Kriminaliät im Internet
„Alarmstufe rot“ bei IT-Sicherheit
Noch nie war die deutsche Cybersicherheit so gefährdet wie 2021, zeigt der aktuelle BSI-Lagebericht. Viele Cyberkriminelle professionalisieren sich.
Cyberangriff auf IT-Dienstleister
Zahlreiche Firmen lahmgelegt
Eine weitreichende Cyberattacke auf einen US-Dienstleister betrifft zahlreiche Firmen. In Schweden müssen Filialen einer Supermarktkette schließen.
Hackerangriffe nehmen weltweit zu
Unsichtbarer Krieg in den Servern
Pipelines und Krankenhäuser: Cyberangriffe treffen oft sensible Ziele – und die Zahl der Fälle steigt, vor allem wegen der Sicherheitslücken.
Alle Artikel zum Thema
Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.
Haben Sie Probleme beim Kommentieren oder Registrieren?
Dann mailen Sie uns bitte an kommune@taz.de.
Schnetzelschwester
Die Kunden (Supermarktketten, Energieunternehmen, Krankenhäuser, Industriebetriebe usw.) sparen gerne bei der hauseigenen IT-Abteilung. Kostet nur und trägt nichts zum Shareholder Value bei. Also werden Dienstleister beauftragt, die müssen ihre Konkurrenten unterbieten, also wird der Service One-Fits-All gestaltet, Fernwartung erledigt irgendein unterbezahlter ITler von Rumänien oder Indien aus, und alles liegt in der (Ge-)Klaut.
Dezentrale Speicherung der Datenbanken und ein Backup-Management, das auch vom Dienstleister eingerichtet werden könnte, wäre das Minimum an Vorsorge. Dann könnte immer noch im Ernstfall das System platt gemacht und ein alter Zustand wieder aufgespielt werden. Lücken müssten durch Schätzwerte provisorisch geflickt werden und dann sukzessive (z.B. durch Inventur) bereinigt werden. Aber das kostet ja Geld und Hirnschmalz.Finanzielle Schulden: Man verschafft sich Ressourcen, indem man sich Kapital leiht. Später muss man dieses zurückzahlen, zuzüglich Zinsen.
Technische Schulden: Man verschafft sich Ressourcen, indem man notwendige technische Investitionen unterlässt. Später muss man i.d.R. nachbessern, zu wesentlich höheren Kosten (Zinsen). Je länger man wartet, um so teurer wird es. Müssten diese Schulden in den Bilanzen geführt werden, sähe es mit der IT-Sicherheit vermutlich besser aus.
Rudi Hamm
![]()
99,9% aller gelungenen Hackerzugriffe sind auf schlampiges IT-Management der Firewall, der Aktualisierung der Serversysteme und falsch designter Netzwerke zurück zu führen. Wenn ich bei meinen Kunden oft erlebe, wie jeder Arbeitsplatz einen direkten Zugang zum Internet und dem Intranet hat, wundert es mich nicht, dass die Hacker so leichtes Spiel haben. Ein falscher Klick eines Lagerarbeiters in einer Mail und schon sind die Serverdaten verschlüsselt.
Um dies zu vermeiden benötigt es aber qualifizierter IT-Spezialisten und keine "Umschüler". Diese sind rar und teuer. Und so lange der Vertrieb oder das Marketing sich durchsetzt, weil sie lieber eine weitere Statistik programmieren lassen wollen, statt dass man in Sicherheit investiert, so lange bleiben unsere Unternehmen für Hacker ein Schweizer Käse, überall Löcher.
Das Problem ist meist Hausgemacht, weil man für IT-Sicherheit kein Geld ausgeben will, nach dem Motto "Das bringt uns ja keine Marktvorteile".
Ich arbeite in IT-Sicherheit und weiß von was ich hier berichte.Bunte Kuh
![]()
Mehr Sicherheit ist machbar , kostet aber (wen wunderts) auch Geld.
Und da geht es schon los. Ein Anbieter will erstmal "billig" sein, daher macht er sicherheitsmäßig nur das notwendigste. Das betrachte ich aber als grob fahrlässig.
Was meiner Meinung hier not tut wäre, solche Anbieter zum Schadensersatz heranzuziehen, und dies in Größenordnungen, die so hoch sind, dass der Anbieter in Zukunft alles tun wird, um Sicherheitslücken zu vermeiden.
PS:
Klar wird damit das Produkt teuerer, was er verkauft. Aber Airbags kosten auch Geld und trotzdem verkauft keiner mehr einen Neuwagen ohne.4813 (Profil gelöscht)
Gast
digitales und www-offline funktioniert.
sponor
Wie (u.a.) Linus Neumann vom CCC sagt: "Alle praktisch relevanten Probleme [der IT-Sicherheit] sind theoretisch gelöst. Es gibt zurzeit keine essentiellen praktisch relevanten Herausforderungen, deren theoretische Lösung unbekannt wäre. Trotzdem ist der Zustand der IT-Sicherheit in der Praxis desaströs."
