piwik no script img

taz zahl ich

Nach Hackerangriff auf IT-Firma KaseyaAlles offline ist nicht die Lösung

Kommentar von Svenja Bergt

Eine Cyber-Attacke legt Supermärkte und Datenbanken lahm. Ein Grund, Digitales an und für sich zu verdammen, ist das nicht.

Hand mit Netzwerkstecker
Brauchen wir wieder mehr Offline-Systeme? Die Frage ist falsch gestellt, findet unsere Autorin Foto: Panthermedia/imago

E ine Hacker:innen-Gruppe greift einen IT-Dienstleister an, Supermärkte müssen schließen, Firmen kommen nicht an ihre Daten und schon steht die Frage im Raum: Brauchen wir wieder mehr Offline-Systeme?

Ja. Und nein. Eine gute Digitalisierungsstrategie würde eine sorgfältige Analyse und Abwägung verlangen, wo und welche Systeme digital und online laufen sollten – und welche besser nicht. Eine pauschale Antwort im Sinne von „Möglichst viel ans Netz hängen“ ist dabei ebenso Unsinn wie ein pauschales „Möglichst viel muss offline laufen“. So hat eine Abwägung unter anderem zu berücksichtigen, ob bei einem Angriff sensible Daten betroffen wären – etwa im Gesundheitssektor.

Im Handel gibt es dagegen gute Gründe, nicht mehr flächendeckend auf die handbediente Registrierkasse zu setzen. Zum Beispiel die Planung des Warenbestandes: Wird Verkauftes automatisch ausgebucht, lassen sich leere Regale oder überfüllte Lager viel besser vermeiden. Gerade im Lebensmittelhandel ist das ein Faktor, der Verschwendung reduziert.

Ein digitales Warenwirtschaftssystem ist ebenfalls Voraussetzung, um mit vertretbarem Aufwand Produkte nicht nur im Laden, sondern auch online zu verkaufen. Und da müssen wir hin: dass kleine Läden auch online selbst verkaufen können, Zielgruppen über ihren Standort hinaus erschließen, und nicht auf Plattformen wie Amazon angewiesen sind.

Der Punkt ist weniger die Digitalisierung der Systeme an sich, sondern das Wie.

Natürlich ist es trotzdem ein Problem, wenn ein Cyberangriff Versorgungsinfrastruktur lahmlegt. Aber der Punkt ist hier weniger die Digitalisierung der Systeme an sich, sondern das Wie: Die Betroffenen haben auf einen zentralen, externen Dienstleister gesetzt, der per se schon ein attraktiveres Angriffsziel ist als eine einzelne Supermarktkette. Und der, so scheint es, bei der IT-Sicherheit noch Verbesserungspotenzial hat.

Um einen echten Wandel zu schaffen, muss sich bei sämtlichen Akteur:innen, politischen wie wirtschaftlichen, eine Erkenntnis durchsetzen: IT-Sicherheit ist keine Kür, sondern Pflicht.

Links lesen, Rechts bekämpfen

Gerade jetzt, wo der Rechtsextremismus weiter erstarkt, braucht es Zusammenhalt und Solidarität. Auch und vor allem mit den Menschen, die sich vor Ort für eine starke Zivilgesellschaft einsetzen. Die taz kooperiert deshalb mit Polylux. Das Netzwerk engagiert sich seit 2018 gegen den Rechtsruck in Ostdeutschland und unterstützt Projekte, die sich für Demokratie und Toleranz einsetzen. Eine offene Gesellschaft braucht guten, frei zugänglichen Journalismus – und zivilgesellschaftliches Engagement. Finden Sie auch? Dann machen Sie mit und unterstützen Sie unsere Aktion. Noch bis zum 31. Oktober gehen 50 Prozent aller Einnahmen aus den Anmeldungen bei taz zahl ich an das Netzwerk gegen Rechts. In Zeiten wie diesen brauchen alle, die für eine offene Gesellschaft eintreten, unsere Unterstützung. Sind Sie dabei? Jetzt unterstützen

