Von Haus aus bin ich Optimist und felsenfest davon überzeugt, dass es zumindest Oasen der Sicherheit in einer immer stärker vernetzten Welt geben wird. Nach all den Debatten über sichere IT- und Mobilfunksysteme in den vergangenen Wochen hatte ich insgeheim sogar gehofft, dass es schon bald erste Indizien für eine Trendwende gibt und sich die größten Lücken und Einfallstore für Cyberangriffe mit etwas mehr Vorsicht und Sorgfalt beim Entwickeln und Installieren von Software ausmerzen lassen. Doch die vielen Warnmeldungen der vergangenen Woche haben meinen Hoffnungen gleich mehrere Dämpfer verpasst.
Ich gehe mit Ihnen mal kurz die Nachrichten durch: vor nicht ganz einer Woche warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer „äußerst kritischen Schwachstelle“ in den Windows-Betriebssystemen von Microsoft. Sie könne ähnlich hohe Schäden anrichten wie das Schadprogramm Wannacry, das vor zwei Jahren mehrere hunderttausend Computer auf der ganzen Welt lahmlegte. Fast zeitgleich gibt Google zum ersten Mal offiziell zu, dass jedes Jahr Millionen von fabrikneuen Smartphones mit fest installierten Schadprogrammen auf den Markt kommen. Und dann reiht sich auch noch Facebook in diese prominente Riege ein und hat zugegeben – wie schon Amazon bei seinem Sprachassistenten – Mitarbeiter abgestellt zu haben, die heimlich Sprachnachrichten von Nutzern abhören.
Zumindest die besonders sensiblen Biometrie-Daten der Internet-Nutzer liegen in einem sicheren IT-Tresor, dachte ich noch vor einer Woche – und wurde erneut eines Besseren belehrt. 28 Millionen Fingerabdrücke und Gesichtsscans, die auf einer gigantischen Datenbank eines koreanischen Anbieters liegen, waren über das Netz frei einsehbar.
Und dann zerstört das renommierte Fraunhofer-Institut für sichere Informationstechnik (SIT) mit einem Sicherheitstest auch noch meinen Glauben in sichere Internet-Telefonie. Die Sicherheitsforscher fanden in modernen Voice-über-IP-Telefonen, die meist in Unternehmen zum Einsatz kommen, 40 zum Teil gravierende Sicherheitslücken. Hacker können über diese Lücken Gespräche abhören, das Telefon außer Betrieb setzen und tiefer ins Firmennetz eindringen. Eine Schwachstelle ist besonders gefährlich, weil Angreifer sogar die komplette administrative Kontrolle über die Telefonanlage erlangen können, warnt das SIT. Stephan Huber, einer der beteiligten SIT-Forscher, hatte selbst nicht mit solch verheerenden Ergebnissen gerechnet. „Da diese Geräte schon lange auf dem Markt sind, müssten sie dementsprechend getestet und sicher sein.“ Die Enttäuschung spiegelt sich auch in der Wortwahl wider. Das SIT spricht in seiner Pressemitteilung von einem „Sicherheitstotalausfall“.
Das eigentlich tragische an all diesen Hiobsbotschaften ist: Die Nutzer, aber auch die Verantwortlichen in Politik und Wirtschaft, nehmen das mehr oder weniger achselzuckend hin. Dabei wäre es langsam Zeit, ein stabiles und sicheres Fundament für ein digitales Deutschland zu bauen. Doch solche Projekte schoben Unternehmen und Behörden schon in Boom-Zeiten nur widerwillig an. Und in der sich jetzt abzeichnenden Rezession stehen dafür noch weniger Gelder bereit. Viel über Sicherheit reden und wenig dafür tun – diese Hinhalte-Strategie wird uns wahrscheinlich noch länger begleiten.
