Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Interview zum „Safer Internet Day“ „Der Markt ist voll von Produkten mit Sicherheitslücken“

Unternehmen tun zu wenig für die IT-Sicherheit ihrer Produkte, kritisiert Datenschützerin Marit Hansen. Anlässlich des „Safer Internet Day“ am Dienstag erklärt sie, wie Verbraucher besser zu schützen wären.
Kommentieren
„In einer vernetzten Welt kann keiner aus der Verantwortung entlassen werden.“ Quelle: dpa
Marit Hansen.

„In einer vernetzten Welt kann keiner aus der Verantwortung entlassen werden.“

(Foto: dpa)

BerlinDer internationale „Safer Internet Day“ rückt am Dienstag das Thema der Internetsicherheit in den Fokus. Unter dem Motto „Together for a better internet“ ruft klicksafe, eine Initiative der Europäischen Kommission, wieder weltweit zu Veranstaltungen und Aktionen rund um das Thema Internetsicherheit auf. Dass bei dem Thema noch viel im Argen zu liegen scheint, darauf weist die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen hin.

Sie schätzt das Risiko, beim Surfen im Internet Opfer von Datendieben zu werden, als besonders groß ein. „Identitätsdiebstahl kommt in großer Zahl vor, und für die Opfer kann es schlimm sein, wenn ihre Daten im Umlauf sind und ihre Nutzerkonten oder Finanzdaten unberechtigt verwendet werden“, sagte Hansen dem Handelsblatt mit Blick auf den Safer Internet Day am Dienstag. Folgen könnten finanzielle Einbußen oder Rufschädigungen sein. „Außerdem ist es für die Betroffenen anstrengend und langwierig, der missbräuchlichen Verwendung ihrer Konten entgegenzutreten.“ Sie müssten etwa Passwörter ändern, Nutzerkonten sperren, ihre Kontakte informieren, gegebenenfalls Abbuchungen rückgängig machen und Anzeige erstatten.

Somit gehöre der Identitätsdiebstahl „zu den größten Gefahren“, warnte Hansen. Allerdings geben es auch andere Online-Angriffe, „die die Privatsphäre verletzen oder Leib und Leben schädigen können“, fügte die Datenschützerin hinzu. Etwa wenn Webcams oder Babyphones angezapft und die Bilder aus der Wohnung ins Internet gestreamt würden. „Oder wenn Herzschrittmacher oder Insulinpumpen quasi im Vorbeigehen fremdgesteuert werden können und damit Leib und Leben in Gefahr kommt“, so Hansen. Auch könnten kritische Infrastrukturen von Hackerangriffen betroffen sein und damit die Energieversorgung oder das Finanzwesen für Tage nicht mehr funktionieren.

Von höheren Strafen bei Datenmissbrauch hält Hansen aber wenig. Das Problem sehe sei an einer anderen Stelle. „Unsere Informationsgesellschaft ist auf einem brüchigen Fundament aufgebaut, denn in der grundlegenden Technik fehlt es an eingebautem Datenschutz und eingebauter Sicherheit“, sagte sie. Das betreffe sowohl die Infrastruktur als auch die Anwendungen. „So ist der Markt voll von mangelhaften Produkten mit Sicherheitslücken und überbordenden Zugriffsrechten“, erläuterte die Expertin. „Es gilt immer noch: Lieber „quick and dirty“ und damit schnell auf den Markt kommen, statt sorgfältig seine Hardware und Software entwickeln.“

Lesen Sie hier das ganze Interview:

Frau Hansen, ist der sogenannte Identitätsdiebstahl eine der größten Gefahren im Internet?
Identitätsdiebstahl kommt in großer Zahl vor, und für die Opfer kann es schlimm sein, wenn ihre Daten im Umlauf sind und ihre Nutzerkonten oder Finanzdaten unberechtigt verwendet werden. Folgen können finanzielle Einbußen oder Rufschädigungen sein. Außerdem ist es für die Betroffenen anstrengend und langwierig, der missbräuchlichen Verwendung ihrer Konten entgegenzutreten.

Inwiefern?
Sie müssen Passwörter ändern, Nutzerkonten sperren, Kontakte informieren, die auch betroffen sein können, gegebenenfalls Abbuchungen rückgängig machen und Anzeige erstatten. Aber auch ohne eine Identitätsübernahme durch Fremde ist das Gefühl sehr unangenehm, wenn persönliche E-Mails oder Chats, Daten, die man nur mit engen Freunden teilen will, von anderen ausgespäht werden.

Also ist der Identitätsdiebstahl eine echte Gefahr.
Sicherlich gehört der Identitätsdiebstahl zu den größten Gefahren, aber man sollte nicht vergessen, dass es auch andere Online-Angriffe gibt, die die Privatsphäre verletzen oder Leib und Leben schädigen können.

Zum Beispiel?
Wenn Webcams oder Babyphones angezapft werden und die Bilder aus der Wohnung ins Internet gestreamt werden. Oder wenn Herzschrittmacher oder Insulinpumpen quasi im Vorbeigehen fremdgesteuert werden können - das kann sogar lebensgefährlich sein. Ein anderes Beispiel sind smarte Autos, wenn diese nicht nur geknackt, sondern online beschleunigt oder angehalten werden können. Oder wenn kritische Infrastrukturen von Hackerangriffen betroffen sind und damit die Energieversorgung oder das Finanzwesen für Tage nicht mehr funktionieren.

