Partner von
Partner von

Datensicherheit - Klick. Doppellklick. Tot

Nach dem Love-Virus schrillten in der Cyberwelt mehr Alarmglocken als bei der Feuerwehr, wenn eine ganze Stadt brennt. Doch hat es genützt? Viele User sind immer noch naiv. Und Deutschlands Unternehmen bleiben eine leichte Beute für Hacker & Cracker.




Den Hamburger Informatik-Professor Klaus Brunnstein zu ärgern ist ganz leicht: Man muss ihn nur an die Ereignisse vom vergangenen Mai erinnern. Dann verfällt er in giftige Tiraden gegen Unvernunft, Fahrlässigkeit und Ignoranz -kurz: die "Klick-Mentalität" der Computerbenutzer: "Ich hätte nicht gedacht, dass es so viele Lemminge gibt", wettert der Experte: " Wie kann man nur so derartig blöde sein?" Er meint jene Tölpel, die sich anscheinend weltweit verschworen hatten, einen "Tag der offenen Tür" für namenlose Computer-Vandalen von den Philippinen zu veranstalten.

Klick. Doppelklick. Und fertig war die Bescherung: Blitzartig fraß sich der Love-Virus weltweit durch die Computer und ließ unzählige Desaster zurück In Deutschland war nach einer Umfrage des Forschungs- und Beratungsunternehmens Media Transfer AG jedes fünfte Firmen-Netzwerk vom heimtückischen Wurm befallen. Der weltweite Gesamtschaden beläuft sich nach Schätzungen der International Computer Security Association auf rund 15 Milliarden Dollar. Und dabei war das Virus nicht einmal besonders teuflisch programmiert. Eine knappe Stunde benötigten Brunnsteins Studenten, um ein wirksames Gegengift herzustellen. Doch da war es schon zu spät. Eindrucksvoll demonstrierte der Love-Bug die Verwundbarkeit der vernetzten Welt, aber auch das unterentwickelte Bewusstsein der User.

Viren, Würmer, Trojanische Pferde, Hacker und Cracker: In der Cyberwelt schrillen derzeit die Alarmglocken. Unablässig warnen Polizei und Geheimdienste vor Cyber-Terroristen, im Dienste der Organisierten Kriminalität womöglich, die mit perfiden Methoden sensible Firmengeheimnisse von den Festplatten holen. Oder gleich den ganzen Rechner zerstören, um die Konkurrenz zu schädigen. Und die Experten sind sich einig: Es kann alles noch viel schlimmer kommen.

Dabei sind Computerviren noch vergleichsweise harmlos. Sie können wenigstens erkannt und eliminiert werden. Trojanische Herde hingegen schleichen sich unbemerkt in den Rechner, man bemerkt sie erst, wenn es zu spät ist. Und gegen geschickte Distributed-Denial-of-Service-Attacken (Ddos)sind selbst Großunternehmen oft machtlos. Erst vergangenen Februar ließen Hacker binnen weniger Stunden in einer offenbar konzertierten Aktion die Webserver von Online-Anbietern wie Yahoo, Buy.com und eBay kollabieren. Der Angriff alarmierte die internationale Geschäftswelt: Erstmals hatten Computerfreaks, die bislang eher mit harmlosem Schabernack aufgefallen waren, die Neue Wirtschaft empfindlich getroffen. Dramatisch war weniger der finanzielle Schaden durch die Server-Ausfälle als die verheerende Signalwirkung: Wer soll den vielen neuen Unternehmen vertrauen, wenn nicht einmal die Marktführer imstande sind, ihre Rechner gegen eine Handvoll Hacker zu schützen?

