Rheinische Post Duesseldorf Meerbusch
„Politiker sollten IT-Schulungen absolvieren“
Der Bitkom-Sicherheitsexperte über fahrlässige Internetnutzer und die Verantwortung des Staates, mehr Schutz zu bieten.
BERLIN Seit Bekanntwerden des Datenskandals am Freitag gehend laufend Anfragen beim IT-Branchenverband Bitkom ein. Nicht nur von Journalisten, auch Unternehmen sind verunsichert. Was bedeutet der großangelegte Datenklau für die eigene Sicherheit? Was ist bekannt und was kann nun getan werden, um den Schutz zu erhöhen? Beim Bitkom ist Nabil Alsabah zuständig für den Fachbereich IT-Sicherheit. Wir erreichen ihn am Telefon.
Herr Alsabah, welche Erkenntnisse haben Sie darüber, wie es zum Abgreifen der Daten kam?
ALSABAH Nach dem aktuellen Informationsstand wurden die Daten über angegriffene Konten bei unterschiedlichen Online-Diensten abgegriffen. Das Regierungsnetz war offenbar nicht betroffen. Mutmaßlich waren die kompromittierten Konten nur unzureichend gesichert.
Wie kann es sein, dass das so lange niemandem aufgefallen ist?
ALSABAH Auch wenn die Daten über weithin bekannte Plattformen wie Twitter verbreitet wurden, wurde ihnen nach derzeitigem Erkenntnisstand zunächst nur wenig Aufmerksamkeit geschenkt. Erst nachdem die Daten über das gekaperte Twitter-Konto eines bekannten Youtubers geteilt wurden, ist die Öffentlichkeit aufmerksam geworden. Bei der Datenflut, die allein jeden Tag bei dem Kurznachrichtendienst erzeugt wird, ist eine umfängliche Kontrolle nicht möglich.
In welcher Rolle sehen Sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) dabei?
ALSABAH Das BSI hat die Hauptaufgabe, die IT-Sicherheit auf Bundesebene sicherzustellen. Der Angriff auf den Bundestag durch ausländische Hacker im Jahr 2015 fiel exakt in den Zuständigkeitsbereich der Behörde. Darüber hinaus ist sie nur beratend tätig. Sie steht anderen Einrichtungen mit Sachverstand zur Verfügung, übernimmt aber keine Strafverfolgung. Das ist Sache des Bundeskriminalamtes und der Landeskriminalämter.
Die Bundesregierung hat in ihrem Koalitionsvertrag beschlossen, dass der Verbraucherschutz als zusätzliche Aufgabe des BSI etabliert werden soll. Hätte es deshalb anders reagieren sollen?
ALSABAH Das BSI soll Verbraucher künftig in der Risikobewertung von Technologien, Produkten, Dienstleistungen und Medienangeboten unterstützen und damit auch die gesellschaftliche Widerstandsfähigkeit gegen Cybergefahren erhöhen. Privatkonten zu schützen, gehört jedoch nicht zu seinen Aufgaben. Mein Eindruck ist aber, dass noch nicht ganz klar ist, wie diese Unterstützung künftig aussehen soll. Der Informationsbedarf ist aber vorhanden.
Wie kann also der Staat seine Bürger im Netz besser schützen?
ALSABAH Zunächst ist Datensicherheit eine Sache der Anwender selbst. Jeder, der online unterwegs ist, muss seine Daten mit geeigneten Passwörtern und anderen Maßnahmen schützen. Auch um andere zu schützen. Schließlich kann der eigene Account ja auch gehackt werden, um auf Daten anderer Personen zuzugreifen.
Sie sehen also keine Verantwortung beim Staat?
ALSABAH Doch! Zum Beispiel sollten alle Mitglieder der Bundesregierung, Abgeordnete und deren Mitarbeiter, IT-Sicherheitsschulungen absolvieren. Da gibt es bereits viele Angebote, am Ende steht eine Prüfung. Das ist in vielen Unternehmen schon Standard. Es kann ja nicht sein, dass Politiker sich in einem sicheren Netz bewegen, vielleicht sogar über ein Hochsicherheitshandy verfügen, dann aber fahrlässig mit den eigenen Kontodaten umgehen.
Sehen Sie den Bedarf für Gesetzesänderungen?
ALSABAH Die Politik ist gefordert, den Rechtsrahmen so zu optimieren, dass insbesondere der Einsatz von Ende-zu-Ende-Verschlüsselung möglich bleibt. Außerdem sollte sie 1 2 3 Phishing Hackerangriff Social Engineering 49 Prozent der Internetnutzer in Deutschland waren bereits Opfer von Cybercrime.
Welchen digitalen Angriff haben Sie in den vergangenen zwölf Monaten erlebt? (Anteil der Betroffenen an allen
Infizierung des Computers mit Schadprogramm, z.B. Viren
Diebstahl von Zugangsdaten zu Online-Shops u.ä.
Missbrauch der persönlichen Daten
Betrug beim Online-Shopping, Online-Banking
massive Beleidigungen sexuelle Belästigung die Behörden anweisen, bekannte Sicherheitslücken immer umgehend an die betroffenen Unternehmen zu melden anstatt sie offen zu halten, um sie selbst als Hintertüren nutzen zu können.
Was halten Sie von einer Pflicht zur Verwendung einer Zwei-Wege-Authentifizierung?
ALSABAH Eine Zwei-Faktor-Authentifizierung erhöht die Sicherheit enorm. Eine Verpflichtung dazu sehe ich aber kritisch. Das sollten die Unternehmen freiwillig anbieten können. Eine Pflicht würde bedeuten, dass der Staat den Menschen vorschreibt, bei Onlinediensten nicht nur die E-Mail-Adresse und ein Passwort zu hinterlegen, sondern auch die Handynummer. Das dürfte auch bei vielen Nutzern auf Unmut stoßen.
Wie Daten ins Netz gelangen
Kriminalität im Netz
5 8 19 18 16
43 % Haben Sie den Angriff gemeldet?
Anzeige bei Polizei bzw. Staatsanwaltschaft
Meldung bei Plattformbetreiber
Meldung bei Beratungsstellen, z.B. Verbraucherzentralen
Meldung bei Behörden, z.B. Bundesamt für Sicherheit in der Informationstechnik (BSI)
Braucht es bei den Behörden des Bundes und der Länder eine Neuaufstellung, was die Strafverfolgung im Netz angeht?
ALSABAH Das Bundesamt für IT-Sicherheit, das BKA und die Geheimdienste verfügen über viel Expertise. Aber bei den Landeskriminalämtern variiert das teils sehr stark. Manche haben Schwierigkeiten, IT-Sicherheitsexperten für sich gewinnen zu können oder geben in dem Bereich zu wenig Geld aus. Wer Experte für digitale Sicherheit ist, kann sich heutzutage seinen Arbeitgeber aussuchen. Das meiste Geld wird in der Wirtschaft gezahlt. Da muss der Staat attraktiver werden. Denn mit einer immer stärkeren Vernetzung steigt die Bedrohung von Cyberangriffen.
JAN DREBES FÜHRTE DAS INTERVIEW. NEIN 5 16 11 18 JA 65 %