Herr Sommer, was halten Sie von der jüngsten Drohung durch Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), künftig die Telekommunikationsgesellschaften in die Pflicht zu nehmen, um Server zu ermitteln, über die Hacker ihre Attacken fahren?
ANTONIUS SOMMER: Das ist völlig in Ordnung. Die Drohung richtet sich ja nicht gegen die TK-Unternehmen, sondern gegen die Angreifer. Gegenmaßnahmen sind dringend notwendig. Außerdem müssen es Telekommunikationsgesellschaften schon heute melden, wenn ihnen illegale Nutzer auffallen.
Nationale Spielregeln nutzen nichts, wenn der Kampf gegen Angriffe nicht international organisiert ist. Reicht die Kooperation zwischen allen Ländern aus?
SOMMER: Diese Zusammenarbeit ist schon sehr weit gediehen – insbesondere für Produkte mit Sicherheitsfunktionalitäten. Daran arbeiten schon 26 Nationen aktiv miteinander. Darüber hinaus bietet der deutsche Rechtsrahmen in punkto IT-Sicherheit und Datenschutz schon einen recht guten Schutz für den heimischen PC. Auch die entsprechende EU-Direktive zum Datenschutz reicht weit. IT-Sicherheit macht nicht vor Grenzen halt. Nur können die Gesetze kaum so schnell folgen wie Angreifer unterwegs sind. Konkrete Kooperationen ergeben sich auf überstaatlicher Ebene durch sogenannte Emergency-Response-Teams, die sich aus Fachleuten der nationalen Abwehrzentren, Großunternehmen und Organisationen (First) zusammensetzen. Angriffe aus China, Russland und anderen Ländern betreffen schließlich viele Länder weltweit.
Ist Deutschland von Angriffen besonders betroffen?
SOMMER: Nein, das betrifft weltweit die meisten Nationen. Die Staaten selbst haben dabei eine besondere Verantwortung, denn sie müssen wichtige Infrastrukturen schützen, deren Fremdsteuerung kritisch bis fatal wäre, wenn wir an die Energie- und Wasserversorgung denken. Hacker probieren immer wieder neue Angriffstaktiken aus, gegen die auch Firmen noch nicht gewappnet sind. Drive-by-Attacken zählen zu den wirkungsvollsten Waffen im Arsenal der Cyberkriminellen. Darüber hinaus werden Internetnutzer auf eine Website gelotst, auf der die Angreifer ihre Malware platziert haben, die Sicherheitslücken im Browser oder Betriebssystem der Besucher ausnutzt, um ihre Rechner zu kapern. Mitunter verstecken sich die schadhaften Codes hinter einem Werbebanner, das einmal angeklickt die Attacke auf den Rechner auslöst. Diese Angriffe sind extrem gefährlich und verbreitet. Selbst auf der Handelsblatt-Website war schon so ein Werbebanner platziert, ohne dass es Ihrem Verlagshaus bewusst war. Die professionelle Hacker-Szene entwickelt sehr schnell, die Gegenwehr ist immer ein Wettlauf mit der Zeit.
Welche Empfehlung geben Sie Unternehmen im Falle eines Hacker-Angriffs hinsichtlich frühzeitiger Kundeninformation?
SOMMER: Kunden sind generell umgehend zu informieren. Diese Verpflichtung ergibt sich auch aus den Datenschutzbestimmungen. Betroffene, Behörden und die Öffentlichkeit – Schnelligkeit ist besser, als wenn die Probleme nach und nach durchsickern. Ob das in der Praxis immer gleich passiert, muss man in Frage stellen.
Umgekehrt gilt die leichtfertige Vergabe von Passwörtern durch Kunden als weiteres Risiko. Aufwendige Prozesse sind hier kaum praktikabel. Was sollten Unternehmen hier beherzigen?
SOMMER: Das BSI gibt hierzu Empfehlungen. Grundsätzlich gilt: Auf Geburtsdaten und Vornamen sollte man verzichten. Eine Verfremdung mit Sonderzeichen ist ratsam. Eselsbrücken helfen, die Passwortwahl praktikabel zu handhaben. Unternehmen können hier Komplexitätsvorgaben machen, um das Hacken zu erschweren.
Welche Schäden kann die Manipulation in F&E-Abteilungen anrichten? Und was raten Sie dort, wo Dritte als Partner eingebunden sind?