Nach einer Studie des US-amerikanischen Computer Security Institute und der Bundeskriminalpolizei FBI haben die Angriffe auf Computersysteme in Unternehmen und Regierungsinstitutionen dramatisch zugenommen. Mehr als 90 Prozent von 643 befragten US-Unternehmen gaben Sicherheitsverletzungen in ihren Computernetzwerken an. Die nachweisbaren Verluste haben sich von 1998 auf 1999 auf rund 530 Millionen Mark verdoppelt. Der deutsche TÜV bezifferte den gesamtwirtschaftlichen Schaden durch Computerkriminalität, illegale Datenbeschaffung und Sabotage in Deutschland allein auf 20 Milliarden Mark. Doch auf solche Zahlen will man sich im Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht einlassen, denn die Dunkelziffer ist hoch: Unternehmen sprechen im Regelfall nicht gern über Sicherheitsprobleme - vor allem nicht über ihre eigenen. "Viele kleine und mittelständische Unternehmen sind sich oft nicht bewusst, wie subtil Daten abgezogen werden können", konstatiert BSI-Sprecher Michael Dickopf.

"Die Unternehmen sind in einer Sensibilisierungsphase", meint Fabian Rau vom deutschen Security-Anbieter Security Networks AG. Während sich die großen Konzerne langst mit aufwendigen Sicherheitssystemen wappnen würden, treffe man bei den Kleinen oft auf "Niemandsland". Nach Secunet-Schätzungen investierten Deutschlands Unternehmen im vergangenen Jahr rund 80 Prozent ihres IT-Budgets in Vorkehrungen gegen das Jahr-2000-Problem, doch nur fünf bis zehn Prozent in allgemeine Maßnahmen für Datensicherheit.

Viele Unternehmen sind zwar längst mit Firewalls gegen das Unheil aus dem Cyberspace gewappnet. Doch die beste Hard- und Software gewährleistet nicht automatisch Sicherheit, warnt Dickopf: Die virtuelle Brandschutzmauer will laufend gewartet, aktualisiert und neu konfiguriert werden, sonst macht die teure Anschaffung keinen Sinn. Und wenn naive Mitarbeiter jedes zwielichtige Mail-Attachment besinnungslos öffnen, ist sowieso alles umsonst.

"Die Leute interessieren sich zu wenig für Security", meint Professor Brunnstein achselzuckend. Doch für die Sicherheitsmisere macht er nicht nur ignorante User, sondern vor allem auch die Computerindustrie verantwortlich: "Die bringen den größten Schrott unter die Leute." Zum Beispiel unsichere Betriebssysteme und fehlerhafte Mailprogramme. "Die Anbieter drücken in den Markt, was geht, und verdummen die Benutzer." Vor allem Microsoft musste als Sündenbock für das Love-Bug-Desaster herhalten. Nur in der Monokultur aus Windows und dem Mail-Programm Outlook habe der Virus derartig wüten können, meinten Microsoft-Hasser. Brunnstein hält dagegen: Solche " Sicherheitsprobleme betreffen nicht nur eine Firma. Die anderen Betriebssysteme sind auch nicht viel besser." Aber das Internet ist ohnehin kein sicheres Medium. Geschaffen wurde es für den freien Austausch von Informationen, nicht zum Schutz von Firmengeheimnissen oder Privatsphären. Im Netz droht ein Panoptikum potenzieller Spione. Unternehmen beschaffen Daten über Konsumenten, um präzise Kundenprofile zu erstellen. Und Firmen spähen Konkurrenten aus, um an Strategiepläne oder Know-how heranzukommen. Secunet-Sprecher Rau fallt das Beispiel eines Trierer Weinbauern ein, der seinen feinen Tropfen für neun Mark pro Flasche auf seiner Homepage anbot. Eines Nachts brach jemand in die Site ein, korrigierte den Preis auf zwei Mark, worauf tags darauf ein angesichts des Schnäppchens freudig überraschter Weinhändler das gesamte Angebot zum Spottpreis kaufte. Der Hacker wurde nie gefasst. Der arglose Winzer war ruiniert.

