Sicherheitsexperte über Sony-Hack: "Es ist noch keiner gestorben"

taz: Herr Gaycken, Hacker haben bei Sony Millionen Nutzerdaten illegalerweise kopiert - inklusive Kreditkarteninformationen. Eine Katastrophe?

Sandro Gaycken: Diese Sony-Geschichte wurde in der Presse total hochgekocht. Der Schaden, der bei diesen Diebstählen bei kommerziellen Datenbankenbetreibern entsteht, ist aber faktisch nicht sehr groß. Die Täter sind entweder Kleinkriminelle, die Betrügereien durchziehen wollen, bei denen aber bislang immer noch jeder Schaden rückerstattet wird. Oder die Täter sind Werber, die gezielte Werbung platzieren wollen. In beiden Fällen ist noch niemand gestorben, keine Existenz wurde ruiniert. Nur Kreditkartenunternehmen und Rückversicherer sind diffus geschädigt. Starke staatliche Überwachung als anderes Datenschutzthema halte ich da im Vergleich für wesentlich schwieriger. Da entstehen reale Probleme in unserem Verhältnis zum Staat. Aber in Fällen wie Sony bin ich eher bei der Masse der Bevölkerung, die sagt: Da ist nichts Schlimmes passiert, das juckt mich nicht.

Ist der Datenverlust von Sony ein Einzelfall?

Von der Dimension her ist das natürlich schon eine Riesengeschichte. Aber eigentlich ist das nichts Neues. Wir haben Einbrüche wie diesen am laufenden Band. Im Kleinen fast täglich und im Großen auch recht regelmäßig, mit zwei, drei, vier Events pro Jahr. In der Regel sind die Unternehmen oft recht lax mit Sicherheit, gerade gegen Innentäter wie verärgerte Angestellte.

Das heißt: Was jetzt bei Sony passiert ist, kann theoretisch bei jedem Konzern passieren?

Na klar. Sony hält sich noch mit Details zurück - wahrscheinlich weil sie nicht in der Lage sind, das Leck schnell zu schließen. Viele Unternehmen machen bei der IT-Sicherheit nur das Nötigste, das, wozu sie gesetzlich verpflichtet werden, weil das ein teurer Posten ist. Und sie versuchen oft, Einbrüche geheim zu halten, um Imageschäden und Klagen zu vermeiden. Dass dieser Fall ans Licht gekommen ist, ist vielleicht eine Kommunikationspleite bei Sony.

Sony wird jetzt dafür kritisiert, wie sie die Kreditkarteninformationen verschlüsselt haben. Zu Recht?

Ein kritischer Sicherheitsaspekt ist sicher, dass diese Millionen Daten alle zentral vorrätig gehalten waren. Das macht man eigentlich nicht, wegen des hohen Sicherheitsrisikos: Wenn da einmal einer einbricht - oder eben ein Insider etwas abzieht -, dann sind die sofort alle weg. Aber es spart eben viel Geld und Aufwand. Da müsste jetzt der Staat regulierend eingreifen. Das wird ja aktuell politisch diskutiert. Das sind aber alte Gedanken. Wenn ein solches Thema in den Medien herumgeistert, wird da immer mal wieder drüber geredet - und nach ein paar Tagen ebbt die Debatte wieder ab.

Was wären denn sinnvolle politische Forderungen?

Sicher kann man die Unternehmen, die jetzt von diesen Datenpannen betroffen sind, dazu auffordern, mehr in Sicherheit zu investieren. Dazu müsste man Regulierungsbehörden einrichten, die die IT-Sicherheit von Firmen kontrollieren. Allerdings ist unklar, was man da vorgeben sollte. Es gibt eine Reihe von sehr harten Sicherheitsmechanismen, aber unter denen leiden oft Funktionalität, Effizienz und damit Kosten-Nutzen-Verhältnisse. Dagegen werden sich die Firmen wehren. Und: Sehr gute Sicherheit müsste auf Forschungsstand operieren, was schwierig ist. Da hat man einen chronischen Nachteil. Schließlich wird auch die Frage aufkommen: Wie stark muss man regulieren? Eine mögliche Argumentation ist: Wenn die Unternehmen nicht in der Lage sind, ihre Daten zu sichern, muss sich der Staat mit Strafverfolgung einschalten, um abzuschrecken.

Der Sony-Hack könnte Überwachungsfans Auftrieb geben?

Wenn die Unternehmen keine Datensicherheit leisten, werden im Staat schnell Stimmen laut, die eine erhöhte Internetüberwachung wie die Vorratsdatenspeicherung einfordern, weil man da - mit viel Glück - sehen könnte, wer bei Sony eingestiegen ist. Dann stellt sich allerdings die Frage nach der Verhältnismäßigkeit - denn mit einer solchen Maßnahme sind Bürgerrechte und Freiheitsempfinden in einem großen Maße beschränkt und gefährdet. Plötzlich hat man also auf beiden Seiten ein Datenschutzproblem. Und staatliche Überwachung wiegt da sehr viel schwerer als die für den Nutzer banalen und kaum folgenreichen kommerziellen Datenpannen.

Sie sind nicht geschockt - weniger erfahrene Nutzer vielleicht schon. Steht uns eine Vertrauenskrise des Internets bevor?

Mich würde es schwer wundern, wenn diese Sony-Geschichte eine Vertrauenskrise in das Internet auslösen würde. Ältere sehen das alles skeptisch - aber die hatten sowieso nie Vertrauen in die Technologie. Jüngere, die auch bei Facebook und anderswo im Netz umtriebig sind, die schreckt das gar nicht ab. Meiner Meinung nach ist das keine ganz unberechtigte Haltung.