SOMMER: Wenn Informationen darüber in die falschen Hände gelangen und es sich um ein zentrales Produkt handelt, kann die Existenz dramatisch gefährdet sein. Nehmen wir beispielsweise einen Hersteller, der einen neuen Sicherheits-Chip für den weltweiten Markt entwickelt, was mehrere Jahre dauert. Deshalb ist F&E-Wissen ja streng geheim. Leider ist es bei Mittelständlern nicht so gut geschützt. Mitunter merken sie gar nicht, dass sie ausspioniert werden. Von Partnern würde ich den gleichen Standard in IT-Sicherheit verlangen, den ich selbst erfülle. Insbesondere in der Kommunikation untereinander müssen gleiche Schutzmaßnahmen auf beiden Seiten beherzigt werden.
Die Branchenverbände für Film, Musik und Buch beklagten soeben die vielen illegalen Downloads. Sind solche Produkte technisch nicht zu schützen?
SOMMER: Doch, sicher. Zum Beispiel mit Signaturen, die stets das Original ausweisen. Die Industrie setzt sie nur nicht ein, weil die Technologie zu teuer ist. Zudem ist es eine rein deutsche Lösung, die Musik- und Filmindustrie ist aber weltweit unterwegs. Global gibt es noch keine Einigung über Signaturen. So wäre es leicht zu prüfen, ob ein Film ein Original ist und ob der Nutzer das Recht zum Abspielen hat. Das würde illegale Downloads unterbinden.
Ist vom TÜV zertifizierte Software nur auf Funktionalität geprüft oder auch auf ausreichenden Schutz? Denken wir nur an Weiterentwicklungen neuer Versionen.
SOMMER: Auch zertifizierte Software kann Schäden nicht ausschließen. Eine Garantie „100 Prozent Viren-frei“ gibt es nicht. Das ist die schlechte Nachricht. Die gute lautet: Als TÜV prüfen wir, was Hersteller entwickeln auf Sicherheitshärte. Zusätzliche Angriffe legen die Hürde relativ hoch, zumal das BSI im Vier-Augen-System uns als TÜV überwacht.
Banken berichten, gegen die starken Vorbehalte beim Onlinebanking helfe nur ein reines Offlinekonto. Wäre diese Flucht zurück der richtige Schritt?
SOMMER: Nein, denn der Zug geht klar Richtung mobile Payment. Das Handy wird unser neues Portemonnaie. Dafür gibt es derzeit viele Entwicklungen, die die gleiche Sicherheit bieten wie für etablierte Zahlungssysteme, wie etwa der Kreditkarte oder Maestro Karte mit Chip. Das kann eine Chipkarte fürs Handy sein, eine moderne Sim-Karte oder eine sichere SD-Karte.
Magnetstreifen von Kreditkarten sind leicht zu kopieren. Wie ist diesen Attacken beizukommen?
SOMMER: Bei den alten Magnetkarten kaum, denn zum Kopieren reicht schon ein Equipment für zehn Euro. Doch sie sind bald außer Verkehr. Für die neuen Chipkarten werden zusätzlich Unterschrift oder PIN für mehr Sicherheit sorgen. Angriffe laufen da anders ab, etwa indem Minikameras die Eingabe der PIN aufnehmen, was man als Normalbürger nicht mitbekommt, weil die Kameras mittlerweile winzig sind. Deshalb reifen bei den Banken zunehmend Überlegungen, biometrische Merkmale wie einen Fingerabdruck zu hinterlegen. Das würde die Sicherheit deutlich erhöhen. Der Nachteil: Wir müssten unser biometrisches Merkmal der Bank überlassen.
Der Onlinehandel erfährt gerade einen neuen Schub. Was müssen Amazon, Ebay und Co. sicherstellen?
SOMMER: Der gesamte Onlinehandel könnte stark vom neuen Personalausweis profitieren, der im Jahr 2010 eingeführt wurde und den jeder Deutsche wohl auch in naher Zukunft besitzen wird. Nur geht der Handel noch nicht auf die neuen Möglichkeiten ein. Dieser Personalausweis hat quasi einen Zusatznutzen für die private Anwendung: Über den sogenannten eID-Service nutzt man die Online-Ausweisfunktion und entscheidet sich damit für mehr Datenschutz und Datensicherheit bei Transaktionen im Internet. Die gegenseitige Authentifizierung wird das Vertrauen in den Onlinehandel sehr erhöhen. Die Infrastrukturen dafür sind schon geschaffen.
Hat sich bei Verbrauchern denn durch die zuletzt bekannt gewordenen Fälle eher ein Vertrauensverlust oder gar eine Kaufzurückhaltung eingestellt?
