Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Strengere Sicherheitsvorgaben, schärfere Gesetze: Könnten sich so sich Hackerangriffe verhindern lassen? Bei der Cybersicherheit besteht Handlungsbedarf. Erste Vorschläge von Politik und Verbänden kursieren bereits.
Berlin Nach den massiven Online-Angriffen auf Politiker und Prominente ist eine Debatte darüber entbrannt, wie solche Fälle künftig verhindert werden können. Dabei steht nicht nur die Arbeit der Sicherheitsbehörden im Fokus. Diskutiert wird auch über strengere Vorgaben für Internetunternehmen.
Die Digital-Staatsministerin Dorothee Bär zeigte offen für schärfere Gesetze. „Einen derartigen Angriff müssen wir zum Anlass nehmen, sehr genau auszuloten, ob schon alles getan ist, um eine bestmögliche Datensicherheit zu gewährleisten“, sagte die CSU-Politikerin dem Handelsblatt. Geprüft werden müsse auch, „ob Software-Hersteller und Plattformen stärker in die Pflicht genommen werden müssen, um zu mehr Datensicherheit beizutragen“. Ähnlich hatte sich am Wochenende Bundesjustizministerin Katarina Barley (SPD) geäußert.
Das Bundesinnenministerium kündigte bereits erste Maßnahmen an. Unter anderem solle es Verbesserungen in der Cyber-Abwehr geben, sagte der parlamentarische Staatssekretär Stephan Mayer am Rande der Jahrestagung des Beamtenbundes dbb in Köln. Innenminister Horst Seehofer habe größtes Interesse daran, dass zügig und lückenlos Licht ins Dunkel gebracht werde. Mayer sagte allerdings nicht, welche Verbesserungen beim Cyber-Abwehrzentrum geplant sind.
Seehofer selbst sollte im Laufe des Montags mit dem Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, und BKA-Präsident Holger Münch über den Hackerangriff beraten. Politiker von SPD, Grünen und FDP hatten infrage gestellt, ob das BSI rasch genug reagiert habe. Der oder die Hacker hatten teils sehr private Daten von Politikern und Prominenten wie Mobilfunknummern und E-Mail-Adressen im Internet veröffentlicht.
Der Verband der Internetwirtschaft Eco sieht wie die Politik Handlungsbedarf. „Gemeinsam zu erarbeitende Sicherheitsvorgaben für Software-Hersteller und Betreiber von Internet-Plattformen sind, neben der höheren Verantwortung von Staat, Anwendungsunternehmen und Nutzern, ein wichtiger Schritt für mehr IT-Sicherheit“, sagte Norbert Pohlmann, Vorstand bei Eco für das Ressort IT-Sicherheit dem Handelsblatt.
Pohlmann, der auch Direktor des Instituts für Internet-Sicherheit an der Westfälischen Hochschule in Gelsenkirchen ist, regte an, in Deutschland und der EU gemeinsam mit allen betroffenen Unternehmen „IT-Sicherheitsziele“ festzulegen, die in drei Jahren erreicht werden sollten.
Vor allem bei der Verschlüsslung von Kommunikation und Daten sieht er Handlungsbedarf. So sollten etwa in den nächsten drei Jahren 80 Prozent aller E-Mails verschlüsselt werden. Für Notebook-Festplatten schlug Pohlmann ein Verschlüsselungsziel von 99 Prozent vor. Daten sollten zudem künftig über eine verschlüsselte Verbindung (SSL: Secure Socket Layer; TLS: Transport Layer Security) im Internet übertragen werden.
Außerdem plädierte Pohlmann dafür, den „Stand der Technik“ im Bereich IT-Sicherheit neu zu definieren. So müsse künftig vorgeschrieben werden, was jedes IT-System und jeder IT-Dienst eingebaut haben müsse.
Statt Passworten zum Beispiel eine Multifaktor-Authentifizierung (Identifizierung über ein zweites Endgerät), die Trennung von Anwendungen (Trusted Computing) sowie automatische Updates. „Dann können wir die Verantwortungen aufteilen und die Stakeholder besser in die Pflicht nehmen“, sagte der IT-Experte.
