piwik no script img

Sicherheitsexperte über Sony-Hack"Es ist noch keiner gestorben"

War der Datendiebstahl bei Sony der "größte Hack aller Zeiten"? Sicherheitsexperte Sandro Gaycken meint: unwichtig. Und spricht mit der taz über den laxen Umgang mit dem Thema Sicherheit.

Kein Theater, sondern die Entschuldigung japanischer Sony-Manager. : dapd
Meike Laaff
Interview von Meike Laaff

taz: Herr Gaycken, Hacker haben bei Sony Millionen Nutzerdaten illegalerweise kopiert - inklusive Kreditkarteninformationen. Eine Katastrophe?

Sandro Gaycken: Diese Sony-Geschichte wurde in der Presse total hochgekocht. Der Schaden, der bei diesen Diebstählen bei kommerziellen Datenbankenbetreibern entsteht, ist aber faktisch nicht sehr groß. Die Täter sind entweder Kleinkriminelle, die Betrügereien durchziehen wollen, bei denen aber bislang immer noch jeder Schaden rückerstattet wird. Oder die Täter sind Werber, die gezielte Werbung platzieren wollen. In beiden Fällen ist noch niemand gestorben, keine Existenz wurde ruiniert. Nur Kreditkartenunternehmen und Rückversicherer sind diffus geschädigt. Starke staatliche Überwachung als anderes Datenschutzthema halte ich da im Vergleich für wesentlich schwieriger. Da entstehen reale Probleme in unserem Verhältnis zum Staat. Aber in Fällen wie Sony bin ich eher bei der Masse der Bevölkerung, die sagt: Da ist nichts Schlimmes passiert, das juckt mich nicht.

Ist der Datenverlust von Sony ein Einzelfall?

Von der Dimension her ist das natürlich schon eine Riesengeschichte. Aber eigentlich ist das nichts Neues. Wir haben Einbrüche wie diesen am laufenden Band. Im Kleinen fast täglich und im Großen auch recht regelmäßig, mit zwei, drei, vier Events pro Jahr. In der Regel sind die Unternehmen oft recht lax mit Sicherheit, gerade gegen Innentäter wie verärgerte Angestellte.

Das heißt: Was jetzt bei Sony passiert ist, kann theoretisch bei jedem Konzern passieren?

Na klar. Sony hält sich noch mit Details zurück - wahrscheinlich weil sie nicht in der Lage sind, das Leck schnell zu schließen. Viele Unternehmen machen bei der IT-Sicherheit nur das Nötigste, das, wozu sie gesetzlich verpflichtet werden, weil das ein teurer Posten ist. Und sie versuchen oft, Einbrüche geheim zu halten, um Imageschäden und Klagen zu vermeiden. Dass dieser Fall ans Licht gekommen ist, ist vielleicht eine Kommunikationspleite bei Sony.

Sandro Gaycken

ist Technikphilosoph und Sicherheitsforscher an der FU Berlin. Seine Themen sind Informationsethik, Datenschutz, Informationsgesellschaft und Cybercrime.

Sony wird jetzt dafür kritisiert, wie sie die Kreditkarteninformationen verschlüsselt haben. Zu Recht?

Ein kritischer Sicherheitsaspekt ist sicher, dass diese Millionen Daten alle zentral vorrätig gehalten waren. Das macht man eigentlich nicht, wegen des hohen Sicherheitsrisikos: Wenn da einmal einer einbricht - oder eben ein Insider etwas abzieht -, dann sind die sofort alle weg. Aber es spart eben viel Geld und Aufwand. Da müsste jetzt der Staat regulierend eingreifen. Das wird ja aktuell politisch diskutiert. Das sind aber alte Gedanken. Wenn ein solches Thema in den Medien herumgeistert, wird da immer mal wieder drüber geredet - und nach ein paar Tagen ebbt die Debatte wieder ab.

