Was haben Amazons Kindle, Linkedin, Yahoo Voice, Click-and-Buy oder das Spielenetzwerk Gamigo gemein? Richtig, alle hatten in diesem Jahr mit Datendiebstahl und Sicherheitslücken zu kämpfen. Und die Dimension ist gewaltig: allein bei Gamigo wurden 8,2 Millionen E-Mail-Adressen mit dazugehörigen Passwörtern gestohlen. Offiziell speichert zwar (fast) jedes Unternehmen diese Daten verschlüsselt ab, de facto erfordert eine richtige Verschlüsselung jedoch viel Fachkenntnis – und die ist bei Unternehmen längst nicht so oft gegeben, wie man es als Kunde erwarten würde.
Beim Gamigo-Hack folgte dann die „Erfolgsmeldung“ binnen kürzester Zeit: ein Hacker gab an, dass 94% der verschlüsselten Passwörter binnen kürzester Zeit geknackt werden konnten, sprich: sie sind ihm bekannt. Die Liste kursierte sogar für einige Zeit im Web, die zum entschlüsseln nötigen Tools werden heute noch auf Youtube erklärt.
Fachleute empfehlen Zwischenlösungen
Aufgrund der Vielzahl an virtuellen Einbruchstouren empfehlen viele Sicherheitsexperten, dass man keine Passwörter recyclen und stattdessen für jede Website und jeden Dienst separate Login-Daten nutzen solle. Klarer Fall: wird eine Website geknackt und die Daten gelangen in falsche Hände, kann der Dieb sie zumindest nicht auf anderen Sites wiederverwenden. Doch ist das die Lösung? Und ist sie praktikabel? Ich meine, dass ist sie nicht.
Rechtssicherheit im Netz wird gebraucht
Es ist absehbar, dass der elektronische Personalausweis und die virtuelle Geldbörse kommen werden. Der politische Wille und die Nachfrage nach diesen Produkten ist da – und deshalb werden diese hochsensiblen Daten in den Umlauf kommen. Bleibt die Frage nach der Sicherheit dieser Daten, ist sie gegeben? Ich meine, nein!
Sicherheit lohnt sich noch nicht
Der Gesetzgeber in Deutschland, aber auch in den USA, hat zwar Spionage, Sabotage und Diebstahl von Daten richtigerweise unter Strafe gestellt. Allerdings hat er den Unternehmen auch zugebilligt, dass selbst ein Hauch von Verschlüsselung und Cybersecurity ausreicht, um juristisch nachweisen zu können, dass man die Daten seiner Kunden nicht grob fahrlässig aufbewahrt hat.
Goldkisten auf dem Bürgersteig
Um es mit einem Bild zu beschreiben: die Daten eines Unternehmens sind „Gold“ wert. Doch zu viele Firmen stellen ihre Goldkiste auf den Bürgersteig einer großen Straße und ketten sie mit einem Fahrradschloss an eine Laterne. Dass der 6-stellige Code des Fahrradschlosses erraten oder die Kette des Schlosses gar mit einem Bolzenschneider durchtrennt werden kann, ist jedem normalen Menschen klar. Einzig unserem Gesetzgeber fehlt hierfür die Fantasie.
Und dann wird es sich ändern…
Doch die Gelassenheit der Unternehmen wird nicht ewig so weiter gehen. Heute können Unternehmen den Datendiebstahl verkraften, denn de facto werden ja „nur“ Kopien der Daten gestohlen. Klar, zwar leidet auch das Image des Unternehmens, aber mal ehrlich: ändert sich Ihr Konsumverhalten, nur weil Sie jetzt wissen, dass allein Sony letztes Jahr mehrfach Datendiebstähle nicht hat verhindern können? Vermutlich nicht.
Der Wind wird sich erst drehen, wenn der Diebstahl zur Sabotage wird, wenn Cybersecurity in Cyberwar dreht. Der Diebstahl der Daten ist ärgerlich, aber letztlich verkraftbar. Wenn jedoch Einbrecher erstmals hergehen und sukzessive die Kundendaten eines Unternehmens durchmischen, wirds gefährlich. Eine geänderte Mailadresse hier, eine neue Telefonnummer dort, es würde kaum jemand merken. Falls so ein Prozess ein paar Wochen oder gar Monate unbemerkt laufen könnte, hätte jedes Unternehmen ein Problem – was im übrigen auch nicht mehr mit Backups in den Griff zu bekomemn wäre.
Und dann würde es sich ändern, falls es für die betroffene Firma dann nicht schon zu spät ist.
Die Moral von der Geschicht‘
Wenn wir bei TriPuls heute mit unseren Kunden und Partnern darüber reden, neue Websites und Webshops online zu bringen, steht das Thema Security oft noch zu weit im Hintergrund. „Securityupdates kosten Geld und bestenfalls funktioniert die Website hinterher so gut wie vorher“, so beschreibt mancher das Problem, wenn TYPO3, xt:Commerce & Co nach Wartung verlangen, die an der Oberfläche nicht sichtbar ist. „Wieso müssen wir da was ändern, funktioniert doch alles“, ist auch eine Einstellung, die man in diesem Kontext antrifft. Doch das muss aufhören.
Wer eine Website, einen Shop, einen Online-Dienst betreibt, muss sich mit dem Thema Security auseinander setzen. Und wer das selbst nicht kann oder will, muss es Fachleute machen lassen – die muss man dann aber auch machen lassen.
Pingback: Datensicherheit lohnt sich noch nicht | Andreas W. Ditze
Pingback: Datensicherheit lohnt sich noch nicht – Andreas W. Ditze