Hacker-Angriff mit Folgen

Der massenhafte Raub von Privatdaten hätte vermieden werden können, sagt Hans-Wilhelm Dünn, Präsident des Cybersicherheitsrates. Grünen-Chef Habeck zieht Konsequenzen.

Freie Presse: Herr Dünn, sind unsere Cybersysteme besonders anfällig für Hacker-Attacken? Oder hätte es Möglichkeiten gegeben, sie zu schützen?

Hans-Wilhelm Dünn: Wir haben ein falsches Verständnis von der Nutzung von Internet-Angeboten. Es soll immer alles möglichst schnell und einfach funktionieren. Aber wir vergessen dabei, dass die Voraussetzung dafür Datensicherheit ist. Dieses Bewusstsein fehlt. Beim Großteil dessen, was wir bei dem jüngsten Hack erlebt haben, handelt es sich um keine hochspezifizierten Angriffe. Wir haben es nicht mit Profis zu tun, sondern wohl mit einem Einzeltäter oder Leuten, die sich mit einfachsten Mitteln in Systeme eingeschleust und Informationen gestohlen haben. Dass ihnen das gelingen konnte, hat banale Ursachen. Es liegt beispielsweise daran, dass viele der gehackten Nutzer entweder schwache oder mehrfach dieselben Passwörter benutzt haben. Es ist erschreckend viel Fahrlässigkeit im Spiel. Wir sprechen von mangelnder 'Cyberhygiene'.

Das heißt, viele Nutzer wissen nicht um ihre eigene Verletzbarkeit im Netz?

Genau. Viele sehen nur die Vorzüge. Und wenn alles klappt, sind sie bereit, selbst privateste Daten leichtfertig über das Internet preiszugeben. Erst wenn diese Daten in die falschen Hände geraten, stellen wir uns die Frage, wo es Fehler im eigenen Umgang mit diesen Informationen gab. Würde es sich um unser Auto handeln, würden wir es in die Inspektion bringen. Beim eigenen Rechner oder dem Handy bleiben wir dagegen oft tatenlos, statt uns um Updates oder besseren Passwortschutz zu kümmern.

Wiegt dieser Vorwurf schwerer bei Politikern, die ja im demokratischen Prozess viel häufiger mit sensiblen Daten zu tun haben als Normalbürger?

Das Fehlverhalten muss gar nicht direkt vom Abgeordneten ausgehen. Hackern genügt, sich Zugriff auf den Account von Mitarbeitern oder externem Personal zu verschaffen, um an die Daten des Politikers heranzukommen. Der Grad der Vernetzung ist sehr hoch. Das macht das System insgesamt so anfällig. Es zu verstehen und es zentral zu kontrollieren, ist daher umso wichtiger. Im Moment findet das aber kaum statt.

Ließe sich das nicht bewerkstelligen?

Es ist in der Breite vor allem ein Problem von fehlendem Fachpersonal und mangelnden Ressourcen in diesem Bereich. Trotzdem müssen zumindest Abgeordnete, die oftmals mit sicherheitsrelevanten Informationen zu tun haben, Möglichkeiten haben, ihre IT besser und verlässlich zu schützen. Es gibt zwar das Bundesamt für Sicherheit in der Informationstechnik (BSI), doch es ist nur für Bundesbehörden zuständig und hat zudem keine Ermittlungsbefugnisse zur Strafverfolgung.

Brauchen wir also eine neue Kontrollbehörde mit weiter reichenden Möglichkeiten?

Nein, wir brauchen keine neue Behörde. Notwendig ist vielmehr eine Erweiterung der Befugnisse und Ressourcen der bestehenden Behörden wie dem BSI. Doch auch das wird nicht ohne Weiteres möglich sein. Denn die Abgeordneten legen großen Wert auf ihrer Unabhängigkeit. Deswegen werden viele von ihnen bei der Arbeit keine externen Behörden dabeihaben wollen. Da wird es einen Klärungsprozess geben müssen.

Welche Möglichkeiten zum Selbstschutz müsste es für alle anderen geben, etwa auch für Normalbürger?

Wer sich ein Haushaltsgerät zulegt, schließt oft auch einen Wartungsvertrag ab. Wir setzen uns in der Regel nicht selbst hin und basteln an den Geräten herum. Wir rufen den Kundendienst. Einen solchen müsste es auch für die IT-Infrastruktur geben, also einen Dienstleister, der in regelmäßigen zeitlichen Abständen vorbeikommt und die Hard- und Software wartet. Womöglich gibt man damit zwar auch ein Stück seiner Daten preis. Aber dafür gibt es Gesetze, die den Datenschutz im Umgang mit Dienstleistern regeln.

