2009 sollen Angreifer – vermutlich auch aus China und Russland – versucht haben, das US-amerikanische Stromnetz zu „kartieren“. Zwischenzeitlich wurden Regierungen, produzierende Unternehmen, Banken, Versicherungen und Google zur Ader gelassen. Jüngste Beispiele sind Twitter, die New York Times und das Wallstreet Journal. Wobei: Auch Kleinstunternehmen wie Anwälte, Arztpraxen, Architekten, Designer, Hotels, Immobilienmakler, Ingenieure, Marketingagenturen und -forscher, Öffentlichkeitsarbeiter und Steuerberatungskanzleien werden als Opfer nicht verschmäht; ein besonderes Anschauungsbeispiel von Dateninkontinenz liefert Korn/Ferry, der weltweit größte Kopfgeldjäger im Bereich „Executive Search“. Die Klientel dieses Beraters muß permanent Sicherheitsmaßnahmen beherzigen: Beim Reisen oder auch zu Hause. Nicht umsonst bei den „großen Fischen“ machen sich die Angreifer schon mal die Mühe, Grundstücke zu fotografieren und die Alarmanlagen zu skizzieren. Einen Großteil dieser mühevollen Arbeit hat Korn/Ferry den Kriminellen jetzt abgenommen: Am 11. Oktober 2012 meldete das Unternehmen einen „unauthorisierten Zugriff auf Computernetzwerk“. Einen Großteil dieser mühevollen Arbeit hat Korn/Ferry den Kriminellen jetzt abgenommen. Die Fachzeitschrift „Securityweek“ vermutet: „Falls die Angreifer an bestimmte Datenbanken herangekommen sein sollten, könnten sie die persönlichen Details, Lebensläufe, Gehälter und andere Informationen von Millionen Menschen erbeutet haben, die zuvor mit Korn/Ferry als Kandidaten Kontakt hatten, einschließlich vieler Top-Entscheider.“
Staatlich koordinierte Angriffe aus China
Die genannten Dienstleister haben eine Gemeinsamkeit: Sie kennen Mensch und Material ihrer Klientel besser als die sich selbst und können interessante Einblicke in die Leistungsfähigkeit von auszuforschenden Personen, Institutionen und Objekten liefern. Der Londoner Sicherheitsberater Context ist gar davon überzeugt, dass die Angriffe, soweit sie aus China kommen, staatlich koordiniert würden; allein die Volksbefreiungsarmee soll tausende Cybersoldaten beschäftigen. Und falls es tatsächlich mal einen Personalengpass gegben sollte, kann man Sicherheitslücken auf dem freien Markt wie Schnürsenkel einkaufen.
Besonders deutlich wird der Schutzbedarf bei Journalisten: Sie haben Zugang zu den Mächtigen dieser Welt und bewegen mit ihren Veröffentlichungen Regierungen und Konzerne. Es gilt: Je markanter der Kopf, desto schützenswerter seine Identität. Hätte das nur mal jemand dem TechnikJournalisten Mat Honan gesagt. Honan ist „Senior Writer“ bei „Wired“ und hatte sein ganzes Leben bei den diversen Diensten und Geräten von Amazon, Apple, Google und Twitter digital abgebildet – und die Anwendungen, sagt er, wie einen „GänseblümchenKranz“ verknüpft. Die Angreifer wollten eigentlich nur an sein Twitter-Konto, um darüber ein paar rassistische Sprüche abzulassen – so Honan in seiner Selbstkritik. Doch durch die Verknüpfung der einzelnen Dienste untereinander war es offenbar so einfach, sein „digitales Leben“ zu „vernichten“, dass die Angreifer offenbar nicht widerstehen konnten.
Bis dahin kann der Leser ja vielleicht noch lachen. Letzteres aber könnte ihm im Hals stecken bleiben – zumindest dann, wenn sich dieser Leser in Honans Adressbuch befunden haben sollte: Im Lauf der Jahre hätten sich da „einige einflussreiche Leute“ eingefunden: „Sie könnten auch Opfer geworden sein“, so der Journalist. Mit anderen Worten: Durch Honans fahrlässiges Verhalten ist seine gesamte Umgebung bedroht: Jeder, dessen Adresse Honan gespeichert hatte, muss an der Authentizität einer Nachricht zweifeln, die er – scheinbar – von Honan erhält.
