Wenn die Datenfalle auf der Lauer ist

IT-Experte Dennis-Kenji Kipker gibt Tipps zum Thema Cyber-Sicherheit

+
Der promovierte Jurist Dennis-Kenji Kipker forscht zum Thema Cyber-Sicherheit, berät die Bundesregierung und arbeitet mit dem FBI in den USA zusammen.

Der jüngste Datenskandal zeigt, dass IT-Sicherheit mehr als eine gesetzliche Vorgabe ist, sondern das Thema theoretisch jeden zu jederzeit betreffen kann.

Weyhe – Das Advents-Datenleck machte deutlich, dass es nicht nur um den Schutz von Einrichtungen wie den Bundestag geht, sondern auch um die Personen, die dort arbeiten. Privatpersonen und auch Firmen müssen sich fragen, was sie selbst tun können, um die Sicherheit ihrer Daten zu verbessern.

Der promovierte Jurist Dennis-Kenji Kipker kommt aus dem niedersächsischen Weyhe (Kreis Diepholz) und ist Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID). Er forscht zum Thema Cyber-Sicherheit und Recht und stellte sich den Fragen des Redakteurs Sigi Schritt (kreiszeitung.de*).

Wie verantwortungsvoll gehen Bürger, Firmen und Verwaltungen mit den Daten im digitalen Raum um?

Das lässt sich schwer generalisieren, in jedem Falle aber: Ungleich! Zu unterscheiden ist zwischen IT-Sicherheit und Datenschutz. Die Datenschutzanforderungen gelten in jedem Falle grundsätzlich für alle Unternehmen, die personenbezogene Daten in ihrem Geschäftsbetrieb verarbeiten, und davon gibt es einige. Und die sind dann auch verpflichtet, für eine sichere Datenhaltung zu sorgen.

Gibt es in den Branchen Unterschiede?

In bestimmten Branchen wie in kritischen Infrastrukturen wird qua Gesetz schon auf mehr IT-Sicherheit geachtet, zum Beispiel in Krankenhäusern, wohingegen es für viele und die meisten „normalen“ Betriebe keine expliziten IT-Sicherheitsanforderungen als solche gibt.

Was ist mit kleineren Betrieben?

Generell lässt sich sagen: Gerade kleine und mittelständische Unternehmen in IT-fernen Branchen haben oft keine angemessene IT-Sicherheit realisiert.

Und was gilt für Verwaltungen?

Dafür sollte eigentlich anderes gelten, aber auch hier zeigen IT-Sicherheits- und Datenschutzskandale bei unterschiedlichsten Einrichtungen immer wieder, dass es auch hier nicht klappt: zum Beispiel, wenn Festplatten mit sensiblen Daten "verschwinden“. Bürger benötigen eigentlich geringere Anforderungen an IT-Sicherheit, hier fehlt aber auch sehr oft ein grundlegendes Wissen über zentrale Zusammenhänge, was sicher auch daran liegt, dass man eben immer mehr Anwender und Konsument wird, ohne sich mit Software und Hardware richtig auseinanderzusetzen.

Wie wichtig ist die Aufklärung und wer sollte dazu beitragen?

Aufklärung ist extrem wichtig, und das sollte schon von Anfang an in den Schulen gemacht werden. Die 2000er-Generation sind zwar „Digital Natives“, aber gerade aufgrund dieses natürlichen Umgangs mit digitalen Medien fehlt es nicht selten an einer kritischen Auseinandersetzung mit dem Thema. Und dass man ein Gerät bedienen kann, bedeutet nicht zwangsläufig auch, dass man versteht, wie es funktioniert.

Kann jeder Internet-Nutzer zum Ziel krimineller Hacker werden?

Jeder kann theoretisch Ziel eines Angriffes werden. Und das in vielen Fällen sogar unbemerkt, denn selbst für Abgeordnete des Bundestages/Prominente hat es mehrere Wochen gedauert, wie der Fall vom Freitag gezeigt hat.

Was wird noch auf uns zukommen?

