Datensicherheit

Wahrscheinlich liegt es daran, dass ich in einer Agentur für IT arbeite, denn um ehrlich zu sein, habe ich mir vorher um die Themen Datenschutz und Privatsphäre nur wenig Gedanken gemacht. Sicher, ich habe nicht jedes Bild auf meiner Facebook-Chronik zugelassen und niemandem durch ein Status-Update meinen aktuellen Beziehungsstatus verraten. Aber meine Schritte wurden von einem Fitness-Tracker gezählt, privat kommuniziere ich selten über einen anderen Kanal als WhatsApp und ich bin in so gut wie jedem sozialen Netzwerk vertreten – abgesehen von Snapchat, dafür bin ich einfach zu alt.

Durch meine Kunden und den täglichen Umgang mit den Themen Datensicherheit und Privatsphäre stellt sich mir nun aber immer häufiger die Frage: Warum gebe ich meine Daten eigentlich freiwillig her? Was passiert mit diesen Daten? Und vor allem: Ist es durch die fortschreitende Digitalisierung überhaupt noch möglich, meine Daten zu schützen?

Diese Fragestellung spaltet nicht nur meinen Freundeskreis, sondern auch die Gesellschaft. Ein großer Teil der Bevölkerung (und zu diesem Teil habe ich lange Zeit selbst gezählt) hat sich mit dem Kontrollverlust abgefunden. Experten sprechen hier von einer Post-Privacy-Gesellschaft, also einer Gesellschaft, in der – wenigstens in der digitalen Welt – keine Privatsphäre mehr existiert. Auch Experten teilen bereits diese Sichtweise, wie beispielsweise Eugene Kaspersky in einem Interview mit Heise online:

Datenschutz ist wahrscheinlich nur noch in einem entlegenen sibirischen Dorf oder auf einer weit entfernten pazifischen Insel möglich, auf der es keinen Mobilfunk, kein Internet und keine Sicherheitskameras gibt.

Ganz so weit wie Herr Kaspersky würde ich allerdings nicht gehen. Denn einige Wenige haben den Kampf gegen die Datenkraken aufgenommen und versuchen weiterhin, die Auflösung der Privatsphäre aufzuhalten. Zahlreiche Apps bieten inzwischen sichere Alternativen zu WhatsApp, Passwort-Manager helfen bei der Verwaltung von Passwörtern, die komplizierter sind als das standardisierte Hallo1234, und auch ein verschlüsselter E-Mail-Verkehr wird zunehmend wichtiger.

Im professionellen Kontext wird der Sicherheit vertraulicher Daten zwar mehr Bedeutung beigemessen, der Tragweite sind sich aber dennoch nicht alle bewusst. Ein Bekannter von mir hat kürzlich berichtet, dass er sich mit seinen Kollegen meist via WhatsApp über aktuelle Angebote oder Quartalszahlen austauscht. Zitat: „Das ist jetzt vielleicht nicht der sicherste Kanal, aber hey!“

Das Schlimmste ist: Ich weiß genau, was er meint. Wir sind es einfach gewohnt, schnell und unkompliziert zu kommunizieren, und das am besten noch ohne einen Cent dafür zu bezahlen. Dennoch sollten wir manchmal innehalten und uns kurz wundern, warum die neueste App jetzt eigentlich Zugriff zu meinen Kontakten möchte, oder uns fragen, was genau denn nun tatsächlich in den AGBs steht, und so unsere Privatsphäre in der digitalen Welt ein bisschen länger bewahren.

menuseperator

Haben Sie schon mal darüber nachgedacht, was bei Ihnen daheim los ist, wenn Sie nicht da sind? Dabei denke ich nicht an Ihre Katze oder den Kanarienvogel. Vielmehr sollte man wohl für die Zukunft vielleicht besser ein Auge darauf haben, was die Hausgeräte so alles anstellen, wenn wir mal nicht hinsehen.