Die düsteren Warnungen vor Cyber-Kriminalität mögen vielfach überzeichnet sein, doch die Möglichkeiten sind ebenso real wie die fatalen Konsequenzen erfolgreicher Attacken. Wer sich nicht um die Sicherheit seiner Daten schert, darf sich nicht wundern, wenn sein unbemerkt geklautes Firmengeheimnis plötzlich irgendwo in Übersee zum Patent angemeldet wird. Auch Wirtschaftsspionage auf staatlicher Ebene wird weiterhin betrieben, vermutlich sogar massiver und unverschämter als je zuvor. Seit die Existenz des US-dominierten weltweiten Abhörsystems Echelon als gesichert gilt, fordern die Europäer von ihren amerikanischen Verbündeten Aufklärung über das Ausmaß der Lausch- und Spähaktionen gegen ihre Wirtschaft.

An der Sicherheitsfrage hängt letztlich das Vertrauen in die Dotcommdustrie und die Neue Wirtschaft. Wenn eCommerce und eBanking in den Geruch der Unzuverlässigkeit geraten, werden sich die potenziellen Kunden lieber auf altbewährte, analoge Transaktionsformen verlassen. "Wer nicht ausreichende Sicherheit gewährleistet, wird letztlich Geld verlieren", warnt Secunet-Sprecher Rau.

Den Ernst der Lage zeigt eine im Vorjahr von IBM in Auftrag gegebene Studie des Marktforschungsinstituts Louis Harris & Associates. Demnach vertrauen nur 15 Prozent der regelmäßigen Internet-Benutzer in den USA, Deutschland und Großbritannien darauf, dass ihre Daten bei einem eCommerce-Unternehmen sicher verwahrt sind. Doch statt den Staat zu Hilfe zu rufen, will die Neue Wirtschart ihre Sicherheitsprobleme selbst lösen.

Als US-Justizministerin Janet Reno nach den Hacker-Angriffen im vergangenen Februar die Hightech-Industrie zu besserer Zusammenarbeit mit den Behörden ermahnte, zeigten ihr die Firmen mehrheitlich die kalte Schulter. "Die Branche weiß, dass sie sich selbst um ihre Sicherheit kümmern muss", meinte John Palafoutas, Vizepräsident des Verbandes der US-Elektronikindustrie. Als der Software-Anbieter Oracle im März mit einem Cyber-Erpresser aus dem Sudan zu tun hatte, informierte die Firma die Behörden über das Problem. "Aber wir erwarten nicht, dass die Polizei irgendetwas unternimmt", hieß es bei Oracle. Ähnliche Zweifel wurden auch beim Treffen der Computerexperten der G-8-Staaten im Mai angemeldet, wo über Maßnahmen zur Bekämpfung der Cyberkriminalität gesprochen wurde. "Selbstregelung des Marktes" statt "Regelung durch Regierungen" forderten die Vertreter des Global Internet Project (Deutsche Bank, Sony, Fujitsu u. a.).

Dass staatliche Eingriffe die Sicherheitsprobleme im Netz lösen könnten, bezweifelt auch Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnik: "Der Staat kann den Leuten doch nicht vorschreiben, nur aktuelle Virenscanner zu benutzen!" Die Polizei mag Hacker und Virenschreiber jagen, doch für die eigene Sicherheit im Netz muss letztlich jeder selbst sorgen.

"Das Internet kann man nicht schützen", sagt Phil Zimmermann, Erfinder des bekannten Verschlüsselungsprogramms "Pretty Good Privacy" : "Schützen kann man nur seinen eigenen Computer." Der Mann muss es wissen. Anfang der Neunziger wurde Zimmermann zur Symbolfigur der libertären Internet-Community, weil er seine Software im Web frei zugänglich gemacht hatte. Jahrelang versuchte das FBI vergeblich, ihn wegen eines Verstoßes gegen das Exportverbot für kryptografische Produkte festzunageln. Heute ist Zimmermann stolz darauf, "dass die meisten Menschenrechtsorganisationen ihre eMails mit PGP verschlüsseln".

