„Das Leben ist kurz, gönn‘ dir eine Affäre“ – mit diesem Slogan und einer hochattraktiven Frau, die mit einem Finger vor den Lippen Diskretion verspricht, wirbt das Seitensprungportal Ashley Madison.
37 Millionen Nutzer hat die Website, die von dem kanadischen Unternehmen Avid Life Media betrieben wird. 37 Millionen Nutzer, die für Diskretion zahlen. Die meisten sind Amerikaner und Kanadier, aber auch 1,2 Millionen Briten haben hier das außereheliche Vergnügen gesucht. Nach Informationen des Guardians sind allein 100 Nutzer mit Mail-Accounts des britischen Verteidigungsministeriums registriert.
Das Zehn-Punkte-Programm der Telekom zur Cyber-Sicherheit
Die Erkenntnisse, die Edward Snowden zur Verfügung gestellt hat, müssen vollständig offengelegt und zugänglich gemacht werden. Nur so können mögliche Schwachstellen im Netz identifiziert und unverzüglich geschlossen werden.
Innerhalb der EU sollten die Mitgliedsländer auf gegenseitiges Ausspionieren des Telekommunikations- und Internetverkehrs verzichten. Auch mit den USA sollte weiterhin ein Abkommen über einen Spionage-Verzicht angestrebt werden.
Sicherheitsbehörden sollten transparent machen, welche Informationen sie über Telekommunikations- und Internetnutzer abfragen. Dazu gehören Anzahl und Art der erfolgten Anfragen und Auskünfte sowie der überwachten Anschlüsse.
Unternehmen müssen Transparenz über Sicherheitsstandards und erfolgte Angriffe schaffen. Nur durch gegenseitige Ergänzung wird ein möglichst umfassender Schutz vor Cyberangriffen erreicht. Die Telekom hat ihre technischen Sicherheitsstandards unter www.telekom.com/sicherheit veröffentlicht und macht Cyberangriffe unter www.sicherheitstacho.eu transparent.
Forschung und Bildung zu Cybersicherheitsthemen müssen verstärkt werden. Die Telekom richtet einen Lehrstuhl für Datenschutz und Datensicherheit an der Hochschule für Telekommunikation in Leipzig ein. Mit der Plattform Teachtoday.de stellt die Telekom zudem Unterrichtsmaterialien für Schulen zum Themenkomplex Sicherheit und Datenschutz bereit.
Analytik und Forensik zur Netzsicherheit müssen verstärkt werden. Dafür sollten die Cyber Emergency Response Teams (CERT) in den Unternehmen ausgebaut und enger verzahnt werden. Neben der Verstärkung ihres Teams fördert die Telekom die Ausbildung von Spezialisten: Gemeinsam mit der IHK Köln wurde 2014 ein neues Qualifikationsprogramm „Cyber Security Professional“ geschaffen. Die Telekom wird in den nächsten Jahren mehrere hundert Mitarbeiter zu IT-Sicherheitsexperten weiterqualifizieren.
Perspektivisch sollten die Inhalte auf dem Übertragungsweg Ende zu Ende verschlüsselt werden. Hier sind Hersteller, Netzbetreiber und Diensteanbieter gleichermaßen gefordert, einfache Lösungen für Kunden zu entwickeln. Die Telekom setzt sich bei den Standardisierungsgremien für einheitliche Verschlüsselungstechniken ein.
Netzbetreiber dürfen sich nicht von einzelnen Herstellern kritischer Infrastrukturkomponenten abhängig machen. Die Telekom führt für diese Elemente eine so genannte georedundante Dual-Vendor-Strategie ein. Bei kritischen Komponenten setzt die Telekom Produkte von mindestens zwei Herstellern aus unterschiedlichen geographischen Regionen ein.
Hersteller von Hard- und Software müssen genauso wie Netz- und Diensteanbieter bekannte Schwachstellen unverzüglich beseitigen. Die Telekom wird ihre Zulieferer dazu verpflichten. Bei besonders kritischen Komponenten sollte die Sicherheit der Produkte durch eine unabhängige Prüfstelle nachgewiesen werden. Das IT-Sicherheitsgesetz sowie die entsprechende Richtlinie der EU sollten das aufgreifen.
Daten dürfen beim Transport durch das Internet keine Umwege durch andere Rechtsräume nehmen. Im Telekom-Netz ist das Internet der kurzen Wege bereits realisiert. Diesen Ansatz will die Telekom mit einer Selbstverpflichtung aller Internetprovider weiter vorantreiben. Damit würde ein unberechtigter Zugriff auf die in Europa transportierten Daten von außerhalb deutlich erschwert.
All das geht aus Daten hervor, die Ashley Madison gesammelt hat und die eine Hacker-Gruppe, die sich Impact Team nennt, im Juli erbeutet hat.
Damals drohten die Hacker, den Datensatz zu veröffentlichen, sollte Avid Life Media nicht Ashley Madison vom Netz zu nehmen – genau so wie ein ebenfalls von ihnen betriebenes, ähnlich geartetes Portal, Established Men. Die Kanadier kamen der Forderung nicht nach.
Die Konsequenz: Die Hacker veröffentlichten am Dienstag einen Datensatz mit einer Größe von rund zehn Gigabyte, der Passwörter, E-Mail-Adressen, Telefonnummern, Chatlogs, sexuelle Vorlieben, Kreditkartentransaktionen und Adressen von rund 32 Millionen Nutzern enthält. Heute haben die Hacker weiteres Material online gestellt, wie Motherboard berichtet: Ein 20 Gigabyte großes Archiv, das neben internen Dokumenten den Quellcode des Portals enthält.
