Geklaute US-Kreditkartendaten: "Auch deutsche Firmen sind bedroht"

Können Firmen Hacker-Angriffe wie in den USA verhindern? Der IT-Sicherheitsexperte Thomas Maus über Cyberkriminalität.

Handel mit geklauten Kreditkartendaten ist heute ertragreicher als Porno- und Drogenhandel, sagt Maus. Bild: dpa

taz: Herr Maus, wer steckt dahinter, wenn Daten von 130 Millionen Kreditkarten im Internet gestohlen werden?

Thomas Maus: Hier geht es um eine kriminelle Schattenwirtschaft mit durchorganisierten Geschäftsmodellen. Die Cyberkriminellen, die die Daten beschaffen, stehen nur am Anfang einer langen Verwertungskette. Es gibt einen globalen Hehler-Markt für Kreditkartendaten. Diese Daten können zum Beispiel in Ländern, deren Unternehmen mit niedrigen Sicherheitsstandards arbeiten, zum Bezahlen verwendet werden. Die Rendite, die in dieser Szene pro investiertem Euro erwirtschaftet wird, übersteigt inzwischen die des Menschenhandels, der Prostitution und des Drogenhandels.

Wie gelingt es den Cyberkriminelle, sich Daten von Kreditkarten millionenfach zu besorgen?

In diesem Fall haben Angreifer einen bösartigen Programmcode in die Computersysteme von Firmen eingeschleust. Mit so einer Software können sie die Abrechnungssysteme und die Datenbanken der Firmen fernsteuern und auf alle Kreditkartennummern zugreifen. Von der Methode sind auch deutsche Firmen und Kunden bedroht.

Wie können Unternehmen verhindern, dass Kriminelle ihre Computer kontrollieren?

Nach dem Stand der Dinge sind Unternehmen solchen Angriffen relativ wehrlos ausgeliefert, selbst wenn sie sich um Sicherheit bemühen. Das Kernproblem ist, dass unser komplettes IT-Fundament unter Sicherheitsaspekten völlig desolat ist. Es gibt unzählige Wege des Angriffs. Wir haben es zugelassen, dass die Sicherheit von Software seit 20 Jahren nicht als Qualitätskriterium gewertet wurde. Schutzmaßnahmen können oft ausgehebelt werden, weil sie auf Sand bauen.

Wie groß ist das Risiko durch Cyberkriminalität für die Nutzer von Kreditkarten?

Bei Kreditkarten ist das finanzielle Risiko nicht so groß, weil jeder Kunde seine Kreditkartenabrechnung prüfen und anfechten kann. In der Regel wird er dann nicht zahlen müssen. Wer seine Abrechnung sorgfältig prüft, kann den Schaden vermeiden.

Worauf soll man besonders achten, um einen Missbrauch der Kreditkarte zu vermeiden?

Generell gilt: Eine unprofessionell gemachte Website hat mit hoher Wahrscheinlichkeit ihre Sicherheit nicht im Griff. Man sollte auch alle Webseiten meiden, die sich in dubiosen Geschäftsfeldern wie Pornografie oder obskuren Medikamenten tummeln. Wenn ein Metzgerladen voller Fliegen ist, sollten Sie auch wieder rausgehen. Genau so ist das auch im Web.

Reichen die Gesetze gegen Computerkriminalität in Deutschland aus?

IT-Sicherheit und Datenschutz gehören zusammen wie linker und rechter Schuh. Beim Datenschutz hat Deutschland aber ein großes Defizit. Hier können wir von den USA lernen. Dort muss zum Beispiel jedes Unternehmen, das eine Datenpanne hat, von sich aus die Kundinnen und Kunden informieren. Deutschland hat noch nicht erkannt, dass bessere Datenschutzgesetze ein wirtschaftlicher Vorteil wären. Sie wären jedoch für viele ein Anreiz, online Geschäfte bei deutschen Anbietern zu machen.

INTERVIEW: TARIK AHMIA