Wenn die Hausschließanlage zur Gefahr wird
Ein Cybercrime-Spezialist der Polizei erklärt, wo es Sicherheitslücken gibt und wie man sie schließt. Schon jede Suche mit Google gibt Informationen über Internet-Nutzer weiter, die immer gläserner werden
Vom klassischen PC über Notebooks bis hin zu Smartphones: Die jüngste Sicherheitslücke in Computer-Prozessoren ist eine der weitreichendsten, die bisher bekannt wurden. Milliarden Geräte dürften betroffen sein. Im schlimmsten Fall ist praktisch jedes Gerät anfällig für Angriffe. Mit den Folgen, sofern sie strafrelevant sind, beschäftigen sich die Spezialisten der Polizei. Kriminaloberkommissar Thomas Effinger gehört zu ihnen: Er ermittelt im Kommissariat 11 des Präsidiums Schwaben Nord, das sich mit „Cybercrime“befasst.
Hacker finden immer neue Lücken, durch die sie in fremde Systeme eindringen können. Gibt es überhaupt eine absolute Sicherheit, oder ist nicht jedes digitale System verletzbar?
Effinger: Eine hundertprozentige Sicherheit wird es nie geben. Das trifft aber auch auf ziemlich alle Umstände im Leben zu. Verletzbar ist in meinen Augen jedes System. Es ist nur die Frage, wie schwer es ist, diese Verletzbarkeit auszunutzen.
Wie lässt sich mehr Sicherheit erzielen?
Effinger: Mit mehr Aufwand. Das ist aber auch der Grund dafür, warum es Tätern oft sehr leicht gemacht wird, Angriffe zu fahren und Straftaten zu begehen. Ein Unternehmen wird kein gesteigertes Interesse daran haben, Kunden zu verlieren, weil diese den zusätzlichen Aufwand für Sicherheit scheuen. Solange hier der Gewinn über dem dadurch entstehenden Schaden liegt, wird vermutlich wenig Umdenken passieren.
Hätten Sie ein Beispiel?
Unternehmen A setzt auf eine Verifizierung mittels SMSTAN, über die Kunde B Aufträge verifizieren kann. Eine gute Sache. Denn nur wenn die Zugangsdaten zum Account und auch das verwendete Mobiltelefon verfügbar sind, kann der Auftrag durchgeführt werden. Der Täter gelangt nun allerdings – zum Beispiel über eine Phishing-Webseite – an die Zugangsdaten des Kunden B. Über das Kundenportal des Unternehmens A kann der Täter nun ohne Weiteres die für die SMS-TAN verwendete Telefonnummer auf seine eigene Nummer ändern, ohne dass eine Verifizierung über die alte Nummer erfolgen muss. Kunde B ist nicht mehr Herr über seinen Account, und der Täter kann mit seiner Tä- ternummer Aufträge im Namen des Kunden B verifizieren. Er hat ja die Zugangskennung von Kunde B und kann nun auch die SMS-TAN empfangen.
Wie reagiert das Unternehmen auf die offensichtliche Sicherheitslücke?
Effinger: Laut Unternehmen A ist eine Zwei-Faktor-Verifizierung bei einem Nummernwechsel dem Kunden nicht zuzumuten. Er könnte das Telefon verloren haben und damit eine solche SMS-TAN auch gar nicht mehr empfangen. Und das Warten auf zum Beispiel eine postalische Verifizierung an die Anschrift von Kunden B wäre zeitlich für ihn nicht akzeptabel.
Um Zeit und Effizienz geht es auch bei Geräten, die über das IP-Netz verbunden sind, zum Beispiel Sportarmbänder oder smarte Hausgeräte. Thema „Internet der Dinge“: Wo besteht aus Ihrer Sicht die Gefahr?
