piwik no script img

Informationslecks im InternetSensible Daten, schlecht geschützt

Die Datenpanne in Meldestellen hat gezeigt, wie gefährdet private Daten im Internet sind. Aus Kostengründen und Bequemlichkeit laufen immer weniger sensible Infos über unzugängliche Netze.

Warum, so fragen sich Experten, haben die Meldestellen die Informationen nicht sorgfältiger abgesichert?

Anfang dieser Woche wurde bekannt, dass Meldedaten Hunderttausender Bürger mit einfachsten Mitteln im Internet zu finden waren - teilweise sogar mit Bild, Religionszugehörigkeit und Lohnsteuerdaten. Mehrere deutsche Gemeinden hatten einen Anfängerfehler in Sachen IT-Sicherheit begangen und ein Standardpasswort in der zuständigen Software beibehalten, das schließlich bekannt wurde, meldete das öffentlich-rechtliche Fernsehmagazin Report München. So hatten Gauner die Möglichkeit, sich mehrere Monate lang genaueste Daten zu besorgen, um beispielsweise Identitätsdiebstahl zu betreiben, also etwa auf Kosten anderer im Internet einzukaufen oder Bankkonten zu eröffnen.

Die Lücke soll inzwischen geschlossen sein.Noch ist unklar, ob die Informationen tatsächlich für kriminelle Machenschaften verwendet wurden. In den Gemeinden sucht man derzeit nach den Verantwortlichen und will seine Sicherheitsstrategie überdenken. Für betroffene Bürger stellt sich derweil vor allem eine zentrale Frage: Wie konnte es überhaupt sein, dass solch sensible Daten wie Melderegister über das freie Internet zugreifbar waren? Und: Gehören solche äußerst schützenswerten Datenbanken nicht deutlich stärker abgesichert?

Die Affäre um die Meldedaten ist nur ein Beispiel dafür, was passieren kann, wenn immer mehr sensible Anwendungen ins Internet wandern. Dabei handelt es sich um einen starken Trend: Galt früher eine strikte Trennung zwischen Firmen- und Behördennetzwerken und dem offenen Netz, nutzen inzwischen immer mehr Organisationen das Internet als Hauptträgermedium. "Da gibt es Anwendungen, die eigentlich nicht bereit für das Netz sind und eher ins interne Intranet passen", meint Matthias Rosche vom Ismaninger IT-Sicherheitsunternehmen Integralis. Es eröffneten sich inzwischen "ganz neue Spielwiesen und Zugriffsmöglichkeiten".

Nicht, dass eine Absicherung sensibler Anwendungen im Internet unmöglich wäre: Technologien wie virtuelle private Netzwerke (VPNs), die den gesamten Datenverkehr vom Nutzerrechner bis zum Server verschlüsseln, sind seit langem vorhanden. Auch helfen so genannte "Application Firewalls" - Torwächtercomputer für Web-Programme -, dass Hackangriffe ins Leere laufen. Das Problem ist allerdings, dass sie längst nicht überall eingesetzt werden. Im Fall der Meldedatenaffäre wundert sich Experte Rosche, dass es überhaupt möglich gewesen ist, sich mit einer einfachen Account-Passwort-Kombination als "Superbenutzer" anzumelden. "Solche Systeme benötigen ganz andere Absicherungssysteme. Ein Geldhaus käme ja auch nicht auf die Idee, beim Homebanking ohne PINs und TANs zu arbeiten." Viele dieser Lösungen seien "erstaunlich schlecht programmiert", Organisationen überfordert, mit der komplexen Technik der neuen "E-Government"-Anwendungen umzugehen. "Die Behörden holen sich jetzt eine blutige Nase."