Neben ihrer Bestimmung als Kühlgerät, Waschmaschine, Heizung, Fernseher & Co. hat so manches technische Gerät das Potenzial ein Eigenleben zu entwickeln, das uns schnell die Sorgenfalten auf die Stirn treiben könnte. Vernetzung ist das Stichwort, als Buzzword gerne auch Internet of Things (IoT) genannt, das viele Geräte schon heute miteinander verbindet und ganze neue Einsatzfelder eröffnet. So zum Beispiel wenn der Kühlschrank mit dem Smartphone oder die Heizung mit dem WLAN-Router kommuniziert. Dabei ist der Haushalt nur das Versuchsterrain im Kleinen. Ganze Industrien sind schon oder noch dabei, auf den Zug aufzuspringen, der mit uns ab in die vernetzte Zukunft rauscht.

Gerade komplexe Industrieanwendungen oder Logistik-Prozesse profitieren schon vielfach von IoT-Anwendungen. Smart Cities, Smart Homes oder Smart Cars – alles scheint möglich. Und wo IoT noch nicht im Einsatz ist, wird eilends überlegt, wie sich der neue Hype am besten nutzen lässt.

Ganz klar, das Konzept ist so einfach wie verlockend: Mit Hilfe von Sensoren sammeln die Geräte Daten, die vernetzte Prozesse über das Internet steuern und somit unser aller Leben wahlweise bequemer, einfacher, sicherer oder kostengünstiger gestalten sollen. Beispiele sind etwa die Steuerung von Licht und Heizung in Gebäuden, die Analyse von Wetter und Verkehrslage für die nächste Autofahrt oder die Aufzeichnung von Fitness- und Gesundheitsdaten in Wearables, mit denen wir aufbrechen ins neue Fitness-Glück.

Der Markt ist riesig und wächst beständig. Laut Gartner werden Unternehmen im Jahr 2020 mit dem Internet of Things über 300 Milliarden Euro erwirtschaften. Die Analysten rechnen bis dahin mit 25 Milliarden vernetzter Dinge, von Maschinen über Geräte bis zu Fahrzeugen. Smartphones, Tablets und Computer sind dabei noch nicht mit eingerechnet.

Gleichzeitig steigt aber die Gefahr für Cyber-Angriffe und Hacker-Attacken in gleichem Maße. Unternehmen sind daher gut beraten, bei der Entwicklung von IoT-Anwendungen Datenschutz und Datensicherheit fest im Auge zu behalten, im eigenen Interesse, aber auch in dem ihrer Kunden, die mit dem Thema zunächst überfordert sein dürften. Beispiele für arglosen Umgang finden sich zahlreich und reichen bis hin zum spionierenden Plüschbären. Mit solchen Vorfällen ist das Vertrauen schnell dahin. Die Gefahr des Ausspähens droht übrigens nicht nur aus der kriminellen Ecke, wie man meinen könnte. Auch Geheimdiensten passen die über das Internet verbundenen Geräte perfekt in den Plan.

Erste Schritte hin zu einem durchgängigen Authentifizierungs- und Autorisierungskonzept und damit mehr Sicherheit und Standardisierung sind erkennbar, doch wird die Regelung und Vereinheitlichung so vieler komplexer Verbindungen noch eine Weile brauchen. Bis dahin heißt es, Augen auf und immer ein prüfender Blick auf den Kühlschrank.

menuseperator

Egal, ob es um den Schutz unserer persönlichen Daten geht, um Staatsgeheimnisse oder um die Kontrolle über das interne IT-System: Die IT-Sicherheit gewinnt immer mehr an Bedeutung, denn Gefahren lauern aus allen Richtungen. In den letzten Jahren haben sich sowohl der Schweregrad als auch die Häufigkeit von Datenmissbrauchs-Fällen vervielfacht. Schlupfloch für die Angriffe sind dabei meist fehlende Sicherheitsmaßnahmen: mangelhaft konfigurierte Einstellungen oder Rechte, unzureichendes Zugriffsmanagement oder lückenhafte Nutzungsrichtlinien. Trojaner, Hash-Attacks, Phishing-Mails, all dies sind keine Fremdwörter mehr und Cyberattacken jeglicher Couleur wurden in den vergangenen Jahren publik. Längst geht es nicht mehr nur um unsere Daten, die massenweise gespeichert und ausgespäht werden – gläsern ist der Mensch inzwischen sowieso – mittlerweile zielen diese Angriffe auf konkreter fassbare Bereiche unseres Lebens ab: unser Hab und Gut wie auch unser Leben geraten ins Visier. Heute benötigen Terroristen und Kriminelle keine Waffen mehr, um Unternehmen oder gar ganze Staaten zu bedrohen.