Wir gehen immer stärker in Richtung Cloud Computing. Und das meint nicht nur die Nutzung von Speicherplatz, sondern auch das Mieten von Software und Rechenkapazitäten. Wir werden bald schon gar keinen eigenen rechenstarken PC mehr benötigen, da uns die Rechenleistung über das Netz von überall auf der Welt zur Verfügung steht. Aber mit dem Komfort steigen eben auch die Risiken: Wenn man zum Beispiel ein unsicheres Masterpasswort für alle Cloud-Dienste verwendet, landet man ganz schnell in der Datenfalle.

Welches Ziel verfolgen die Kriminellen, wenn sie die Daten abschöpfen?

Das ist ganz unterschiedlich. Es lässt sich aber als Tendenz sagen: Je professioneller ein Angriff, je schwieriger ein Ziel zu erreichen ist, umso eher dürften es wirtschaftliche Interessen sein. Mittlerweile ist aber eben auch der digitale Aktionismus immer größer geworden. Fakt ist eben: Es wird vor nichts und niemandem zurückgescheut, egal ob Privatperson, kleines oder großes Unternehmen, oder Behörde.

Geht es immer um Daten?

Es kann auch Rechenleistung abgeschöpft werden, zum Beispiel für Bitcoin Miner auf Smartphones. Wem also öfters sein Telefon heiß läuft oder der Akku ungewöhnlich schnell schlappmacht, der sollte das mal checken lassen. Wie sollten sich Internet-Nutzer schützen?

Immer alle Sicherheitsupdates rasch nach Erscheinung installieren, da diese nicht selten bekannt gewordene Sicherheitslücken schließen. Nicht als Administrator im Internet surfen: Schadsoftware hat immer nur die Rechte, die das Benutzerkonto hat.

Welchen Tipp haben Sie, um die Basissicherheit zu gewährleistet?

Ein Virenschutzprogramm installieren, und es täglich updaten, eigentlich sogar im Mehrstundenrhythmus. Firewall: Sollte ebenso installiert sein. Hier aber nicht nur blind installieren und dann vergessen, sondern richtig konfigurieren, ansonsten ist das Tool wertlos. Überprüfen, welches Programm und welcher Dienst welche Verbindungen aufbauen dürfen. Keine alten Internetbrowser verwenden, sondern nur solche mit „Sandboxing“-Technologie. Es gibt darüber hinaus auch Browser, die eine virtuelle Maschine simulieren, sodass nur dieses virtuelle System (das wertlos ist) infiltriert werden kann.

Außerdem?

Nicht jedwede App installieren, nur weil sie cool oder umsonst ist: Alles hat seinen Preis, und hinter mancher App steckt mehr, als sie vorzugeben scheint. Nicht gedankenlos in öffentlichen Netzwerken surfen.

Was müssen Firmen tun, damit ihre Daten im Internet und die elektronische Kommunikation sicher sind?

Firmen mit entsprechenden Ressourcen sollten ein IT-Sicherheitsmanagement (ISMS) implementieren. Dabei handelt es sich um einen systematischen und koordinierten Informationssicherheitszyklus, der im Sinne eines Plan-Do-Check-Act ein umfassendes IT-Sicherheitskonzept umsetzt und letztlich ein IT-bezogenes Qualitätsmanagement darstellt. So etwas aufzubauen kostet aber Zeit und Geld, gerade kleine und mittelständige Unternehmen haben nicht immer die Ressourcen dafür. Für diese Fälle gilt Awareness/Sensibilisierung der Mitarbeiter zum Beispiel durch regelmäßige Schulungen, und auch Penetration-Tests, also IT-Sicherheitsüberprüfungen.

Welchen Tipp haben Sie für Geschäftsreisende?

Sie sollten immer auf verschlüsselte Verbindungen zurückgreifen und nicht das kostenlose und freie Hotelnetz verwenden.

Wie sollten Passwörter beschaffen sein?

Sie sollten nicht aus realen Worten bestehen, sondern mindestens aus acht Zeichen, bestehend aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Passwörter sollten regelmäßig geändert werden. Für besonders sensible Bereiche mindestens 20 Stellen verwenden.