Tatsächlich ist das Programm ein Erfolg: Bislang ist es noch niemandem gelungen, den Code zu brechen. Aus Sicht des Erfinders liegt das vor allem daran, dass Zimmermann im Unterschied zu anderen Kryptografie-Anbietern nicht davor zurückschreckte, auch den Quellcode des Programms im Netz zu publizieren und damit laufender Überprüfung durch Experten auszusetzen. "Die PGP-Benutzer können nachts besser schlafen, weil sie wissen, dass der Code immer wieder aufs Neue auf mögliche Schwachstellen gecheckt wird." Kryptografie ist für Zimmermann eine Selbstverteidigung für Computer-User. Dass auch Kriminelle PGP benutzen, um gefahrlos dunkle Geschäfte abzuwickeln, hält er für eine zwar unerfreuliche, aber unabwendbare Konsequenz, die er bereitwillig in Kauf nimmt, weil gleichzeitig auch Unterdrückte in Diktaturen von seinem Programm profitieren. Schon allein aus Gründen der Solidarität sollte jeder seine eMails verschlüsseln, sagt Zimmermann: "Das muss so selbstverständlich werden wie die Verwendung von Briefumschlägen." Ohne leistungsfähige Verschlüsselung kein eBanking, keine intelligenten Chipkarten und keine sichere Kommunikation über das Internet. Doch im Zeitalter rasanter technologischer und wissenschaftlicher Entwicklung kann nichts als wirklich sicher gelten. Ein funktionstüchtiger Quantencomputer, der tausendfach schneller rechnet als heutige Prozessoren, könnte in einigen Jahren alle derzeit gängigen Krypto-Verfahren knacken. Die Fachleute hoffen, dass bis dahin auch Verschlüsselungsverfahren auf quantenphysikalischer Basis (Quantenkryptografie) entwickelt sind, die möglicherweise Sicherheit bieten werden.

Jedes Sicherheitsproblem scheint neue Lösungen zu generieren, doch jede vermeintliche Lösung wird durch die technologische Entwicklung irgendwann selbst zum Problem. In immer kürzeren Abständen werfen die Firmen neue Virenscanner auf den Markt, die zwar die bekannten Viren erkennen, jedoch mit dem Auftauchen eines neuen Bugs womöglich schon wieder zum Daten-Müll werden. Reichte es bis vor kurzem noch, Sicherheits-Software im Abstand von sechs Monaten bis zu einem Jahr zu aktualisieren, erklärt Secunet-Sprecher Rau, müsse man heute schon von einem Drei-Monate-Zyklus ausgehen. Was also tun, wenn sich die technologische Entwicklung überholt?

"Unfälle wie der Love-Bug wirken natürlich erzieherisch", meint Brunnstein. Aus Fehlem lernt die Computer-Industrie und letztlich der User. Erfahrungsgemäß dauert es Jahrzehnte, ehe zu einer neuen Technologie auch ein effektiver Verbraucherschutz entstehe. Der Hamburger Informatikprofessor untermauert das gern mit einem Histörchen aus der Geschichte der Industriellen Revolution. Nachdem James Watt 1763 die Dampfmaschine erfunden hatte, flogen die Kessel den Arbeitern zunächst über Jahre regelmäßig um die Ohren - bis die Techniker das Problem in den Griff bekamen. Immerhin: Die anfängliche Dampfkessel-Misere mündete in die Einführung des TÜV.

Kontakte: Informationen über das Verschlüsselungsprogramm PGP (Pretty Good Privacy) sowie den Quellcode und das Programm selbst: www.pgp.com Informationen über Cybercrime, Info-War und neue Entwicklungen im Sicherheitsbereich: www.inforwar.com Sicherheitsanbieter Secunet: www.secunet.de " National Infrastructure Protection Centre" der US-Bundeskriminalpolizei FBI: www.mpc.gov oder www.fbi.gov Bundesamt für Sicherheit in der Informationstechnik allgemeine Sicherheitsinformationen sowie das IT-Grundschutz-Handbuch des BSI zum Herunterladen: www.bsi.bund.de