Svenja Bergt

 Redakteurin für Wirtschaft und Umwelt
schreibt über vernetzte Welten, digitale Wirtschaft und lange Wörter (Datenschutz-Grundverordnung, Plattformökonomie, Nutzungsbedingungen). Manchmal und wenn es die Saison zulässt, auch über alte Apfelsorten. Bevor sie zur taz kam, hat sie unter anderem für den MDR als Multimedia-Redakteurin gearbeitet. Autorin der Kolumne Digitalozän.
Themen #Cyberattacke #Internet #Überwachung
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Ein hangeschriebenes Schild.

Kriminaliät im Internet

„Alarmstufe rot“ bei IT-Sicherheit

Noch nie war die deutsche Cybersicherheit so gefährdet wie 2021, zeigt der aktuelle BSI-Lagebericht. Viele Cyberkriminelle professionalisieren sich.
Von Marilena Piesker
Hangeschriebenes Schild "out of gas" an einer Tankstelle

Cyberangriff auf IT-Dienstleister

Zahlreiche Firmen lahmgelegt

Eine weitreichende Cyberattacke auf einen US-Dienstleister betrifft zahlreiche Firmen. In Schweden müssen Filialen einer Supermarktkette schließen.
Kund:innen schieben ihre Auto zu einer Tankstelle in North Carolina

Hackerangriffe nehmen weltweit zu

Unsichtbarer Krieg in den Servern

Pipelines und Krankenhäuser: Cyberangriffe treffen oft sensible Ziele – und die Zahl der Fälle steigt, vor allem wegen der Sicherheitslücken.
Von Malaika Rivuzumwami

10 Wochen im Probeabo

taz digital + wochentaz print testen

Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört. 100% konzernfrei. Jetzt ausprobieren.
Jetzt bestellen

11 Kommentare

 / 
  • S

    Die Kunden (Supermarktketten, Energieunternehmen, Krankenhäuser, Industriebetriebe usw.) sparen gerne bei der hauseigenen IT-Abteilung. Kostet nur und trägt nichts zum Shareholder Value bei. Also werden Dienstleister beauftragt, die müssen ihre Konkurrenten unterbieten, also wird der Service One-Fits-All gestaltet, Fernwartung erledigt irgendein unterbezahlter ITler von Rumänien oder Indien aus, und alles liegt in der (Ge-)Klaut.



    Dezentrale Speicherung der Datenbanken und ein Backup-Management, das auch vom Dienstleister eingerichtet werden könnte, wäre das Minimum an Vorsorge. Dann könnte immer noch im Ernstfall das System platt gemacht und ein alter Zustand wieder aufgespielt werden. Lücken müssten durch Schätzwerte provisorisch geflickt werden und dann sukzessive (z.B. durch Inventur) bereinigt werden. Aber das kostet ja Geld und Hirnschmalz.

    Finanzielle Schulden: Man verschafft sich Ressourcen, indem man sich Kapital leiht. Später muss man dieses zurückzahlen, zuzüglich Zinsen.

    Technische Schulden: Man verschafft sich Ressourcen, indem man notwendige technische Investitionen unterlässt. Später muss man i.d.R. nachbessern, zu wesentlich höheren Kosten (Zinsen). Je länger man wartet, um so teurer wird es. Müssten diese Schulden in den Bilanzen geführt werden, sähe es mit der IT-Sicherheit vermutlich besser aus.

  •

    99,9% aller gelungenen Hackerzugriffe sind auf schlampiges IT-Management der Firewall, der Aktualisierung der Serversysteme und falsch designter Netzwerke zurück zu führen. Wenn ich bei meinen Kunden oft erlebe, wie jeder Arbeitsplatz einen direkten Zugang zum Internet und dem Intranet hat, wundert es mich nicht, dass die Hacker so leichtes Spiel haben. Ein falscher Klick eines Lagerarbeiters in einer Mail und schon sind die Serverdaten verschlüsselt.

