„Das Leben ist kurz, gönn‘ dir eine Affäre“ – mit diesem Slogan und einer hochattraktiven Frau, die mit einem Finger vor den Lippen Diskretion verspricht, wirbt das Seitensprungportal Ashley Madison.
37 Millionen Nutzer hat die Website, die von dem kanadischen Unternehmen Avid Life Media betrieben wird. 37 Millionen Nutzer, die für Diskretion zahlen. Die meisten sind Amerikaner und Kanadier, aber auch 1,2 Millionen Briten haben hier das außereheliche Vergnügen gesucht. Nach Informationen des Guardians sind allein 100 Nutzer mit Mail-Accounts des britischen Verteidigungsministeriums registriert.
Das Zehn-Punkte-Programm der Telekom zur Cyber-Sicherheit
Die Erkenntnisse, die Edward Snowden zur Verfügung gestellt hat, müssen vollständig offengelegt und zugänglich gemacht werden. Nur so können mögliche Schwachstellen im Netz identifiziert und unverzüglich geschlossen werden.
Innerhalb der EU sollten die Mitgliedsländer auf gegenseitiges Ausspionieren des Telekommunikations- und Internetverkehrs verzichten. Auch mit den USA sollte weiterhin ein Abkommen über einen Spionage-Verzicht angestrebt werden.
Sicherheitsbehörden sollten transparent machen, welche Informationen sie über Telekommunikations- und Internetnutzer abfragen. Dazu gehören Anzahl und Art der erfolgten Anfragen und Auskünfte sowie der überwachten Anschlüsse.
Unternehmen müssen Transparenz über Sicherheitsstandards und erfolgte Angriffe schaffen. Nur durch gegenseitige Ergänzung wird ein möglichst umfassender Schutz vor Cyberangriffen erreicht. Die Telekom hat ihre technischen Sicherheitsstandards unter www.telekom.com/sicherheit veröffentlicht und macht Cyberangriffe unter www.sicherheitstacho.eu transparent.
Forschung und Bildung zu Cybersicherheitsthemen müssen verstärkt werden. Die Telekom richtet einen Lehrstuhl für Datenschutz und Datensicherheit an der Hochschule für Telekommunikation in Leipzig ein. Mit der Plattform Teachtoday.de stellt die Telekom zudem Unterrichtsmaterialien für Schulen zum Themenkomplex Sicherheit und Datenschutz bereit.
Analytik und Forensik zur Netzsicherheit müssen verstärkt werden. Dafür sollten die Cyber Emergency Response Teams (CERT) in den Unternehmen ausgebaut und enger verzahnt werden. Neben der Verstärkung ihres Teams fördert die Telekom die Ausbildung von Spezialisten: Gemeinsam mit der IHK Köln wurde 2014 ein neues Qualifikationsprogramm „Cyber Security Professional“ geschaffen. Die Telekom wird in den nächsten Jahren mehrere hundert Mitarbeiter zu IT-Sicherheitsexperten weiterqualifizieren.
Perspektivisch sollten die Inhalte auf dem Übertragungsweg Ende zu Ende verschlüsselt werden. Hier sind Hersteller, Netzbetreiber und Diensteanbieter gleichermaßen gefordert, einfache Lösungen für Kunden zu entwickeln. Die Telekom setzt sich bei den Standardisierungsgremien für einheitliche Verschlüsselungstechniken ein.
Netzbetreiber dürfen sich nicht von einzelnen Herstellern kritischer Infrastrukturkomponenten abhängig machen. Die Telekom führt für diese Elemente eine so genannte georedundante Dual-Vendor-Strategie ein. Bei kritischen Komponenten setzt die Telekom Produkte von mindestens zwei Herstellern aus unterschiedlichen geographischen Regionen ein.
Hersteller von Hard- und Software müssen genauso wie Netz- und Diensteanbieter bekannte Schwachstellen unverzüglich beseitigen. Die Telekom wird ihre Zulieferer dazu verpflichten. Bei besonders kritischen Komponenten sollte die Sicherheit der Produkte durch eine unabhängige Prüfstelle nachgewiesen werden. Das IT-Sicherheitsgesetz sowie die entsprechende Richtlinie der EU sollten das aufgreifen.
Daten dürfen beim Transport durch das Internet keine Umwege durch andere Rechtsräume nehmen. Im Telekom-Netz ist das Internet der kurzen Wege bereits realisiert. Diesen Ansatz will die Telekom mit einer Selbstverpflichtung aller Internetprovider weiter vorantreiben. Damit würde ein unberechtigter Zugriff auf die in Europa transportierten Daten von außerhalb deutlich erschwert.
All das geht aus Daten hervor, die Ashley Madison gesammelt hat und die eine Hacker-Gruppe, die sich Impact Team nennt, im Juli erbeutet hat.
Damals drohten die Hacker, den Datensatz zu veröffentlichen, sollte Avid Life Media nicht Ashley Madison vom Netz zu nehmen – genau so wie ein ebenfalls von ihnen betriebenes, ähnlich geartetes Portal, Established Men. Die Kanadier kamen der Forderung nicht nach.
Die Konsequenz: Die Hacker veröffentlichten am Dienstag einen Datensatz mit einer Größe von rund zehn Gigabyte, der Passwörter, E-Mail-Adressen, Telefonnummern, Chatlogs, sexuelle Vorlieben, Kreditkartentransaktionen und Adressen von rund 32 Millionen Nutzern enthält. Heute haben die Hacker weiteres Material online gestellt, wie Motherboard berichtet: Ein 20 Gigabyte großes Archiv, das neben internen Dokumenten den Quellcode des Portals enthält.
Eine Frage der Zeit, bis die Daten publik werden
Noch sind die Datensätze nur im sogenannten Tor-Netzwerk auffindbar – einem Teil des Internets, der nur mit spezieller Software zugänglich ist. Doch es dürfte nur eine Frage der Zeit sein, bis die Daten, fein-säuberlich aufgereiht, ihren Weg ins offene Internet finden.
Was bald für mehrere Millionen Ehemänner und -frauen zu einem ganz konkreten Problem werden und für Scheidungsanwälte einige lukrative Jobs bringen dürfte, demonstriert auch ein gesamtgesellschaftliches Problem: Unser Leben verlagert sich zunehmend ins Netz – die dabei anfallenden, oft sensiblen Datenmassen werden aber nur unzureichend geschützt.
Die Attacke auf das Seitensprungportal ist nur einer von vielen publik-gewordenen Hackangriffen in jüngster Zeit: Da wären beispielsweise die Angriffe auf den japanischen Elektronikkonzern Sony und den deutschen Bundestag.
„Jede Woche werden Firmen Opfer von Hackangriffen, bei denen Kundendaten erbeutet werden“, sagt Stefan Köpsell, der am Lehrstuhl für Datenschutz und Datensicherheit an der TU Dresden tätig ist.
Dabei haben es die Hacker zumeist nicht besonders schwer: „Die meisten Webunternehmen haben kein tiefgreifendes Datenschutz und -sicherheitskonzept“, so Köpsell. „Es werden immer wieder dieselben Fehler gemacht – sensible Daten und Daten, die unmittelbar für die Funktionsweise des Webportals gebraucht werden, werden nicht getrennt voneinander und nicht verschlüsselt gespeichert.“