Das zeigen Coups in den vergangenen Monaten ganz deutlich: Da wären beispielweise die „Guardians of Peace“, die 2014 wegen unzureichender Sicherheitsvorkehrungen ganz einfach in das Firmennetz von Sony Pictures Entertainment eindringen konnten, massenweise Daten der Filmstars abgriffen und den Konzern tatsächlich zwangen, einen Nordkorea-kritischen Film nicht auszustrahlen. Eine Blamage sondergleichen für Sony. Ein weiteres Beispiel dafür, wie lax die Industrie mit Sicherheitsmaßnahmen umgeht, ist der BMW-Connected-Drive-Hack, wo Hacker ganz einfach via einer Sicherheitslücke 2,2 Millionen Fahrzeuge entsperren konnten – das Angebot DriveNow von BMW sollte wohl nicht nur dem Besitzer freistehen, sondern auch jeglichem Passanten das Vergnügen einer kleinen Spritztour bereiten.

Fortgesetzt wird die Reihe durch einen aktuellen Hackangriff, welcher aber die Öffentlichkeit nicht nur in Sprachlosigkeit, sondern regelrecht in Angst versetzt: Der Passagier, der sein Flugzeug hackte – einem Sicherheitsexperten war es möglich, das Steuerungssystem eines Flugzeugs ganz simpel aus der Passagierkabine heraus zu hacken und somit die Kontrolle über das Leben vieler Menschen zu übernehmen. Wenn es nicht gelingt neue, nicht hackbare Sicherheitsvorkehrungen einzurichten, müssen wir in Zukunft vielleicht gar mit erweiterten Handgepäckregeln rechnen: das Verbot gilt nicht mehr nur für Flüssigkeiten und Waffen, sondern betrifft in Zukunft auch BYOD.

Da sich hier einmal mehr zeigt, dass für die Industrie das Kriterium Sicherheit immer noch nicht oberste Priorität hat, wird der Ruf nach einem Gesetz immer dringlicher, das zu einer Erhöhung der IT-Sicherheit in Deutschland beitragen soll. Dazu diskutiert der Bundestag momentan eine Gesetzesvorlage, die aber von Experten scharf kritisiert wird: unter anderem sieht das Gesetz keine proaktiven Sicherheitsmaßnahmen als Pflicht vor, sondern im Falle schon eingetretener Sicherheitsvorfälle eine Meldepflicht. "Eine weitere Bürokratisierung der IT-Sicherheit geht zulasten dringend notwendiger proaktiver Maßnahmen zur effektiven Erhöhung der IT-Sicherheit", so der Experte Linus Neumann vom Chaos Computer Club. Da in vielen Fällen Daten-Ausspähungen nicht einmal von den vorhandenen Security-Systemen entdeckt werden, wirklich eine fragwürdige Besserung! Das Übel der Angriffe wird nicht bei der Wurzel gepackt und im Keim erstickt, sondern nur mit zahlreichen anderen Vorfällen dokumentiert und ad acta gelegt.

Im Zeitalter des Internet of Things sollte endlich ein Umdenken stattfinden und in der Euphorie eines technischen Fortschritts um jeden Preis nicht jede Innovation ohne ausreichende Sicherheitsprüfung eingeführt werden. Und dazu ist ein entsprechendes Gesetz schlichtweg notwendig.