    Um dies zu vermeiden benötigt es aber qualifizierter IT-Spezialisten und keine "Umschüler". Diese sind rar und teuer. Und so lange der Vertrieb oder das Marketing sich durchsetzt, weil sie lieber eine weitere Statistik programmieren lassen wollen, statt dass man in Sicherheit investiert, so lange bleiben unsere Unternehmen für Hacker ein Schweizer Käse, überall Löcher.



    Das Problem ist meist Hausgemacht, weil man für IT-Sicherheit kein Geld ausgeben will, nach dem Motto "Das bringt uns ja keine Marktvorteile".



    Ich arbeite in IT-Sicherheit und weiß von was ich hier berichte.

  •

    Mehr Sicherheit ist machbar , kostet aber (wen wunderts) auch Geld.

    Und da geht es schon los. Ein Anbieter will erstmal "billig" sein, daher macht er sicherheitsmäßig nur das notwendigste. Das betrachte ich aber als grob fahrlässig.

    Was meiner Meinung hier not tut wäre, solche Anbieter zum Schadensersatz heranzuziehen, und dies in Größenordnungen, die so hoch sind, dass der Anbieter in Zukunft alles tun wird, um Sicherheitslücken zu vermeiden.

    PS:



    Klar wird damit das Produkt teuerer, was er verkauft. Aber Airbags kosten auch Geld und trotzdem verkauft keiner mehr einen Neuwagen ohne.

  • 4G
    4813 (Profil gelöscht)

    digitales und www-offline funktioniert.

  • S

    Wie (u.a.) Linus Neumann vom CCC sagt: "Alle praktisch relevanten Probleme [der IT-Sicherheit] sind theoretisch gelöst. Es gibt zurzeit keine essentiellen praktisch relevanten Herausforderungen, deren theoretische Lösung unbekannt wäre. Trotzdem ist der Zustand der IT-Sicherheit in der Praxis desaströs."



    (www.ccc.de/system/...2_CCC_Neumann.pdf)

    Jetzt bräuchte man halt bloß noch entsprechende Anreize, das auch umzusetzen. Stattdessen haben wir aber Regierungen, die lieber Lücken offenhalten lassen (jüngstes Geheimdienstegesetz), aktiv Lücken einbauen lassen wollen (kurz vor der Abstimmung im EuParl stehende Regelungen zur angebl. "KiPo-Bekämpfung"), keine Produkthaftungsregeln für Software einführen, explizit Horror-Software wie Luca bewerben, bei der Netzwerktechnik unbewiesene Huawei-Popanze aufbauen und gleichzeitig bewiesene(!) Lücken bei den Amerikanern mit aller Macht ignorieren, den Datenschutz (ja, der gehört da auch dazu) bei jeder dummen Gelegenheit als Sündenbock vorschieben, ... wie lange soll ich noch weitermachen?

    • 9G
      90118 (Profil gelöscht)
      @sponor:

      Leider ist dies das korrekte Resümee der aktuellen Situation, ein Anlass zur Hoffnung auf eine bessere Entwicklung scheint derzeit nicht zu existieren.

  • J

    > Um einen echten Wandel zu schaffen, muss sich bei sämtlichen Akteur:innen, politischen wie wirtschaftlichen, eine Erkenntnis durchsetzen: IT-Sicherheit ist keine Kür, sondern Pflicht.

    Informationsnetzwerke sind halt nur so lange nützlich, wie man der Integrität der übertragenen Daten vertrauen kann, diese verfügbar sind, und ihre Vertraulichkeit z.B. im Fall von sensiblen medizinischen Informationen (wie z.B. "Dieser Mensch hatte eine Corona-Infektion und könnte an Long Covid leiden") geschützt sind.

    Denn, letztlich kommunizieren wir mittels Symbolen. Können wir nicht darauf vertrauen, dass die Symbole der Realität entsprechen, so bricht das System zusammen. Das ist so beim analogen Lügen, wie auch bei Geldscheinen die nur so aussehen, als wären sie echt, bis hin zu per Mail verschickten Rechnungen mit gefälschten IBANs.