(www.ccc.de/system/...2_CCC_Neumann.pdf)Jetzt bräuchte man halt bloß noch entsprechende Anreize, das auch umzusetzen. Stattdessen haben wir aber Regierungen, die lieber Lücken offenhalten lassen (jüngstes Geheimdienstegesetz), aktiv Lücken einbauen lassen wollen (kurz vor der Abstimmung im EuParl stehende Regelungen zur angebl. "KiPo-Bekämpfung"), keine Produkthaftungsregeln für Software einführen, explizit Horror-Software wie Luca bewerben, bei der Netzwerktechnik unbewiesene Huawei-Popanze aufbauen und gleichzeitig bewiesene(!) Lücken bei den Amerikanern mit aller Macht ignorieren, den Datenschutz (ja, der gehört da auch dazu) bei jeder dummen Gelegenheit als Sündenbock vorschieben, ... wie lange soll ich noch weitermachen?
90118 (Profil gelöscht)
Gast
@sponor Leider ist dies das korrekte Resümee der aktuellen Situation, ein Anlass zur Hoffnung auf eine bessere Entwicklung scheint derzeit nicht zu existieren.
jox
> Um einen echten Wandel zu schaffen, muss sich bei sämtlichen Akteur:innen, politischen wie wirtschaftlichen, eine Erkenntnis durchsetzen: IT-Sicherheit ist keine Kür, sondern Pflicht.
Informationsnetzwerke sind halt nur so lange nützlich, wie man der Integrität der übertragenen Daten vertrauen kann, diese verfügbar sind, und ihre Vertraulichkeit z.B. im Fall von sensiblen medizinischen Informationen (wie z.B. "Dieser Mensch hatte eine Corona-Infektion und könnte an Long Covid leiden") geschützt sind.
Denn, letztlich kommunizieren wir mittels Symbolen. Können wir nicht darauf vertrauen, dass die Symbole der Realität entsprechen, so bricht das System zusammen. Das ist so beim analogen Lügen, wie auch bei Geldscheinen die nur so aussehen, als wären sie echt, bis hin zu per Mail verschickten Rechnungen mit gefälschten IBANs.
Leider lässt sich diese Anforderung nach Integrität nicht damit vereinbaren, wenn Regierungsbehörden in derartige Systeme einbrechen oder sie manipulieren. Das ist halt einfach so, wie wenn die Notenbank auch mal Falschgeld druckt.
Pfanni
Allerdings denke ich mit leichtem Bauchgrimmen an die nicht mehr ferne Zukunft, in der Fahrzeuge nicht mehr von menschlicher, sondern von künstlicher Intelligenz gelenkt werden. Was da alles möglich sein wird, mittels fahrlässig oder vorsätzlich eingebauten Programmierfehlern . . .
Wolfgang Wilhelm
@Pfanni Warum sollte das denn anders laufen also üblich? Da ich aus der IT komme, mal ein Blick in das Geschäft. Da wird zuerst vom Einkauf des Autokonzerns der billigste Anbieter herausgesucht - Expertise hin, Qualität her, Geld ist wichtiger... und das ist dann eine Mischkalkulation aus lokalem Hersteller und Balkan/Indien/ Russland... Was bei billig und schnell herauskommt: Siehe Boeing 777 800-Max... Dann steht zwar im Vertrag ein Lieferdatum, allerdings ist der Einkaufsprozess wieder mal träge, Urlaubszeit, etwas liegen geblieben und schon sind es wieder sechs Wochen bis zwei Monate weniger, die nie mehr aufzuholen sind. Es gibt zwar Termine, aber immer wieder Sonderwünsche - so etwa "jaaa, das Programm muss aber nicht nur für unsere Luxusreihe passen, sondern soll auch noch leicht für die Mittelklasse adaptierbar sein und wenn sie das nicht hinbekommen sieht es für Folgeaufträge schlecht aus" - und dann kommt völlig überraschend eine Automesse oder -präsentation mit Vorstands- oder Ministeranwesenheit und dann muss alles auf einmal fertig sein, obwohl der Liefertermin so nicht im Vertrag drinstand. Es wird etwas geliefert... Und es passiert etwas. Bevorzugt in den USA. Es droht ein Prozess, viele Millionen $/€/... stehen auf dem Spiel, der Betrag - siehe Thema Geld weiter oben - lässt endlich das Licht zwischen bestimmten Ohren angehen und auf einmal muss an der Qualität gearbeitet werden.