Wie kann man sich diese Passwörter merken?

Entweder: Offline auf einem Zettel aufschreiben, diesen wegschließen und mittels einer Zuordnungsliste Passwort und Dienst, für den es genutzt wird, über ein Pseudonym getrennt halten, sodass man allein mit der Passwortliste nichts anfangen kann. Viele Dienste verlangen Passwörter.

Wie behält man den Überblick, wenn man für jeden Dienst ein eigenes Passwort vergibt?

Möglich sind Passwortsafes. Es gibt verschiedene Angebote, nicht alle sind aber gut. Nicht den Passwortsafe im Webbrowser nutzen! Viele Internet-Nutzer benutzen Facebook. Sind die Gespräche sicher?

Oder sollte eine zusätzliche Verschlüsselung aktiviert werden?

Bei Facebook sind die Gespräche nicht sicher, vertrauliche Daten sollten hier keinesfalls ausgetauscht werden.

Was ist mit WhatsApp?

Da gilt das Gleiche: Die Verschlüsselung ist immer nur so gut, wie die Zahl der Personen, die Zugriff auf den Schlüssel haben, und das ist hier ebenfalls Facebook, so gesehen bringt die Verschlüsselung, mit der geworben wird, nichts, zudem werden die Daten in die USA übermittelt, sodass der Zugriff von US-Behörden nicht ausgeschlossen werden kann. Sichere Messeneger verwenden, zum Beispiel Telegram (ist kostenfrei).

Welche Dienste sollte man meiden, welchen den Vorzug geben?

Man sollte auf seinem Handy keine kuriosen Apps installieren, also solche Apps, die nicht im App Store sind (hier wird aber nur die Funktionalität, nicht aber die Sicherheit geprüft). Augenscheinlich kostenlose Angebote, die eigentlich nicht kostenlos sein können, sollte man ebenfalls nicht installieren. Achtung vor Apps mit „sinnlosen Inhalten“: Salzstreuer-App, Taschenlampen-App. Hier werden personenbezogene Daten abgegriffen, zum Beispiel aus dem Adressbuch oder aus der Bildergalerie des Smartphones. Bei Apps, die im Klartext kommunizieren, sollte man keine Kreditkarteninfos ablegen, zum Beispiel bei der Bahn-App.

Muss derjenige etwas beachten, der zum Beispiel seinen Computer oder sein Handy mit einem offenen W-LAN-Netzwerk eines Cafés oder Restaurants koppelt?

Ja! Keine sensiblen Daten im offenen Netzwerk kommunizieren, sondern nur über einen VPN-Zugang. Beim normalen Surfen in freien W-LANS kann man davon ausgehen, dass jemand mitliest und die Seiten, die man besucht hat, gespeichert werden. Über die sogenannte MAC-Adresse lassen sich zudem Bewegungsprofile erstellen. Auch ein Fallbeispiel: Ein Arzt im Krankenhaus ist im offenen W-LAN am Flughafen unterwegs, seine MAC-Adresse wird erfasst, mit der er sich auch im Krankenhaus anmeldet. Wenn der Angreifer die Identität des Arztes hat, kann er die MAC-Adresse simulieren und so zum Beispiel die erste Sicherheitsstufe im Krankenhaus überwinden.

Können E-Mail-Inhalte im Café oder im Flughafen mitgelesen werden?

Ja, wenn diese unverschlüsselt versandt werden.

Wie kann ich zum Beispiel beim Online-Banking herausfinden, ob ich auf der richtigen Seite gelandet bin und nicht eine Fake-Webseite vor mir habe?

Ganz wichtig: Um Phishing abzuwehren, sollte niemand Bankingseiten von E-Mail-Links abrufen. Auf die Signatur (Schloss/grüner Balken) im Browser achten, aber das allein reicht nicht aus: Signatur nicht von links nach rechts, sondern von rechts nach links lesen, am Ende der Signatur, was beim Browser wegen des zu kleinen Fensters nicht angezeigt wird, könnte dann eine Endung stehen, die gar nichts mit der Bank zu tun hat.