Haben Anbieter von IT-Technik oder Internet-Angeboten eine Mitverantwortung, wenn sie Nutzer und Kunden nicht auf bestehende Sicherheitsrisiken hinweisen?

Natürlich sind alle Beteiligten gefordert. Aber es ist durchaus auch eine Frage, die sich an die Hersteller richtet. Wenn ich ein Flugzeug kaufe, erwarte ich, dass dieses sicher starten und landen kann. Das Gleiche erwarte ich von Systemen oder Angeboten im Internet. Wenn ein Hersteller ein entsprechendes Produkt anbietet, will ich davon ausgehen können, dass er in Sachen Cybersicherheit das Erforderliche getan hat. Wir brauchen Gesetze, die konkret vorgeben, welchen Sicherheitskriterien bestimmte IT-Produkte genügen müssen, bevor sie auf dem Markt zugelassen werden. Es muss wie in anderen Branchen klare Standards geben, die Hersteller einzuhalten haben.

In diesen Tagen macht der Begriff des 'Hackback' die Runde. Er beschreibt die Möglichkeit, bei einem Hackerangriff zum Gegenschlag auszuholen und gegnerische Computerserver zu zerstören. Kann das eine Lösung sein?

Nein. Es ist ein Unwort. Denn es suggeriert, es wäre ohne Weiteres möglich, einen Angreifer zu identifizieren und sogar seine Infrastruktur in einem Gegenschlag auszuschalten. Das ist absurd. Erstens merken wir oft nicht, wenn wir angegriffen werden. Statistisch dauert es sogar mehrere hundert Tage, bis ein Angriff festgestellt wird. Zweitens ist es sehr schwer herausfinden, wer hinter einer Hacker-Attacke steckt. Technisch ist das eine riesige Herausforderung. Bei den jüngsten Vorfällen wurden der oder die Angreifer bis heute nicht identifiziert.

Hans-Wilhelm Dünn

Der Diplomverwaltungswirt ist seit vergangenen November Präsident des Cybersicherheitsrats Deutschland e.V. und war 2012 eines der Gründungsmitglieder des überparteilichen Vereins. Die Organisation berät Behörden, Firmen und Politiker in Fragen der Cybersicherheit und im Kampf gegen die Cyberkriminalität. Von 2007 bis 2009 war Dünn Referent im Wirtschaftsministerium von Brandenburg und hatte danach verschiedene Aufsichtsratsmandate inne. (ape)

Bewertung des Artikels: Noch keine Bewertungen abgegeben
1Kommentare
Um zu kommentieren, müssen Sie angemeldet und Inhaber eines Abonnements sein.

  • 2
    1
    Pixelghost
    08.01.2019

    Für alles soll „der Staat“ verantwortlich sein. Der hat aber weder den PC - oder Mac - hingestellt, angeschlossen noch mit Software ausgestattet. Das war der Nutzer.

    Seit den 80zigern Jahren gilt die Informationelle Selbstbestimmung. In diesem Begriff ist ein wichtiges Wort enthalten: SELBST.

    Wo melde ich mich an? Wie gestalte ich die Passwörter? Nutze ich für jeden Zugang eines oder verwende ich für jeden Zugang verschiedene? Wie sicher ist die Betriebssystemsoftware meines PC? Nutze ich etwa noch Software aus dem „letzten Jahrhundert“, die nicht mehr unterstützt wird?

    Welche Daten gebe ich von mir raus. Wie schütze ich meine Geräte und Accounts? Installiere ich Sicherheitssoftware, welche und mit welchen Bausteinen? Wie gehe ich mit ankommenden e-Mails um und und und...

    Alles das kostet. Zeit, Hirnschmalz - und auch Geld.

    Wie war das gestern im Morgenmagazin eines TV-Senders, als der TV-Experte den Moderator zu der Erkenntnis trieb, doch bitte FÜR JEDEN ZUGANG ein andere Passwort zu nutzen: Antwort: Oh Gott (panisch).



Bitte schalten Sie ihren AdBlocker aus. An alle Adblocker

Bitte schalten Sie ihren AdBlocker aus.
Mehr erfahren Sie hier...