Der Trend zur Nutzung öffentlicher Netze für sensible Anwendungen setzt sich inzwischen sogar in den Bereich kritischer Infrastrukturen fort. So demonstrierten IT-Sicherheitsexperten in den USA, wie sich Kraftwerksmitarbeiter mit einer gezielten Trojaner-Attacke dazu verleiten ließen, Kontrollrechner gegenüber Angreifern zu öffnen. Dass solche Systeme überhaupt mit dem Internet in Verbindung stehen, habe sich über Jahre ergeben, sagt der US-Security-Forscher Ira Winkler. "Die Firmen begannen damit, die Funktionalitäten von Business- und Kontroll-PCs zu kombinieren, weil das billiger war - man glaubte damals, dass keine Verbindung nach außen entstehen würde." Schließlich habe man sich aber entschieden, auch noch einen Internet-Zugang einzurichten. Die Sicherheitslage ist keineswegs in jeder Anlage derart kritisch; europäische Infrastrukturen gelten wegen zentralisierter Ansätze beispielsweise als sicherer. Dennoch ließ sich kürzlich der US-Kongress in einer Anhörung mögliche Horrorszenarien ausmalen - und versprach, schnell zu reagieren.

Die Verbindung geschäftlicher und behördlicher Anwendungen über das Internet habe viele Vorteile, räumt Experte Rosche ein. Man müsse dabei nur sicherstellen, dass keine Lücken entstünden - doch die gäbe es reichlich. Sein Unternehmen biete seit einigen Monaten einen Sicherheitscheck für Web-Anwendungen an, der kostenlos sei, sollten keine Löcher entdeckt werden. Er habe bei über einem Dutzend entsprechender Projekten noch jedes Mal eine Rechnung schreiben müssen.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

3 Kommentare

 / 
  • R
    renoBandit

    zum Thema Datenschutz kann ich eine aktuelle Reportage vom Handelsblatt empfehlen:

    http://www.handelsblatt.com/News/Unternehmen/IT-Medien/_pv/_p/201197/_t/ft/_b/1447222/default.aspx/wenn-der-lueckensucher-kommt.html

     

    Geht um die Sisyphosarbeit des Datenschutzbeauftragten der BRD.

    69 Mitarbeiter beim Bundesdatenschutz, kontrollieren 3000 Firmen und Behörden.

    Dabei schaffen sie nur eine Handvoll "Hausbesuche" im Jahr.

    Und wenn wunderts,...

    SIE FINDEN IMMER SICHERHEITSLÜCKEN.

     

    Inwieweit sensible Daten bereits für Kriminelle Machenschaften verwendet lässt sich nur erahnen,..

     

    Also liebe

    "Ich habe nichts zu verbergen Fraktion":

     

    Wenn ihr zufällig mal ein paar Rechnungen zweifelhaften Ursprungs bekommt,.. euer Handy vor lauter SMS-Spam nicht mehr zur Ruhe kommt, dann könntet ihr euch mal langsam überlegen, ob ihr vielleicht doch etwas zu verbergen habt,...

  • M
    MK-ULTRA

    Man kann nur noch auf den totalen Datengau warten. Sobald die eGK mit allen soweit verfügbaren Gesundheitsdaten zentral gespeichert werden. Dann kommt noch durch die Vorratsdatenspeicherung die Möglichkeit hinzu, ein Bewegungs- und Bekanntschaftsprofil zu erstellen.

    Doch leider ist das noch nicht alles. Zu den nächsten Unannehmlichkeiten gehört die JobCard, mit der Einkommensnachweise elektronisch erfasst werden.

    Da das Bankgeheimnis in Deutschland faktisch abgeschaft ist, kann man sich ausmalen, welche Möglichkeiten für staatliche Stellen bei einem Systemwechsel entstehen und bei einem Datengau für die Bürger in diesem Land.

    Es gilt, die JobCard zu verhindern.

    de.wikipedia.org/wiki/JobCard

  • B
    Boiteltoifel

    Die Firma, die für die besagten Meldedaten-Programme zuständig ist, ist ein Billiganbieter, der in den letzten Jahren die teurere Konkurrenz aus dem Weg geräumt hat. Entsprechend sind die Programme von Stümpern erstellt. Was sich bei mir auf der Arbeit (zum Glück nicht das Meldeamt!) "nur" in absolut benutzerunfreundlicher Handhabung äußert, kann über das Netz schnell zu den geschilderten Problemen führen. Das ist ein weiteres feines Beispiel dafür, daß Geiz nicht immer geil ist. Da die Kommunen aber aus Geldmangel und politischem Sparwahn zum Kauf von Billigware gezwungen werden, darf man sich über die Konsequenzen nicht wundern.