Gibt es reale Bedrohungen?

DNS Spoofing ist eine reale Bedrohung. Hier wird der Webverkehr mit einer scheinbar korrekten Seite zum Computer des Angreifers umgeleitet, ohne dass man es merkt, indem man trotz richtiger Adresse zum Beispiel auf eine Fake-Banking Seite gelenkt wird. Daher immer prüfen, ob einem die Bankseite irgendwie komisch vorkommt. Im Zweifelsfall mit der richtigen Bankseite vergleichen (zum Beispiel auf Rechtschreibfehler prüfen). Die Signatur schützt zudem nicht vor einer „man in the Middle-Attack“, das bedeutet wenn Daten während des Kommunikationsvorganges abgegriffen werden.

Der Hacker-Angriff von 2015 auf den Bundestag ist noch in bleibender Erinnerung - Wie gut ist die Cyber-Sicherheit in Deutschland?

Gesetzlich grundsätzlich gut, zumindest für Kritische Infrastrukturen, zudem haben wir eine umfassende Behördenstruktur und gute Kommunikationskanäle, auch zwischen Staat und Wirtschaft, die seit der Gründung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) seit 1991 stetig verbessert werden. Leider ist der Bundestag aber keine kritische Infrastruktur qua Gesetz, die Frage ist deshalb, ob dies im Rahmen der in diesem Jahr anstehenden Novelle des IT-Sicherheitsgesetzes hin zum IT-SiG 2.0 geändert werden sollte.

Wird der Staat in der Lage sein, jeden PC zu schützen?

Generell wird man sagen können, dass der Staat nicht in der Lage sein wird, den PC eines jeden Bürgers und jedes Smartphone effektiv zu schützen. Die Bundesregierung hat 2005 erstmals einen nationalen Plan (NPSI) zum Schutz der Informationsinfrastrukturen verabschiedet, die weiterentwickelt wurden.

Reichen die rechtlichen Vorgaben aus oder sollte die Politik nachlegen?

Der NPSI wurde durch die Cyber-Sicherheitsstrategien von 2011 und 2016 abgelöst, und wir sind grundsätzlich gut aufgestellt. Im Rahmen der Novellierung des IT-Sicherheitsgesetzes sollte aber darüber nachgedacht werden, auch Staat und Verwaltung den durch das Gesetz zu schützenden Kritischen Infrastrukturen hinzuzufügen. Sie treten ein für ein Zeitalter der digitalen Mündigkeit.

Was meinen Sie damit?

Jeder ist für seine eigenen Daten selbst verantwortlich und muss lernen, damit umzugehen. Am jüngsten Datenskandal wird dies wieder deutlich, indem mit einem Anspruchsdenken gefordert wird, dass gehandelt werden müsse und restlose Aufklärung verlangt wird. Damit ist es aber nicht getan, denn es wird derlei Angriffe immer wieder geben. Wenn wir im digitalen Raum handeln, müssen wir auch wissen, dass wir – wie überall anders – selbst für uns verantwortlich sind.

Viele Menschen behaupten, sie hätten nichts zu verbergen. Wie bewerten Sie das?

Dieses Zitat taucht häufig im Zusammenhang mit der Strafverfolgung im digitalen Raum auf. Vielleicht mag das so gesehen auch stimmen. Jeder hat aber seine privaten Geheimnisse oder Dinge, die nicht an die Öffentlichkeit gelangen sollten, denn wenn dem nicht so wäre, könnten wir auch gleich alles öffentlich zugänglich speichern. So gesehen ist diese Aussage deshalb zu relativieren, denn niemand will, dass private Fotos von den Kindern oder der Familie vom Strandurlaub ohne seine Zustimmung im Netz auftauchen.

Sigi Schritt

Zurück zur Übersicht: Deutschland

Das könnte Sie auch interessieren

Auch interessant

Kommentare

Live: Top-Artikel unserer Leser

MEHR AUS DEM RESSORT