Hersteller und Plattformbetreiber müssten demnach ähnlich wie bei Autos „mit ihren Produkten und Diensten dem Stand der Technik genügen“. Die Nutzer müssten überdies geschult werden, damit sie nicht auf jeden sogenannten Social-Engineering-Angriff hereinfielen und etwa vertrauliche Informationen preisgäben. Auch Staat und Verwaltung sieht Pohlmann gefordert, etwa beim Aufbau von IT-Infrastrukturen für E-Mail-Sicherheit. Zudem müssten Schwachstellen an die Hersteller gemeldet und dürften nicht für das Einschleusen eigener Spionagesoftware (Bundestrojaner) genutzt werden.
Auch der Hauptgeschäftsführer des IT-Verbands Bitkom, Bernhard Rohleder, forderte die Unternehmen auf, ihre Produkte zu „härten“ und ihre Mitarbeiter in puncto IT-Sicherheit immer aktuell zu schulen. „Die Politik ist gefordert, den Rechtsrahmen so zu optimieren, dass insbesondere der Einsatz von Ende-zu-Ende-Verschlüsselung möglich bleibt“, sagte Rohleder. „Außerdem sollte sie die Behörden anweisen, bekannte Sicherheitslücken immer umgehend an die betroffenen Unternehmen zu melden, anstatt sie offen zu halten, um sie selbst als Backdoors nutzen zu können.“
Zudem sei jeder Einzelne gefordert, verfügbare Sicherheitsinstrumente wie starke Passwörter, Virenscanner, Firewalls sowie regelmäßige Updates aktiv zu nutzen. Auch der Bitkom empfiehlt daher insbesondere den Einsatz der „Zwei-Faktor-Authentifizierung“, auf die derzeit viele Verbraucher noch verzichteten. Dabei stellt der Nutzer seinen E-Mail-Account und seine Social-Media-Apps so ein, dass er den Login zusätzlich per Handy-App bestätigen muss.
Justizminister Barley plädierte dafür, diese Verschlüsselung zum Standard zu machen. „Wir müssen dahinkommen, dass die Menschen auch selbst verantwortlicher mit ihren Daten umgehen“, sagte Barley am Montag am Rande der Jahrestagung des Beamtenbundes dbb in Köln. Mit der Datenschutzgrundverordnung sei ein wichtiger Schritt getan worden. „Er reicht aber noch nicht.“ Viele nutzten etwa nur „eins zwei drei“ als Password oder „hallo“.
Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen sieht den massiven Datenklau gar als „Weckruf für mehr Datenschutz und IT-Sicherheit in der Datenverarbeitung“. „Während Regierungsnetzwerke üblicherweise mit besonderem Aufwand abgesichert werden, sind die Accounts in sozialen Medien oft nicht besonders gut geschützt“, sagte Hansen dem Handelsblatt. „Auch wenn kein superintelligenter Hack hinter diesem Angriff stehen sollte, ist es für viele der Accounts möglich, mit etwas Fleiß und Dreistigkeit Zugang zu den Daten zu erlangen.“ Zu einfache Passwörter ließen sich einfach erraten.
Noch schlimmer sei es, wenn immer dasselbe Passwort für mehrere Accounts verwendet werde. „Loggen sich die Nutzer nicht aus, besteht die Gefahr, dass Unberechtigte die Verbindung übernehmen“, warnte Hansen.
Einige soziale Netzwerke speicherten die Daten so auf den Servern ab, dass ein direkter Zugriff per Link, vorbei an jedem Zugriffskontrollsystem, ermöglicht werde. „Und viele soziale Netzwerke litten in letzter Zeit unter Datenpannen, so dass zentral gespeicherte Daten in fremde Hände gelangt sind.“
Hansen sprach von vielfältigen Sicherheitsmängeln, die in der Verantwortung teilweise der Anbieter, teilweise der Nutzer lägen. Obwohl dies bekannt sei, vertrauten viele Menschen den sozialen Medien persönliche Daten an, die nicht öffentlich einsehbar sein sollten. „Hier ist ein Umdenken nötig“, so die Datenschützerin.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×