Was wären denn sinnvolle politische Forderungen?

Sicher kann man die Unternehmen, die jetzt von diesen Datenpannen betroffen sind, dazu auffordern, mehr in Sicherheit zu investieren. Dazu müsste man Regulierungsbehörden einrichten, die die IT-Sicherheit von Firmen kontrollieren. Allerdings ist unklar, was man da vorgeben sollte. Es gibt eine Reihe von sehr harten Sicherheitsmechanismen, aber unter denen leiden oft Funktionalität, Effizienz und damit Kosten-Nutzen-Verhältnisse. Dagegen werden sich die Firmen wehren. Und: Sehr gute Sicherheit müsste auf Forschungsstand operieren, was schwierig ist. Da hat man einen chronischen Nachteil. Schließlich wird auch die Frage aufkommen: Wie stark muss man regulieren? Eine mögliche Argumentation ist: Wenn die Unternehmen nicht in der Lage sind, ihre Daten zu sichern, muss sich der Staat mit Strafverfolgung einschalten, um abzuschrecken.

Der Sony-Hack könnte Überwachungsfans Auftrieb geben?

Wenn die Unternehmen keine Datensicherheit leisten, werden im Staat schnell Stimmen laut, die eine erhöhte Internetüberwachung wie die Vorratsdatenspeicherung einfordern, weil man da - mit viel Glück - sehen könnte, wer bei Sony eingestiegen ist. Dann stellt sich allerdings die Frage nach der Verhältnismäßigkeit - denn mit einer solchen Maßnahme sind Bürgerrechte und Freiheitsempfinden in einem großen Maße beschränkt und gefährdet. Plötzlich hat man also auf beiden Seiten ein Datenschutzproblem. Und staatliche Überwachung wiegt da sehr viel schwerer als die für den Nutzer banalen und kaum folgenreichen kommerziellen Datenpannen.

Sie sind nicht geschockt - weniger erfahrene Nutzer vielleicht schon. Steht uns eine Vertrauenskrise des Internets bevor?

Mich würde es schwer wundern, wenn diese Sony-Geschichte eine Vertrauenskrise in das Internet auslösen würde. Ältere sehen das alles skeptisch - aber die hatten sowieso nie Vertrauen in die Technologie. Jüngere, die auch bei Facebook und anderswo im Netz umtriebig sind, die schreckt das gar nicht ab. Meiner Meinung nach ist das keine ganz unberechtigte Haltung.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

3 Kommentare

 / 
  • O
    ObroniK

    Wen Sony nicht stört, wie den hier interviewten, der sollte sich allerdings auch nicht darüber äußern, was der Staat gerne an Überwachungsmöglichkeiten und Vorratsdatenspeicherung hätte.

    Und bei den "diffusen" Kosten solchen Datenklaus sollte der Interviewte vielleicht doch mal drüber nachdenken, wie Versicherungsprämien berechnet werden und wer die letztlich zu bezahlen hat.

  • G
    Generator

    Wengen den geklauten Daten hab ich kein Problem und verstehe auch nicht die Aufregung. Viel problematischer für mich als Kunde von Sony ist, dass das Playstation Netwerk jetzt schon fast einen Monat nicht mehr funktioniert. D.h. man kann keine Onlinespiele mehr spielen. Dazu kommt noch die katastrophale Informationspolitik von Sony die ihre erste Stellungsnahme erst abgegeben haben als das Netzwerk schon 4 oder 5 Tage! lang down war. Es gibt keine Infos wann es wieder gehen soll, wie die Kunden entschädigt werden usw.

  • C
    Christoph

    Ich bin auch der Meinung, dass die Generation Facebook davon nicht abgeschreckt wird. Viele bekommen es eh nur am Rande mit und wenn sie es mitbekommen: "Es wird sich sicher jemand darum kümmern..." ...oder viel leichtsinnig: "Was wollen die schon mit meinen Daten anfangen!?!"