„Wir gewinnen nicht“
Wobei Honans Erfahrungen wohl untypisch sind – die Kleinen und Mittelständischen Unternehmen müssen nach Meinung von Symantec 2013 vor allem damit rechnen, dass ihnen Kriminelle den Zugang zu ihren Systemen verbauen und dann ein Lösegeld verlangen – so wie das 2012 diesem Arzt mit seinen 7.000 Patientendatensätzen passiert ist. Das Erfolgsgeheimnis der Angreifer liegt im perfekten – das heißt automatisierten – Ausnutzen technischer und menschlicher Schwächen. Vor einem Jahr stellte die US-Bundespolizei fest: „Wir gewinnen nicht“.
Und die Technik kommt den Angreifern auf zweierlei Art entgegen: Zum Einen transformiert sich das Internet derzeit zum „semantischen Web“. Dieses künftige Netz ist in der Lage, den gespeicherten Informationen „automatisch“ eine Bedeutung zuzuweisen.
Zum Zweiten entwickelt sich das Netz zum „Internet der Dinge“. Da bestellt der Kühlschrank selbständig neue Milch und das Auto findet „autonom“ – ohne Zutun eines „Fahrers“ – seinen Weg. Die Möglichkeiten von Datenangriffen werden sich bis dahin potenzieren: Die Folge: Der Anwalt erhält mit seinem intelligenten Telefon einen „digitalen Assistenten“ den er in „Echtzeit“ und in natürlicher Sprache um Rat fragen kann und genauso Antwort erhält – meint zumindest IBM. Zuerst sollte der Anwalt wohl mal fragen, wo sein Sprachprofil verarbeitet und gespeichert wird, wer Zugriff darauf und etwaige mandanten-spezifische Informationen erhält, die beim Sprechen übermittelt werden. Richtig knallige Möglichkeiten haben jedoch Kriminelle: Wissenschaftler wollen einen Weg entdeckt haben, wie eine infizierte CD-ROM die Sicherheitssysteme eines Autos angreifen kann. Wir laufen heute schon Gefahr, dass uns einer – flächendeckend – das Licht ausknipst, und diese Gefahr wird sich durch die kommenden „intelligenten“ Stromnetze noch weiter erhöhen.
250 Facebook-Profile für 599 US-Dollar
Mit dieser geballten Wucht treffen die Angreifer auf eine „Wir haben nichts zu verbergen“-Mentalität von über einer Milliarde Facebook-Mitglieder weltweit.
Diese Leute schrecken nicht einmal davor zurück, den pH-Wert Ihres Urins auf Facebook zu veröffentlichen. Wenn man nun nur das Geburtsdatum eines Menschen braucht, um in dessen Namen und zu seinen Lasten im Internet einkaufen zu gehen, wie kann man dann erst diesen Menschen beschäftigen, wenn man an sein ganzes Leben – im Zeitverlauf – herankommt? 250 Facebook-Profile werden bereits für 599 US-Dollar angeboten – einschließlich überprüfter Telefonnummer, Geburtsdatum, Mail-Adresse und „vielen“ Fotos. Diese Mentalität ist dafür verantwortlich, dass Patientendaten in einer Hamburger Klinik gleich kistenweise und ungeschreddert in die Tonne getreten werden. Die Handelnden machen sich keine Gedanken darüber, dass Dritte dieses Papier wieder an die Oberfläche befördern und diese Informationen am anderen Ende der Welt mit den Daten von anderen Unternehmen – vom Arzt bis zur Zulassungsstelle – zu Profilen verknüpfen können. Die Vorstellung, dass ich dieser Daten-Spackeria bei den Dienstleistern meines Vertrauens in die Hände fallen könnte, empfinde ich als gruselig.
Und selbst wer schreddert, sollte sich darüber im Klaren sein, dass Dienste wie www.unshredder.com für nur 90 US-Dollar monatlich bereits zerstörtes Schriftgut zu neuem Leben erwecken können. Auch der Kleinunternehmer sollte also wenigstens in Sicherheitsklasse 3 für einen Aktenschredder investieren.
Der Staubsauger des BND
Der Staat glaubt, er könne von der datentechnischen Inkontinenz der Bürger und Unternehmen profitieren. 2011 seien 3 Millionen „E Mails, Telefonate oder Faxe in den Filtern des 'Staubsaugers' des Bundesnachrichtendienstes (BND)“ hängengeblieben – das berichtet der Fachdienst heise online. Wenn 3 Millionen hängengeblieben sind, heißt das aber auch, dass der Staat auf viel mehr Nachrichten Zugriff gehabt haben muss. Der Staat glaubt, die öffentliche Sicherheit steige parallel zur Verfügbarkeit personenbezogener Daten seiner Bürger. Deshalb ist der Zugriff auf Steuer-, Sozial- und Gerichtsdaten aus seiner Sicht zwingend – und der ursprüngliche Plan einer Ende-zu-Ende-Verschlüsselung soll im geplanten e-Government-Gesetz aufgegeben werden.
