Fahrzeug extrem medienwirksam ist und an allen Veranstaltungsorten erhebliches Interesse bei Unternehmen, der Politik, den Journalisten und den Menschen hervorrufen wird. Außerdem wollen wir eine Internetseite einrichten, auf der alle Beteiligten ihren eigenen Bereich nach Gutdünken pflegen können. Und schließlich kann jeder Investor seine Unternehmensbroschüre den Teilnehmerunterlagen beilegen.

Zu den Veranstaltungen erwarten wir insgesamt 12.000 Teilnehmer in 12 Monaten. Außerdem sind Abendveranstaltungen für die Öffentlichkeit vorgesehen. Es wird eine breite öffentliche Diskussion darüber geben, wer wessen Informationen speichern und verarbeiten darf, welche Haftung dabei übernommen wird und welche Rechtsfolgen entstehen, wenn der Datensammler seiner Verantwortung nicht gerecht wird. Die Journalisten haben ein riesiges Themenfeld das bislang weitgehend brachliegt. Datenschutz ist das Top-Thema in Politik, Wirtschaft und Gesellschaft des 21. Jahrhunderts.

Ich finde es prinzipiell für jedes Unternehmen interessanter in ein solches Zukunftsprojekt zu investieren anstatt in Golfturniere oder Segelregatten. Schließlich profitiert jeder Unternehmer selbst von der Sicherheit seiner Mitarbeiter, Geschäfts- und Gesprächspartner. Besonders eignet sich diese Investitionsmöglichkeit aber für die Unternehmen, die von dieser Transformation von „analog“ auf „digital“ am meisten profitieren werden: Das sind vor allem Deutschlandweit vertretene Unternehmen aus dem Sicherheitsbereich – Berater, Hersteller von Tresoren, Fenstern, Türen, Schlössern, Entwickler von Anti-Virensoftware, Aktenvernichter aber auch Finanzdienstleister mit Fokus auf Selbständige und angestellte „Wissensarbeiter“. Auch Hard- und Softwareunternehmen für die KMU und Büroausstatter sollten sich eine Beteiligung überlegen.

Jeder, der sich hier mit einer Investition engagiert, demonstriert gesellschaftspolitisches Verantwortungsbewusstsein. Das kann sich nur positiv auf die jeweilige Marke, den eigenen Ruf und letztlich Umsatz und Gewinn des Investors auswirken.

Artikelfiles und Artikellinks

(ID:37315820)