Staatlich protegierter Datenklau – Wie können wir da noch unsere Informationen schützen?

Ron Gula, CEO von Tenable Network Security
Ron Gula, CEO von Tenable Network Security

Die Schlagzeilen der vergangenen Wochen und Monate haben es an die breite Öffentlichkeit getragen – und die hat es laut und deutlich vernommen: Unsere Daten sind nicht sicher! Zu keiner Zeit, an keinem Ort, hinter keiner Firewall. Inzwischen ebbt die ebenso hohe wie breite Welle der Entrüstung, die unsere Medien überschwemmt hat, ab in Ernüchterung, Ratlosigkeit oder gar Gleichgültigkeit. Wenn schon der Staat sich nicht vor Abhöraffären und Datendiebstahl schützen kann, wer dann? Wenn Nachrichten- und Geheimdienste sich trotz massiver Sicherheitsmaßnahmen erfolgreich gegenseitig bespitzeln, wie soll sich dann ein ganz profanes Wirtschaftsunternehmen vor Informationsverlusten und Cyber-Attacken bewahren können? Oder der noch weniger Security-vertraute Endverbraucher?

250.000 Identitätsdiebstähle in nur drei Monaten – das ist die erschreckende Realität, die kürzlich das Bundesamt für Sicherheit in der Informationstechnologie (BSI) ans Licht gebracht hat. Ob beim Online-Banking, Online-Einkauf oder in sozialen Netzen, die Anwender bieten im vermeintlich abgesicherten Internet freizügig ihre Kreditkarten- und Personendaten feil – und die stets wachsamen Hacker schöpfen freudig aus den Vollen. Dabei bleibt laut BSI-Präsident Michael Hange ein Großteil der Angriffe lange unentdeckt – rund die Hälfte der Betroffenen erkennt erst nach knapp einem Jahr, dass eine erfolgreiche Attacke auf ihren Rechner stattgefunden hat.

Auch der Staat selbst und seine Wirtschaftsunternehmen werden immer häufiger aus dem Netz attackiert. “Allein im Regierungsnetz”, so wird der BSI-Präsident am 7. August 2013 vom Nachrichtenmagazin “Der Spiegel” zitiert, “zählen wir 2000 bis 3000 ungezielte und fünf gezielte Angriffe täglich.” Viele dieser Angriffsversuche könne man laut Hange erfolgreich vereiteln, und für die Wirtschaft habe man eine ganze Reihe von Empfehlungen für einen besseren Schutz von Geschäfts- und Kundendaten ausgegeben.

Dennoch, der ungebrochene Erfolg von Attacken auf staatliche Dienste und Informationsquellen sowie auf Produktionspläne und Betriebsgeheimnisse in der Privatwirtschaft machen offenkundig, dass die bisherigen Maßnahmen und Ratschläge nicht ausreichend greifen. Auf der Suche nach den Ursachen wird schnell klar: Eine Kette ist tatsächlich nur so stark wie ihr schwächstes Glied – das gilt nicht nur sondern vor allem für ein so facettenreiches und feingliedriges Konstrukt, wie die IT-Security.

Instabile Glieder, das beweisen die Endloslisten von Schwachstellen, die Softwarehersteller und Netzbetreiber kontinuierlich zu ihren Produkten veröffentlichen müssen, gibt es in den unternehmensweiten IT-Landschaften viele. Diese Schwachstellen würden aber, so die Kritik seitens des BSI, nur zu einem Teil beseitigt, etwa ein Drittel bleibe offen. Die so entstehenden Angriffswege, in Fachkreisen “Attack Path” genannt, werden nicht nur von vergleichsweise harmlosen Dieben von Bankdaten genutzt. Sie ebnen auch politisch, weltwirtschaftlich und militärisch inspirierten Spionageaktivitäten aus Nordkorea, Russland, Großbritannien, den USA oder Israel den Weg – bis in die vermeintlich geheimsten Winkel unserer behördlichen Datenbanken und Informationsschatzkammern.