Der promovierte Sicherheitsforscher Karsten Nohl wirft der Bundesregierung vor: „Sie reißt damit Schutzlücken auf, durch die Strafverfolgungsbehörden, die Anbieter der De-Mail sowie Hacker auf den De-Mail Systemen Zugriff auf Nachrichten erhalten …“
Die wertvollsten Server der Republik
Weiter weist Nohl darauf hin: „Die Forderung nach speziellem Schutz vor Angriffen auf zentrale Server geht dabei nicht etwa auf die Annahme zurück, dass Server unsicherer sind als Endgeräte; das Gegenteil ist fast immer der Fall. Dennoch sind Server stärker gefährdet, da hier die wertvollen Daten vieler Benutzer zusammen genommen weit höhere Angriffsanreize bieten. Die aus dieser Risikoperspektive wertvollsten Server der Republik werden … die De-Mail-Server, welche Zugriff auf die (kurzzeitig) unverschlüsselten Bank-, Steuer-, Justiz-, Arztdaten und viele weitere schutzwürdige Informationen aller Bürger bieten.
Der De-Mail-Datenstrom stellt alle bisherigen Datenquellen in den Schatten und kreiert entsprechend nie dagewesene kriminelle Anreize.“
Dabei sind nicht einmal die Ermittlungsergebnisse bei den Strafverfolgungsbehörden sicher. Nach einem Datendiebstahl von den Servern der Bundepolizei zitiert der 'Spiegel' aus einem internen Revisionsbericht:
„Unter Beibehaltung des derzeitigen Netzbetriebes besteht eine erhöhte Wahrscheinlichkeit des unkontrollierten Abflusses von Informationen sowie des Befalls mit Schad-Software.“
Politik versteht nicht, was sie tut
Dass der Staat hier gnadenlos Russisches Roulette auf Kosten der Bürger spielt, hängt auch damit zusammen, dass die Politik nicht im Ansatz versteht, was sie hier tut: Kulturstaatsminister Bernd Neumann merkt nicht, wie er mit der Frage auf die Schippe genommen wird, was zu tun sei, wenn das Internet „überläuft“, die frühere Justizministerin Brigitte Zypries weiß nicht, was ein 'Browser' ist. Und die Wirtschaft ruft bei der Cebit 2013 die „Shareconomy“ aus. Die Entscheider in Politik und Wirtschaft begreifen nicht, dass sie sich mit diesem Geist des „Datenteilens“ zuerst das eigene Grab schaufeln: Dabei beschweren sich Kanzlerin und ihr Finanzminister heute schon allen Ernstes darüber, dass ihre Privatsphäre nicht geachtet wird! Die machen sich keine Vor stellung darüber, wie ihre Privatsphäre künftig erst gefleddert wird. Die Erkenntnis, dass sie diese Zustände ihrer eigenen Politik zu verdanken haben, wird ihnen wohl zu spät kommen.
Quelle:
http://www.euractiv.de/digitale-agenda/artikel/datenschutz-russisches-roulette-auf-kosten-der-buerger007417
Joachim Jakobs ist freier Journalist und Referent für Datenschutz und Datensicherheit. Er hat 20 Jahre Erfahrung als Journalist und Öffentlichkeitsarbeiter; seit über zehn Jahren engagiert er sich in der IT-Industrie, darunter auch bei IBM in Schottland, als Leiter Unternehmenskommunikation eines Instituts der Fraunhofer-Gesellschaft und Medienkoordinator der Free Software Foundation Europe. Er ist gelernter Industriekaufmann und Diplom-Betriebswirt (FH). Seit Jahren veröffentlicht er zum Thema Datenschutz und Datensicherheit – unter anderem für die VDI-Nachrichten, DIE ZEIT, stern.de und den Rheinischen Merkur. Bei Telepolis verfasst er regelmäßig seine Kolumne „JJ’s Datensalat“.
Kontakt: jj[at]privatsphaere.org
Kommentar hinterlassen
Du musst angemeldet sein, um einen Kommentar abzugeben.