Sie drängen immer mehr in unser Leben und unsere Haushalte. Oft wird nur auf die Funktionalität und nicht die Sicherheit geachtet. Dem Endnutzer ist das – vielleicht auch aus Unwissenheit über die damit einhergehenden Gefahren – nicht bewusst. Eine Webcam ist schön, wenn sie funktioniert und ihre Bilder von überall auf der Welt von mir abgerufen werden können. Wenn diese aber nur schlecht oder gar nicht geschützt ist, greift unter Umständen auch ein Dritter auf sie zu. Ein anderes Beispiel: Eine vernetzte Hausschließanlage kann ein gefundenes Fressen für jeden Einbrecher werden, wenn dieser Zugriff auf das System nehmen kann.
Wo liegt das Problem?
Effinger: Sicherheits-Updates werden bei den „Internet der Dinge“-Geräten selten oder gar nicht ausgeliefert, so können auch erkannte Sicherheitslücken nicht geschlossen werden. Natürlich gibt es auch positive Beispiele. Aber jedes Gerät ist konkret gesehen ein eigener Rechner, der eigentlich den gleichen Sicherheitsvorkehrungen wie ein PC, Laptop oder Smartphone unterliegen sollte. Und am Ende sitzt vor dem heimischen Endgerät auch immer noch der Nutzer, der sich darüber bewusst sein muss, dass gewisse Sicherheitsregeln eingehalten werden sollten. Das beste Türschloss nutzt nichts, wenn ich die Türe offen stehen lasse.
Im jüngsten Saarbrücken-„Tatort“ging es unter anderem um die Frage, wie gläsern wir alle sind. Angeblich sollen schon einige Facebook-Likes genügen, um sich ein Bild vom Charakter oder den Vorzügen eines Menschen machen zu können. Stimmt das?
Davon abgesehen, dass man sich vor den technischen Neuerungen nicht ganz verschließen kann und auch nicht sollte, werden wir und auch die nachfolgenden Generationen immer gläserner werden. Im Prinzip gebe ich mit jeder Nutzung von Online-Diensten private Daten aus der Hand, und das nicht nur durch aktive Kommunikation mit anderen. Diese Daten werden gesammelt, analysiert, verknüpft und genutzt.
Vielen Internetnutzern ist das nicht bewusst.
Ich bestelle meine Kleidung, Filme, Haushaltsartikel oder Lebensmittel im selben OnlineShop. Dieser weiß so, in welchen Zeiträumen ich welche Dinge konsumiere, welche Vorlieben ich vermutlich habe, wann ich voraussichtlich wieder welchen Gegenstand einkaufen werde.
Gibt es noch andere Beispiele, wie persönliche Daten an andere gelangen?
Bei der Suche verwende ich Google. Die Suchanfragen werden mit meiner Person verknüpft. Auch hier lassen sich Rückschlüsse auf mein Tun, Handeln und meine Vorlieben ziehen. Ein anderes Beispiel ist das Smartphone. Es trackt meine Bewegungs- und Fitnessdaten. Lebe ich gesund? Wo halte ich mich auf? Wäre eine Versicherung an solchen Daten interessiert?
Was ist mit den sozialen Medien?
Meine Facebook-Likes geben ebenfalls Rückschlüsse auf meine Vorlieben. Mit wem bin ich befreundet, was mache ich in meiner Freizeit? Wie und wo wohne ich? Und um das alles ins reale Leben zu übertragen: Beim Einkauf im Supermarkt um die Ecke nutzte ich die Bonuskarten, um Bonuspunkte zu verdienen. Der Kartenanbieter kann nachvollziehen, wann ich was kaufe, welche Marken ich bevorzuge, wann ich einkaufen gehe, wie ich mich ernähre. Diese Daten – alle miteinander verknüpft – ergeben sicher ein sehr genaues Abbild meiner selbst und wären wahrscheinlich auch um einiges genauer als die Informationen, die mein direktes Umfeld über mich selbst hat.
Ihr Ratschlag?
Man sollte sich grundsätzlich bewusst sein, dass Daten – in welcher Form auch immer – in den meisten Fällen gesammelt und genutzt werden. Sei es für Werbung oder für andere Zwecke. Dementsprechend wäre es ratsam, sich vor der Nutzung des ein oder anderen Dienstes Gedanken darüber zu machen, wie wichtig mir diese Daten in fremden Händen sind.