Quelle: pixabay / Lizenz: CC0 Public Domain

menuseperator

„Cloud Computing wird Basistechnologie in vielen Unternehmen“, prophezeit der BITKOM. Es scheint die Ideallösung schlechthin zu sein, angefangen vom geringen Investitionsaufwand über schnelle, unkomplizierte Server-Wartung und Systemwiederherstellung bis hin zur besseren Zusammenarbeit und einer enormen Flexibilität in Sachen Kapazität und Standort. Doch genau da zeigt sich die Krux gleich doppelt der Standort! Die Cloud ist überall, die Cloud ist nirgends so viel steht fest. Doch wo sitzt der Anbieter und wo sind die Daten gehostet? Lieber ein günstiger Hoster im Ausland oder eine Cloud durch und durch „Made in Germany“, bei der sowohl Betreiber als auch Daten in heimischen Gefilden bleiben und die hohe Qualität, Präzision und auch Sicherheit verspricht? Doch auch eine Cloud im Inland heißt nicht, dass auch der Betreiber hierzulande sitzt, das wird uns nur manchmal verschwiegen. Viele deutsche Unternehmen überlegen, ihre Daten ins meist günstigere Ausland zu verlagern. Aber Achtung: Wie steht es um die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten, wenn der Hoster im Ausland sitzt? Ist wirklich alles kontrollierbar, transparent, mein Ansprechpartner immer erreichbar und vor allem – sind meine oder noch wichtiger die Daten meiner Kunden sicher? Zieht hier das Prinzip „aus den Augen, aus dem Sinn“ noch weitere Kreise? 

Diese Sicherheitsbedenken bremsen das ein oder andere Unternehmen aus, die ganze „himmlische“ Freiheit zu nutzen. Denn gerade bei grenzüberschreitenden Dienstleistungen bestehen größtenteils Unsicherheiten, welches Recht denn nun gilt. Und damit auch, wer bestimmt, was mit den größtenteils vertraulichen Firmendaten passiert. Klärungsbedarf besteht vor allem auch hinsichtlich des Urheberrechts, der Lizenzbedingungen und vor allen Dingen des Datenschutzes. 

So fordern Datenschützer, dass Anwender Cloud-Services nur dann in Anspruch nehmen dürfen, wenn sie in der Lage sind, ihre Pflichten als verantwortliche Stelle in vollem Umfang wahrzunehmen, sprich Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie Kontrollierbarkeit, Transparenz und Beeinflussbarkeit der Datenverarbeitung gewährleisten können (offizielle Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, 2011). Schwierig wird es bei ausländischen Cloud-Anbietern, denn wer durchschaut schon vollkommen die ausländischen Rechtsordnungen? Räumt mein Cloud-Provider den ausländischen Behörden Zugriffsrechte ein? Muss er vielleicht sogar meine Daten in unsichere Drittstaaten übermitteln (Übermittlungsobliegenheit)? 

Bleiben wir also doch lieber beim guten alten „Made in Germany“ oder zumindest Europa? Brüssel macht den ersten Schritt, ein „Made in Europe“-Siegel ist in Arbeit. 

Bis dahin: Drum prüfe, wer sich ewig bindet.

menuseperator

Gartners Hype Cycle für Emerging Technologies hat Tradition. Seit 20 Jahren ordnen die Marktforscher Technologien kurvenförmig in Lebensabschnitte ein. Einen guten Überblick gibt es hier. Die Werte der y-Achse dokumentieren die öffentliche Aufmerksamkeit einer Technologie und die x-Achse die Zeitspanne, in der sie nach Einschätzung von Gartner verschiedene Phasen bis zu ihrer Marktreife durchläuft. Mitte der 1990er-Jahre waren übrigens „Intelligente Agenten“ und der „Information Superhighway“ die angesagten Themen.

Den „Gipfel der Erwartungen“ hat im diesjährigen Hype Cycle das Internet der Dinge erreicht. Ähnlich hoch angesiedelt sind „Natural- Language Question Answering“ und „Wearable User Interfaces“. Im Jahr 2013 stand übrigens „Big Data“ kurz vor dem „Gipfel der Erwartungen“. Nun ist es müßig, über die Eintrittswahrscheinlichkeit von Prognosen, und nichts anderes sind ja die Hype Cycles, zu streiten. Die Basistechnologien hinter Big Data, dem Internet der Dinge, Hybrid Cloud Computing und den In-Memory-Database-Management-Systemen sind so weit fortgeschritten, dass es heute viele Unternehmen weltweit gibt, die sie als Innovationsmotor nutzen. Wäre da nicht das berechtigte Thema „Sicherheit“ als begrenzender Faktor. Wie sieht es hier beim Internet der Dinge aus? Da bleiben noch viele Fragen offen. Ich persönlich bin kein Technikpessimist und davon überzeugt, dass es in absehbarer Zeit Lösungen für die Sicherheitsprobleme im Internet der Dinge geben wird. Hier eröffnet sich ein weites Feld für neue Ansätze.

menuseperator

Das Internet der Dinge (Internet of Things) – ein weiteres Schlagwort, ein weiterer Hype, der einem momentan in der Medienlandschaft oft begegnet, neben der allgegenwärtigen Cloud natürlich. Dabei ist der Terminus an sich nicht mehr neu: Bereits 1999 wurde der Begriff erstmals verwendet, und zwar von Kevin Ashton, dem Mitbegründer und damaligen Leiter des Auto-ID Center am Massachusetts Institute of Technology (MIT).