    Leider lässt sich diese Anforderung nach Integrität nicht damit vereinbaren, wenn Regierungsbehörden in derartige Systeme einbrechen oder sie manipulieren. Das ist halt einfach so, wie wenn die Notenbank auch mal Falschgeld druckt.

  • P

    Allerdings denke ich mit leichtem Bauchgrimmen an die nicht mehr ferne Zukunft, in der Fahrzeuge nicht mehr von menschlicher, sondern von künstlicher Intelligenz gelenkt werden. Was da alles möglich sein wird, mittels fahrlässig oder vorsätzlich eingebauten Programmierfehlern . . .

    • WW
      @Pfanni:

      Warum sollte das denn anders laufen also üblich? Da ich aus der IT komme, mal ein Blick in das Geschäft. Da wird zuerst vom Einkauf des Autokonzerns der billigste Anbieter herausgesucht - Expertise hin, Qualität her, Geld ist wichtiger... und das ist dann eine Mischkalkulation aus lokalem Hersteller und Balkan/Indien/ Russland... Was bei billig und schnell herauskommt: Siehe Boeing 777 800-Max... Dann steht zwar im Vertrag ein Lieferdatum, allerdings ist der Einkaufsprozess wieder mal träge, Urlaubszeit, etwas liegen geblieben und schon sind es wieder sechs Wochen bis zwei Monate weniger, die nie mehr aufzuholen sind. Es gibt zwar Termine, aber immer wieder Sonderwünsche - so etwa "jaaa, das Programm muss aber nicht nur für unsere Luxusreihe passen, sondern soll auch noch leicht für die Mittelklasse adaptierbar sein und wenn sie das nicht hinbekommen sieht es für Folgeaufträge schlecht aus" - und dann kommt völlig überraschend eine Automesse oder -präsentation mit Vorstands- oder Ministeranwesenheit und dann muss alles auf einmal fertig sein, obwohl der Liefertermin so nicht im Vertrag drinstand. Es wird etwas geliefert... Und es passiert etwas. Bevorzugt in den USA. Es droht ein Prozess, viele Millionen $/€/... stehen auf dem Spiel, der Betrag - siehe Thema Geld weiter oben - lässt endlich das Licht zwischen bestimmten Ohren angehen und auf einmal muss an der Qualität gearbeitet werden.



      Warum dass sich das die Dienstleister gefallen lassen? Weil sie davon leben. Warum sollen sie sich dagegen wehren, damit wären sie am Ende. Bei der Autobranche gibt es unter Einrechnung aller Exoten eine zweistellige Anzahl an Konzernen. Sich gegen diese Praktiken wäre genau so wahrscheinlich wie wenn sich Steuerberater gegen unsere sch... Steuergesetze protestieren würden!

    • IB
      @Pfanni:

      Deshalb braucht es in solchen Bereichen entsprechende Qualitäts- und Sicherheitsstandards. Systeme die zB Ampelanlagen oder Passagierflugzeuge steuern laufen ja auch verhältnismäßig sicher und zuverlässig. Die Beträge die die Entwicklung auf einem solchen Standard kostet möchten typische KMU ohne eigene IT-Kompetenz, die ihr konkretes Problem einfach nur schnell und billig gelöst haben wollen aber idR nicht investieren. Entsprechend müssen sie eben die Kosten eines solchen Angriffs in ihrer Kalkulation berücksichtigen.

meistkommentiert

1

Große Batteriespeicher

Der nächste Schritt der Stromwende

2

Israels Kriegsführung im Libanon

Ein Waffenembargo ist zwingend

3

Steuerrefrom

SPD will Normalverdiener entlasten

4

Schwuler Bürgermeister tritt zurück

„Eine Menge Druck“

5

Humanitäre Lage im Gazastreifen

„Gaza ist eine tickende Zeitbombe“

6

Emotionen und Medien

Panik zieht