Sollten Datenmissbrauch beziehungsweise Identitätsdiebstahl härter bestraft werden?
Die Höhe der Strafe scheint mir hier nicht ausschlaggebend zu sein. Das Problem sehe ich an einer anderen Stelle. Unsere Informationsgesellschaft ist auf einem brüchigen Fundament aufgebaut, denn in der grundlegenden Technik fehlt es an eingebautem Datenschutz und eingebauter Sicherheit. Das betrifft sowohl die Infrastruktur als auch die Anwendungen. So ist der Markt voll von mangelhaften Produkten mit Sicherheitslücken und überbordenden Zugriffsrechten. Es gilt immer noch: Lieber „quick and dirty“ und damit schnell auf den Markt kommen, statt sorgfältig seine Hardware und Software entwickeln.

Bundesjustizministerin Katarina Barley (SPD) brachte kürzlich nach der illegalen Veröffentlichung privater Daten von Politikern und Prominenten eine Musterklage gegen Twitter und Facebook ins Gespräch. Also: Von dem Datenleak Betroffene sollten etwaige Haftungsansprüche gegen geltend machen können. Was halten Sie davon?
Musterklagen sind sicher ein taugliches Instrument: Sammelklagen sind für die Einzelnen leichter handhabbar, als wenn jeder für sich allein überlegen muss, ob er den Aufwand einer Klage und die damit verbundenen Kosten schultern will und kann. Dennoch sind auch diese Klagen oft langwierig, und der Nachweis von - oft immateriellen - Schäden und zugehörigen Ursachen ist schwierig.

Was wäre die Alternative?
Wichtig erscheint mir, dass die Haftungsregelungen für Unternehmen, die Dienste oder Produkte anbieten, verstärkt und verdeutlicht, und das am besten nicht nur national, sondern mindestens europaweit. Sicherheitsrisiken gelten immer noch nicht automatisch als Produktmangel, das Einhalten von grundlegenden Anforderungen ist noch nicht Usus. Sonst hätten wir viel mehr Verschlüsselung, und die Zwei-Faktor-Authentifizierung stünde generell bei E-Mail und Online-Einkauf als Schutz gegen Identitätsdiebstahl zur Verfügung. Hier haben deutsche Angebote dringenden Nachbesserungsbedarf.

Und ausländische Produkte?
Auch international werden wir diskutieren müssen, für welchen Zeitraum Sicherheits-Updates für vernetzte Geräte zu garantieren sind, wer sich um die Sicherheit kümmern muss - Anbieter oder Nutzer - oder wann sogar Rückrufaktionen notwendig sind. Denn wenn vernetzte Geräte nicht ständig in punkto Sicherheit nachgebessert werden, können sie Einfallstor für weitere Angriffe sein - beispielsweise die billigen Glühlampen im Smart Home.

Wen sehen Sie beim Thema Internetsicherheit vor allem in der Pflicht: Unternehmen, den Staat oder den einzelnen Verbraucher?
In einer vernetzten Welt kann keiner aus der Verantwortung entlassen werden. Aber den einzelnen Verbrauchern darf man nicht zu viel aufbürden: Sie können am wenigsten leisten, besonders wenn die Produkte und Services sie beim Datenschutz und der Sicherheit nicht ausreichend unterstützen. Viele Unternehmen haben noch nicht verstanden, dass sie mit ihren Angeboten eine wichtige Rolle für die Informationsgesellschaft spielen. Oftmals setzen sie mehr auf schnellen Verkauf als auf nachhaltige und sorgfältige Entwicklung. Die Vergangenheit zeigt: Ohne eine weitere Regulierung klappt es nicht, weil sich häufig ungenügende Billig-Lösungen oder problematische Geschäftsmodelle durchsetzen.

Deshalb gibt es ja auch die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO).
Die DSGVO ist nur ein Schritt für eine sichere IT-Welt. Es ist mehr nötig, um den Herstellern deutlich zu machen, welche Realisierungen in der Informationsgesellschaft akzeptabel sind und welche nicht. Hersteller sind aber nicht unmittelbar in der DSGVO adressiert - hier fehlt ein wichtiger Bereich.

Was folgt daraus?
Der Staat sollte die Regulierung in diesem essentiellen Bereich vorantreiben und Mindeststandards vorschreiben, um gute Lösungen zu fördern und Sicherheitsrisiken einzudämmen. Der Staat darf dabei nicht in den Reflex verfallen, nur pseudosichere Produkte mit - staatlich nutzbaren - Hintertüren zu fordern oder gar selbst mit Sicherheitslücken zu handeln. Hintertüren haben in sicheren Produkten nichts verloren, sondern sind ein Risiko für unsere Informationsgesellschaft.

Außerdem am Zug sind Standardisierungsinitiativen. Hier gilt dasselbe wie beim Staat: Für mehr Sicherheit muss nachgelegt werden, die Standards müssen Sicherheit und Datenschutz berücksichtigen. Und wieder dürfen in den Standards keine Lücken oder Hintertüren eingebaut werden.

Frau Hansen, vielen Dank für das Interview.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
Startseite

Mehr zu: Interview zum „Safer Internet Day“ - „Der Markt ist voll von Produkten mit Sicherheitslücken“

0 Kommentare zu "Interview zum „Safer Internet Day“: „Der Markt ist voll von Produkten mit Sicherheitslücken“"

Das Kommentieren dieses Artikels wurde deaktiviert.