Eine Frage der Zeit, bis die Daten publik werden
Noch sind die Datensätze nur im sogenannten Tor-Netzwerk auffindbar – einem Teil des Internets, der nur mit spezieller Software zugänglich ist. Doch es dürfte nur eine Frage der Zeit sein, bis die Daten, fein-säuberlich aufgereiht, ihren Weg ins offene Internet finden.
Was bald für mehrere Millionen Ehemänner und -frauen zu einem ganz konkreten Problem werden und für Scheidungsanwälte einige lukrative Jobs bringen dürfte, demonstriert auch ein gesamtgesellschaftliches Problem: Unser Leben verlagert sich zunehmend ins Netz – die dabei anfallenden, oft sensiblen Datenmassen werden aber nur unzureichend geschützt.
Die Attacke auf das Seitensprungportal ist nur einer von vielen publik-gewordenen Hackangriffen in jüngster Zeit: Da wären beispielsweise die Angriffe auf den japanischen Elektronikkonzern Sony und den deutschen Bundestag.
„Jede Woche werden Firmen Opfer von Hackangriffen, bei denen Kundendaten erbeutet werden“, sagt Stefan Köpsell, der am Lehrstuhl für Datenschutz und Datensicherheit an der TU Dresden tätig ist.
Dabei haben es die Hacker zumeist nicht besonders schwer: „Die meisten Webunternehmen haben kein tiefgreifendes Datenschutz und -sicherheitskonzept“, so Köpsell. „Es werden immer wieder dieselben Fehler gemacht – sensible Daten und Daten, die unmittelbar für die Funktionsweise des Webportals gebraucht werden, werden nicht getrennt voneinander und nicht verschlüsselt gespeichert.“
Die aktuellen Datenschutzstandards
Bei Ashley Madison handelt es sich um ein kanadisches Unternehmen, damit fällt es nicht unter die deutsche Datenschutz- und IT-Sicherheitsgesetzgebung, die unter anderem Anbieter verpflichten sensible Daten (etwa mit Bezug zur Gesundheit oder sexuellen Orientierung) zu verschlüsseln und in Bezug auf Sicherheitsstandards immer den Stand der Technik einzuhalten.
„Das Recht der USA ist nicht so harmonisiert wie das deutsche und bald das europäische“, sagt Rolf Schwartmann, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit und Professor für Medienrecht an der FH Köln. „Aber auch dort gelten auf vertraglicher Basis jedenfalls vergleichbare Verpflichtungen.“
In den USA und Kanada werden die Sicherheitsstandards vor allem über Selbstverpflichtungen gegenüber den Kunden gewährleistet. So können sie im Missbrauchsfall mit rechtlichen Schritten teils empfindliche Strafen gegen die Unternehmen erwirken . Den Kunden hilft das allerdings nur bedingt – der Datendiebstahl ist längst vollzogen und der Ruf mitunter zerstört.
Doch egal ob die gesetzliche Regulierung hierzulande oder die Selbstverpflichtung auf der anderen Seite des Atlantiks: Zu bringen scheinen die Maßnahmen wenig, wie die jüngsten Angriffe zeigen. Und das ist erst der Anfang.
„Die Zahl der Angriffe wird stark zunehmen“, sagt Köpsell. Mit erbeuteten Daten lässt sich gutes Geld verdienen – etwa indem Hacker das Unternehmen erpressen oder sie auf dem Schwarzmarkt verkaufen. „Zudem sind solche Angriffe relativ risikolos. Wer sich geschickt anstellt, kann ohne weiteres seine Spuren verwischen.“
Auf große Schwierigkeiten stoßen die Hacker dabei selten. „Nicht einmal besonders großes technisches Know-How ist heute noch notwendig“, sagt Köpsell. Auf den einschlägigen Seiten werden Tools angeboten, die Interessierte kaufen oder mieten können und die ausreichen, um solche Angriffe durchzuführen.
Mögliche Lösungsansätze
Laut Schwartmann erhöht sich die Attraktivität für Hackangriffe weiter dadurch, dass heutzutage fast jeder seine Kontodaten auf dem Smartphone mit sich herumträgt. „Die Zahl der Angriffsziele erhöht sich stetig.“
Die Frage ist, was zu tun bleibt. „Vom gesetzlichen Anforderungsprofil haben wir viel von dem, was wir brauchen“, sagt Schwartmann. Gibt der Bund etwa konkrete technische Richtlinien vor, wäre das lediglich eine Behinderung. „Technische Richtlinien in diesem Bereich sind viel zu kurzlebig“, so Köpsell.
Schwartmann sieht deswegen die Unternehmen in der Pflicht: „Sie müssen begreifen, dass die Diskretion und die Sicherheit der Daten ihr Geschäft sind.“ Deshalb plädiert er dafür, dass die Webunternehmer gewisse Selbstkontrollmechanismen entwickeln – wie sie etwa in der Automobilbranche längst Standard sind.
Köpsell glaubt, der Gesetzgeber sollte einen Pauschalwert festlegen, der jedem Nutzer, dessen Daten durch das Verschulden eines Unternehmens verloren gegangen sind, zusteht. Im Falle von Ashley Madison, denen 33 Millionen Datensätze gestohlen worden sind, würde das zu einem gigantischen finanziellen Schaden für das Unternehmen führen – selbst wenn nur 100 Dollar pro Datensatz anfielen.
Das finanzielle Risiko könnte zu einem Umdenken innerhalb der Branche führen. „Aktuell stoßen IT-Sicherheitsdienstleister in den Management-Etagen zu oft auf taube Ohren, weil Sicherheitslücken für die Unternehmen nur selten finanzielle Konsequenzen haben“, sagt Köpsell. Durch die Pauschale hätten die Firmen von sich aus ein Interesse daran, stetig in den Datenschutz zu investieren.