SOMMER: Nein, die aktuellen Zahlen belegen, dass die Umsätze im E-Commerce stark steigen. Allerdings legen viele Verbraucher beim Onlineshopping zwar Produkte in den Warenkorb, verlassen dann aber dennoch den Shop. Das zeigt: Die Vertrauensfrage ist noch nicht abschließend beantwortet. Dafür haben sich die letzten Missbrauchsfälle zu sehr herumgesprochen. Andererseits ist IT in Privathaushalten immer verbreiteter, da die Vorteile des Onlineshoppings immer mehr überwiegen.
Rechnen Sie wegen der unbeantworteten Vertrauensfrage womöglich auch mit weiteren negativen Folgen für die Online-Welt, etwa in der Bereitschaft, an Umfragen und Marktforschung teilzunehmen oder auf Werbung einzugehen?
SOMMER: Zumindest wächst die Skepsis gegenüber Online-Marktforschung und -Werbung. Über ausgewählte Systeme und eine ausgeklügelte Technik werden mittlerweile die Interessen im Internet so treffend analysiert, dass Verbraucher plötzlich mit gezielter Werbung behelligt werden. Dieses Wissen, auf welche Produkte man Portal-übergreifend klickt, kommt mitunter befremdlich zustande. Es ist zum Teil erschreckend, welche Daten gesammelt und wozu sie genutzt werden, ohne den Verbraucher in irgendeiner Form darüber vorher zu informieren. Gleichwohl bleibt es bei der Bereitschaft, im Internet zu kaufen. Ich rechne sogar mit einem weiteren Schub dadurch, dass Entertainmentpakete im Internet zunehmen wie bei der Telekom, die für die Vernetzung der Freizeitangebote sorgen.
Beobachten Sie, dass Unternehmen schon mit ihrem Sicherheitsstandard als Alleinstellungsmerkmal werben?
SOMMER: Banken tun das sicherlich, denn hier ist Vertrauen ein entscheidendes Kriterium. Auch die IT-Industrie setzt auf geprüfte, zertifizierte Produkte. Die Automobilindustrie erschließt sich gerade das Thema, denn über Schnittstellen wie Bluetooth oder Wireless Lan im Fahrzeug ist ein Angriff auf das Multimedia-System und damit auf den zentralen Bus und das Steuergerät möglich. Auch die Handelskonzerne sind nach dem Rewe-Fall aufmerksam geworden, ebenso wie die Versorger nach den Stuxnet-Angriffen auf Anlagen. Und Telekommunikationsunternehmen wie die Telekom oder 1&1 werben schon sehr aktiv mit ihrem Sicherheitsstandard.
Wie schätzen Sie ein, dass sich Schadenfreude in der Öffentlichkeit breit macht, wenn etwa illegal kopierte Steuersünder-Daten gegen Bezahlung an Behörden verkauft werden. Heiligt der Zweck hier die Mittel?
SOMMER: Nein, Datendiebstahl bleibt für mich ein krimineller Akt und muss sanktioniert werden. Da heiligt der Zweck die Mittel nicht. Wenn ein Staat seine Steuersünder überführen will, muss er mit den Steuerfluchtländern zusammenarbeiten. Eine Legitimation von Datendiebstahl halte ich für gefährlich.
Ähnlich schien die öffentliche Meinung gelagert, als Wikileaks mehrfach Geheimdokumente veröffentlichte. Ist das der Preis des weltweit offen zugänglichen Internets? Oder überwiegt für Sie das Interesse an der oft zitierten Staatssicherheit?
SOMMER: Die meisten haben sich die Hände gerieben, weil sie bestätigt sahen, was viele schon vorher zu wissen glaubten. Und natürlich ist es schlechter Stil, wenn die USA ihre Partner auf die offengelegte Weise kritisch beurteilt. Das ändert aber nichts an der Tatsache, dass Insider für Wikileaks illegal an Verschlusssachen gelangt sind. Sowohl ein Rechtsstaat als auch Unternehmen brauchen aber diese Verschlusssachen. Auf der anderen Seite muss das Internet grundsätzlich offen sein. Ich bin gegen eine Regulierung. Diese Transparenz und Offenheit hilft übrigens auch in punkto IT-Sicherheit. Kryptoverfahren kann man schließlich nicht besser auf Herz und Nieren prüfen, als dadurch, dass man sie zunächst im Internet zum Hacken freigibt. Im stillen Kämmerlein ist Sicherheit eben kaum verlässlich zu testen.
Weitere Aspekte zum Schutz der Datensicherheit, die Antonius Sommer im Exklusiv-Interview erläutert, lesen Sie in der absatzwirtschaft-Ausgabe 10/2011, die morgen erscheint.