Warum dass sich das die Dienstleister gefallen lassen? Weil sie davon leben. Warum sollen sie sich dagegen wehren, damit wären sie am Ende. Bei der Autobranche gibt es unter Einrechnung aller Exoten eine zweistellige Anzahl an Konzernen. Sich gegen diese Praktiken wäre genau so wahrscheinlich wie wenn sich Steuerberater gegen unsere sch... Steuergesetze protestieren würden!Ingo Bernable
@Pfanni Deshalb braucht es in solchen Bereichen entsprechende Qualitäts- und Sicherheitsstandards. Systeme die zB Ampelanlagen oder Passagierflugzeuge steuern laufen ja auch verhältnismäßig sicher und zuverlässig. Die Beträge die die Entwicklung auf einem solchen Standard kostet möchten typische KMU ohne eigene IT-Kompetenz, die ihr konkretes Problem einfach nur schnell und billig gelöst haben wollen aber idR nicht investieren. Entsprechend müssen sie eben die Kosten eines solchen Angriffs in ihrer Kalkulation berücksichtigen.
CDU-Grundsatzprogramm zu Muslim*innen
Begründete Wut
Die CDU beschäftigt sich in ihrem Grundsatzprogramm mit dem Islam – und grenzt die Religion damit explizit aus. Dabei war die Partei schon einmal weiter.
Höcke-Prozess wegen SA-Parole
Ausreden eines Geschichtslehrers
Reisen in der Klimakrise
Längere Urlaube helfen Klima
Die Wahrheit
Blöd gelaufen
Umfrage zu Abtreibungen in Deutschland
Große Mehrheit für Legalisierung
Nach Hackerangriff auf IT-Firma Kaseya: Alles offline ist nicht die Lösung
Eine Cyber-Attacke legt Supermärkte und Datenbanken lahm. Ein Grund, Digitales an und für sich zu verdammen, ist das nicht.
Brauchen wir wieder mehr Offline-Systeme? Die Frage ist falsch gestellt, findet unsere Autorin Foto: Panthermedia/imago
Eine Hacker:innen-Gruppe greift einen IT-Dienstleister an, Supermärkte müssen schließen, Firmen kommen nicht an ihre Daten und schon steht die Frage im Raum: Brauchen wir wieder mehr Offline-Systeme?
Ja. Und nein. Eine gute Digitalisierungsstrategie würde eine sorgfältige Analyse und Abwägung verlangen, wo und welche Systeme digital und online laufen sollten – und welche besser nicht. Eine pauschale Antwort im Sinne von „Möglichst viel ans Netz hängen“ ist dabei ebenso Unsinn wie ein pauschales „Möglichst viel muss offline laufen“. So hat eine Abwägung unter anderem zu berücksichtigen, ob bei einem Angriff sensible Daten betroffen wären – etwa im Gesundheitssektor.
Im Handel gibt es dagegen gute Gründe, nicht mehr flächendeckend auf die handbediente Registrierkasse zu setzen. Zum Beispiel die Planung des Warenbestandes: Wird Verkauftes automatisch ausgebucht, lassen sich leere Regale oder überfüllte Lager viel besser vermeiden. Gerade im Lebensmittelhandel ist das ein Faktor, der Verschwendung reduziert.
Ein digitales Warenwirtschaftssystem ist ebenfalls Voraussetzung, um mit vertretbarem Aufwand Produkte nicht nur im Laden, sondern auch online zu verkaufen. Und da müssen wir hin: dass kleine Läden auch online selbst verkaufen können, Zielgruppen über ihren Standort hinaus erschließen, und nicht auf Plattformen wie Amazon angewiesen sind.
Der Punkt ist weniger die Digitalisierung der Systeme an sich, sondern das Wie.
Natürlich ist es trotzdem ein Problem, wenn ein Cyberangriff Versorgungsinfrastruktur lahmlegt. Aber der Punkt ist hier weniger die Digitalisierung der Systeme an sich, sondern das Wie: Die Betroffenen haben auf einen zentralen, externen Dienstleister gesetzt, der per se schon ein attraktiveres Angriffsziel ist als eine einzelne Supermarktkette. Und der, so scheint es, bei der IT-Sicherheit noch Verbesserungspotenzial hat.
Um einen echten Wandel zu schaffen, muss sich bei sämtlichen Akteur:innen, politischen wie wirtschaftlichen, eine Erkenntnis durchsetzen: IT-Sicherheit ist keine Kür, sondern Pflicht.
Fehler auf taz.de entdeckt?
Wir freuen uns über eine Mail an fehlerhinweis@taz.de!
Inhaltliches Feedback?
Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.
Schwerpunkt Überwachung
Kommentar von
Svenja Bergt
Redakteurin für Wirtschaft und Umwelt
schreibt über vernetzte Welten, digitale Wirtschaft und lange Wörter (Datenschutz-Grundverordnung, Plattformökonomie, Nutzungsbedingungen). Manchmal und wenn es die Saison zulässt, auch über alte Apfelsorten. Bevor sie zur taz kam, hat sie unter anderem für den MDR als Multimedia-Redakteurin gearbeitet. Autorin der Kolumne Digitalozän.
Themen