Datenschnüffler im Anzug. Wer seine Daten schützen will, darf nicht online gehen.
olly | Fotolia
Vor dem Hintergrund der Datensammelwut der Prism und Tempora–Verantwortlichen hat der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e. V. (GI) Richtlinien zur Datensicherheit erarbeitet.
Wer glaubt, beim Surfen weitgehend auf der sicheren Seite zu sein, irrt sich gewaltig. Mit den Enthüllungen des ehemaligen NSA-Mitarbeiters Edward Snowden zeigt sich nämlich, dass das Internet eher einer Datenkrake ähnelt, die auf vielfältige Art und Weise nach Informationen fischt. Angesichts der aktuellen Diskussion um Prims und Co. Warnt der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e. V. (GI) erneut vor der vollständigen, weltweiten Kommunikationsüberwachung:
"Die aktuelle Diskussion um die Telefon- und Internetüberwachung der USA (PRISM) und Großbritanniens (Tempora) führt uns einmal mehr vor Augen, wozu Informationstechnik legal eingesetzt wird: Weltweite vollständige Überwachung, also das Protokollieren aller Kommunikationsvorgänge, das Aufzeichnen, Auswerten aller Inhalte und Speichern der Sender, Empfänger, Datum, Lokationsdaten usw.", sagt Hartmut Pohl, Sprecher des Arbeitskreises.
Das Internet verlor schon in 1970er Jahren seine Unschuld
Ein Grund der bisweilen sehr leichten Möglichkeit des Abhörens: Die analoge Datenübertragung weit zunehmend der digitalen. Dennoch ist die Überwachung keine Erfindung der digitalen Revolution. So werde das 2001 vom Europaparlament nachgewiesene weltweite Abhörsystem ECHELON für Festnetz- und Mobil-Telefonie bereits seit etwa 1970 betrieben. Neu sei auch nicht, dass Informationen zu Personen und über Unternehmen aus allen erreichbaren Quellen (Telefon, Handy, Fax, Video-Konferenzen, Internet Mail und Dateiaustausch, Social Media, Video- und Bilddiensten wie YouTube, Cloud-Diensten, Bank-Überweisungen (SWIFT), Kreditkarteninformationen, Fluggastdaten, Passwörter etc.) mit dem jeweiligen Aufenthaltsort über das Mobiltelefon in Echtzeit zusammengeführt werden.
Industriespionage: Stuxnet bereits frei verfügbar
Darüber hinaus werden Industrieprozesse unberechtigt überwacht und fehlgesteuert (Sabotage). Dafür gibt es viele Beispiele: So ist der Computerwurm „stuxnet“ weltweit verbreitet und hat erfolgreich die Uran-Anreicherungsanlage Natanz im Iran bis zur Zerstörung eines Teils der Zentrifugen manipuliert. Der Quellcode von „stuxnet“ und seinen deutlich mehr als 10 Derivaten ist im Internet verfügbar und kann mit geringem Aufwand an andere Ziele wie Kraftwerke und Stromverteilung angepasst werden, mit der Folge von Stromausfällen in weiten Landesteilen, Manipulation von Chemie- und Pharmaproduktionen, Fehlsteuerung von Robotern.
Auch wenn derzeit nur die großflächige Überwachung und gezielte Angriffe auf Computersysteme im Fokus der Aufmerksamkeit stehen, Software ist generell weitgehend unsicher. Selbst Sicherheitssoftware (Viren-Suchprogramme, Firewalls, Intrusion Detection und Prevention Systeme) enthält erfahrungsgemäß viele – nicht immer öffentlich bekannte - Sicherheitslücken (Zero-Day-Vulnerabilities), die von Angreifern ausgenutzt werden. Die Angriffstechnik „Ausnutzung bisher unveröffentlichter Sicherheitslücken“ beherrschen heute auch Sicherheitsbehörden in Drittstaaten sowie größere kriminelle Organisationen.
Richtlinien zur Datensicherheit
Damit also wichtige Unternehmensdaten und personenbezogene nicht in- und ausländischen Mitbewerbern und Behörden (z.B. Nachrichtendiensten) in Echtzeit in die Hände fallen, empfiehlt der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e. V. (GI) folgende Maßnahmen zu ergreifen:
1 Nur unverzichtbar notwendige Daten erfassen, speichern und übertragen (Datensparsamkeit).
2) Ausschließlich hoch abgesicherte Computer und Netze an andere interne und externe Netze oder gar an das Internet anschließen.
3) Sicherheitsmaßnahmen wie Grundschutz und Umsetzung der ISO 27000 Familie (inklusive z.B. Verschlüsselung) stellen nur absolute Mindeststandards dar.
4) Die wichtigsten Programme – insbesondere die Sicherheitsprogramme – müssen auf Sicherheitslücken überprüft und gepatcht werden.