Doch wie so viele neue Technologien steckt auch das „Internet der Dinge“ noch voller Sicherheitslücken, wie eine aktuelle Studie von HP zeigt. Im Rahmen der Studie wurden zehn der beliebtesten Geräte getestet, unter anderem Webcams, Thermostate, Sprinkleranlagen-Controller, Türschlösser, Garagentüröffner und Hausalarmanlagen.

Wer bisher dachte, Garagentüröffner wären harmlos, wird hier eines Besseren belehrt: Im Schnitt hatte jedes Gerät 25 Schwachstellen, so dass bei der Studie insgesamt 250 Sicherheitslücken in den getesteten Geräten zum Vorschein kamen. Die häufigsten Lücken betreffen den Datenschutz, eine unzureichende Berechtigung und Verschlüsselung, unsichere Web-Schnittstellen und einen mangelhaften Schutz durch Software.

Gartner prognostiziert, dass bis zum Jahr 2020 26 Milliarden Geräte mit Bluetooth, WLAN und Co. ausgestattet sein sollen. Bis dahin gibt es für die Anbieter vernetzter Geräte wohl noch viel zu tun.

menuseperator

Auf Messen werden immer wieder Plagiate gefunden, die der heimischen Industrie zu schaffen machen. Besonders dreist ist es jedoch, wenn es bereits Plagiate von Neuentwicklungen gibt, die noch gar nicht offiziell vorgestellt worden sind. Das selektive Abgreifen von vertraulichen Daten ist ein lukrativer Trend in der Welt der Cyber-Attacken und dabei müssen es nicht immer die Mitarbeiter selbst sein, die diese Informationen nach außen geben. Die sogenannten Advanced Persistent Threats sind gezielte Hacker-Angriffe, die nicht mehr auf Masse aus sind, sondern zielgerichtet und sehr aufwendig gemacht sind.

Die aktuelle Ponemon-Umfrage „Roadblocks, Refresh and Raising the Human Security IQ“ zeigt, dass viele Sicherheitsverantwortliche in Firmen Advanced Persistent Threats und Daten-Exfiltration als größte Bedrohungen ansehen. Unternehmen stecken viel Geld in die IT-Sicherheit, für 2014 sollen sogar mehr Ausgaben geplant sein als im Vorjahr, so eine Umfrage von eco – Verband der deutschen Internetwirtschaft e.V. Da ist es doch verwunderlich, dass gemäß der Studie des Ponemon Institute erhebliche Mängel in der Kommunikation zwischen Sicherheitsverantwortlichen und Management herrschen. 31 Prozent der Befragten, die für den Bereich Cyber-Security zuständig sind, gaben an, nie mit dem Management über dieses Thema zu sprechen. 23 Prozent führten nur einmal im Jahr ein Gespräch und weitere 19 Prozent nur einmal im halben Jahr. Darüber hinaus haben nur 38 Prozent das Gefühl, dass ihre Unternehmen ausreichend in Personal und Technologien investieren, um Cyber-Security-Ziele zu erreichen. Immerhin gaben 49 Prozent an, in den nächsten zwölf Monaten Investitionen im Security-Umfeld zu tätigen. Die restliche Hälfte ist sich einig, dass erst in eine neue IT-Security-Lösung investiert werden würde, wenn ein Datendiebstahl-Vorfall zu beklagen wäre. Es bleibt nur zu hoffen, dass die Abteilungen vorher rechtzeitig miteinander sprechen, um größere Schäden zu vermeiden.

Zur Studie: Es wurden weltweit rund 5.000 Verantwortliche für IT-Sicherheit in 15 Ländern befragt, darunter England, Deutschland, Frankreich, Italien, die Niederlande, Schweden und die USA.

menuseperator
Datensicherheit abonnieren