HOME

Sicherheit: Wir brauchen IT-Bildung!

Monatlich neue Nachrichten über Hackerangriffe, PC-Sicherheitslücken und vagabundierende Virenprogramme. Wie empfindlich unsere informationstechnischen Infrastrukturen sind, ist offensichtlich. Nur lernen wir nicht aus den Fehlern.

Ein Kommentar von Joachim Jakobs

Rad- und Schlauchbootfahrer wissen: Wenn die Luft raus ist, wird's ungemütlich. Deshalb sorgen sie entsprechend vor: Reparaturwerkzeug wird eingepackt, und Glasscherben werden gemieden.

Bei den Löchern der Informationsgesellschaft ist die Sensibilität weniger stark entwickelt. Kein Wunder - schließlich macht die Schwachstelle in einem PC kein pfeifendes Geräusch. Die Hardware arbeitet immer noch wie gehabt, und eigentlich sieht der Kasten auch so aus wie vorher. In Wahrheit sind die Experten jedoch höchst besorgt über die möglichen Konsequenzen, die mit ungeschützten Systemen verbunden sein können.

Die Risiken sind jedenfalls deutlich größer - zum Beispiel, wenn Cyberkriminelle die Flugzeugkontrolle in den USA übernehmen könnten (so geschehen im Mai 2009), oder dortige Stromnetze kartieren (April 2009) oder in das Netz eines neuen Kampfjet-Entwicklungsprojekts eindringen (ebenfalls April).

Ein Minister als Sicherheitsrisiko

Und so tut Bildung auf allen Ebenen not. Beispiel elektronischer Personalausweis: Offenbar leidet Bundesinnenminister Wolfgang Schäuble nicht nur an akutem Alzheimer; sonst würde er sich nämlich daran erinnern, dass sein eigener Fingerabdruck seit mehr als einem Jahr auf dem Markt ist und jeder Kriminelle Schäubles Spuren am Tatort hinterlassen könnte. Genauso wenig scheint sich der Innenminister dafür zu interessieren, dass die Fingerabdrücke auf den elektronischen Ausweisen manipuliert werden können. Der Innenminister ist zum Sicherheitsrisiko geworden.

Die Perspektive: Kriminelle können sich falsche Fingerabdrücke von Personen beschaffen, die ihnen ähnlich sehen und diese in ihren Ausweis unterbringen. Dann können sie sich in aller Seelenruhe in ganz Europa bewegen, denn der neue Ausweis ist ja angeblich "fälschungssicher".

Sollte ein Angriff unternommen werden, wird man sich vermutlich der Unterstützung der EDV-Mitarbeiter bedienen. Etwa indem man einen mit Viren verseuchten USB-Stick liegen lässt oder der Sekretärin des IT-Leiters eine Mail mit einem Link auf eine virenhaltige Internetseite schickt. Das Fiese bei dieser Methode: Mails mit vergifteten Anhängseln bleiben häufig im Virenscannern stecken. Wenn aber nur ein Link in einer ansonsten schädlingsfreien Nachricht enthalten ist, wird diese Mail keinem Virenscanner auffallen. Um es auf den Punkt zu bringen: Millionen Menschen in Deutschland fahren quasi ohne Führerschein und gefährden damit sich und andere.

Auch die Industrie ist in der Pflicht

Weiter müssen sich die Softwareentwickler unangenehme Fragen nach der Qualität ihrer "Produkte" gefallen lassen: Wenn ein Auto einen technisch bedingten Defekt hat, so muss der Hersteller normalerweise für den Schaden aufkommen. Wie kann es sein, dass die Entwickler von sicherheitskritischer Software Monate nach dem Entdecken einer Sicherheitslücke noch keinen virtuellen Flicken zur Verfügung stellen können, nur weil sie der Meinung sind, es sei "extrem unwahrscheinlich", dass diese ausgenutzt wird? Warum muss der "Hersteller" eines "Softwareprodukts" nicht genauso geradestehen wie der Autohersteller?

Gleiches gilt für die Server-Betreiber. Sie müssten dauernd Löcher stopfen, aktuelle Versionen einspielen und Anwender sicherheitstechnisch beraten und schulen. Die tatsächlichen Reaktionszeiten zeigen die geringe Sensibilität für dieses Thema: So berichtete im vergangenen Jahr die "Financial Times Deutschland" über die Telekom Tochter T-Mobile: "Zudem ließ eine simulierte Attacke auf die IT-Infrastruktur durch interne Hacker nach Einschätzung der Prüfer 'ernst zu nehmende Schwächen' erkennen: Die Angreifer hätten auf finanzielle oder kundenbezogene Daten zugreifen und diese manipulieren können, heißt es in dem streng vertraulichen Bericht für das Telekom-Management."

Derzeit sparen viele Medienunternehmen - auch an redaktionellen Beiträgen zum Thema Sicherheit. Damit erhält die Öffentlichkeit den Eindruck, die Situation hätte sich entspannt. Ein Bekannter von mir aus der IT-Abteilung eines großen Chemieunternehmens ist auf Kurzarbeit. Das wirkt wie eine Einladung an die Kriminellen. Die werden ihre Aktivitäten nicht einschränken, nur weil im Augenblick jeder meint, den Begriff "Krise" rauf- und runterdeklinieren zu müssen. Wirtschaft und Verwaltung sollten jetzt ein Konzept zur Sensibilisierung auf allen Ebenen erstellen. "Wer muss was dazulernen?", scheint mir eine der zentralen Fragen. Im zweiten Schritt sollte überlegt werden, wie das Katz- und Maus- Spiel mit den Kriminellen beendet werden kann.

Was wir brauchen, ist das Gegenteil dessen, was tatsächlich passiert: Mehr Investitionen, mehr Berichterstattung, mehr Sensibilisierung. Ansonsten könnte es uns wie einem Radfahrer ergehen, der durch Glasscherben fährt.

Themen in diesem Artikel