HOME

Sicherheit: Wir brauchen IT-Bildung!

Monatlich neue Nachrichten über Hackerangriffe, PC-Sicherheitslücken und vagabundierende Virenprogramme. Wie empfindlich unsere informationstechnischen Infrastrukturen sind, ist offensichtlich. Nur lernen wir nicht aus den Fehlern.

Ein Kommentar von Joachim Jakobs

Rad- und Schlauchbootfahrer wissen: Wenn die Luft raus ist, wird's ungemütlich. Deshalb sorgen sie entsprechend vor: Reparaturwerkzeug wird eingepackt, und Glasscherben werden gemieden.

Bei den Löchern der Informationsgesellschaft ist die Sensibilität weniger stark entwickelt. Kein Wunder - schließlich macht die Schwachstelle in einem PC kein pfeifendes Geräusch. Die Hardware arbeitet immer noch wie gehabt, und eigentlich sieht der Kasten auch so aus wie vorher. In Wahrheit sind die Experten jedoch höchst besorgt über die möglichen Konsequenzen, die mit ungeschützten Systemen verbunden sein können.

Die Risiken sind jedenfalls deutlich größer - zum Beispiel, wenn Cyberkriminelle die Flugzeugkontrolle in den USA übernehmen könnten (so geschehen im Mai 2009), oder dortige Stromnetze kartieren (April 2009) oder in das Netz eines neuen Kampfjet-Entwicklungsprojekts eindringen (ebenfalls April).

Ein Minister als Sicherheitsrisiko

Und so tut Bildung auf allen Ebenen not. Beispiel elektronischer Personalausweis: Offenbar leidet Bundesinnenminister Wolfgang Schäuble nicht nur an akutem Alzheimer; sonst würde er sich nämlich daran erinnern, dass sein eigener Fingerabdruck seit mehr als einem Jahr auf dem Markt ist und jeder Kriminelle Schäubles Spuren am Tatort hinterlassen könnte. Genauso wenig scheint sich der Innenminister dafür zu interessieren, dass die Fingerabdrücke auf den elektronischen Ausweisen manipuliert werden können. Der Innenminister ist zum Sicherheitsrisiko geworden.

Die Perspektive: Kriminelle können sich falsche Fingerabdrücke von Personen beschaffen, die ihnen ähnlich sehen und diese in ihren Ausweis unterbringen. Dann können sie sich in aller Seelenruhe in ganz Europa bewegen, denn der neue Ausweis ist ja angeblich "fälschungssicher".

Sollte ein Angriff unternommen werden, wird man sich vermutlich der Unterstützung der EDV-Mitarbeiter bedienen. Etwa indem man einen mit Viren verseuchten USB-Stick liegen lässt oder der Sekretärin des IT-Leiters eine Mail mit einem Link auf eine virenhaltige Internetseite schickt. Das Fiese bei dieser Methode: Mails mit vergifteten Anhängseln bleiben häufig im Virenscannern stecken. Wenn aber nur ein Link in einer ansonsten schädlingsfreien Nachricht enthalten ist, wird diese Mail keinem Virenscanner auffallen. Um es auf den Punkt zu bringen: Millionen Menschen in Deutschland fahren quasi ohne Führerschein und gefährden damit sich und andere.

Auch die Industrie ist in der Pflicht

Weiter müssen sich die Softwareentwickler unangenehme Fragen nach der Qualität ihrer "Produkte" gefallen lassen: Wenn ein Auto einen technisch bedingten Defekt hat, so muss der Hersteller normalerweise für den Schaden aufkommen. Wie kann es sein, dass die Entwickler von sicherheitskritischer Software Monate nach dem Entdecken einer Sicherheitslücke noch keinen virtuellen Flicken zur Verfügung stellen können, nur weil sie der Meinung sind, es sei "extrem unwahrscheinlich", dass diese ausgenutzt wird? Warum muss der "Hersteller" eines "Softwareprodukts" nicht genauso geradestehen wie der Autohersteller?

Gleiches gilt für die Server-Betreiber. Sie müssten dauernd Löcher stopfen, aktuelle Versionen einspielen und Anwender sicherheitstechnisch beraten und schulen. Die tatsächlichen Reaktionszeiten zeigen die geringe Sensibilität für dieses Thema: So berichtete im vergangenen Jahr die "Financial Times Deutschland" über die Telekom Tochter T-Mobile: "Zudem ließ eine simulierte Attacke auf die IT-Infrastruktur durch interne Hacker nach Einschätzung der Prüfer 'ernst zu nehmende Schwächen' erkennen: Die Angreifer hätten auf finanzielle oder kundenbezogene Daten zugreifen und diese manipulieren können, heißt es in dem streng vertraulichen Bericht für das Telekom-Management."

Derzeit sparen viele Medienunternehmen - auch an redaktionellen Beiträgen zum Thema Sicherheit. Damit erhält die Öffentlichkeit den Eindruck, die Situation hätte sich entspannt. Ein Bekannter von mir aus der IT-Abteilung eines großen Chemieunternehmens ist auf Kurzarbeit. Das wirkt wie eine Einladung an die Kriminellen. Die werden ihre Aktivitäten nicht einschränken, nur weil im Augenblick jeder meint, den Begriff "Krise" rauf- und runterdeklinieren zu müssen. Wirtschaft und Verwaltung sollten jetzt ein Konzept zur Sensibilisierung auf allen Ebenen erstellen. "Wer muss was dazulernen?", scheint mir eine der zentralen Fragen. Im zweiten Schritt sollte überlegt werden, wie das Katz- und Maus- Spiel mit den Kriminellen beendet werden kann.

Was wir brauchen, ist das Gegenteil dessen, was tatsächlich passiert: Mehr Investitionen, mehr Berichterstattung, mehr Sensibilisierung. Ansonsten könnte es uns wie einem Radfahrer ergehen, der durch Glasscherben fährt.

Themen in diesem Artikel
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.