PRISM und die Mauer des Schweigens

Seit Jahren sorgen Wasserstandsmeldungen zur Datensicherheit für öffentlichen Gesprächsstoff – ohne sichtbare Resonanz in Wirtschaft und Verwaltung. Nach den Enthüllungen des Ex-Geheimdienstmitarbeiters Edward Snowden glaubt der Präsident des Bundesamts für Informationstechnik Michael Hange nun an eine „massive Bedrohung“ der Wirtschaft. ZDNet-Autor Joachim Jakobs wollte wissen, wie die Unternehmen jetzt auf die neue Qualität digitaler Plünderungen reagiert; bei der Recherche ist er auf eine Mauer des Schweigens gestoßen. Dahinter verbergen sich im Wesentlichen drei ‚Typen‘: Coole, Drückeberger und Leugner.

Die Coolen – immer betont lässig

Vor Jahren soll ein Computer-Schädling namens „Stuxnet“ tausend Zentrifugen zur Urananreicherung im Iran zerstört haben. Stuxnet hat „WinCC“ befallen, – eine Steuerungssoftware die in der Industrie etwa so gängig ist, wie Word in den Büros. „Somit waren auf einmal Systeme in Gefahr, die bis dahin nie im Verdacht standen, von den gleichen traditionellen Bedrohungen betroffen zu sein, wie sie in anderen Bereichen alltäglich sind“, so die Erkenntnis von Sam Curry, Chief Technologist der Sicherheitsfirma RSA. Stuxnet könnte Curry’s Ansicht nach auch Fertigungsbänder in der Industrie zum Explodieren bringen.

Siemens hatte damals nicht die Absicht, irgendwas zu ändern – etwa in die Bildung derer zu investieren, die die Steuerungen des Unternehmens entwickeln, implementieren oder nutzen. Pressesprecher Karlheinz Groebmair sagte lediglich: „Absolute Sicherheit kann es nicht geben.“

Im Frühjahr 2013 zeigte ‚Report München‘ wie angreifbar unsere „kritischen Infrastrukturen“ sind, die uns Strom, Gas und Wasser liefern. Kriminelle können uns demnach jederzeit den Saft abdrehen. Andreas Ebert, Leiter Informationssicherheit des Stromversorgers RWE, kann das nicht beeindrucken: „Den Bericht von „Report München“ habe ich am 12.2.2013 auch mit Interesse gesehen, wenngleich hier eigentlich nichts neues berichtet wurde“.

Die Drückeberger – immer schwer beschäftigt wenn’s um Sicherheit geht

Kurz zuvor >bedrohte sparkasse.de die Endgeräte seiner Kunden mit einer Schadsoftware, die Kriminelle auf der Internetseite hinterlassen hatten. Anschließend bot das ‚Bankmagazin‘ dem Sparkassen-Verband ein vertrauliches Gespräch zu den Hintergründen und Umständen des Angriffs sowie den Konsequenzen an, die daraus gezogen werden sollten. Das Angebot wurde angesichts „der Fülle von Themen“ abgelehnt.

Die Mauer des Schweigens hat auch nach der Veröffentlichung der ersten 500 Dokumente aus dem Fundus von Edward Snowden nicht an Stabilität und Höhe verloren: Airbus, Daimler, Deutsche Post, Siemens und Volkswagen wollten sich nicht äußern. Die Omertà hat sogar die Verbände erfasst: Ein Verband der chemischen Industrie hat sich ernsthaft wenn auch erfolglos um einen Gesprächspartner unter seinen Mitgliedern bemüht, sich selbst aber ebenfalls einen Maulkorb auferlegt. Ebenso wenig  Auskunft gab’s vom Gesamtverband der Deutschen Versicherungswirtschaft. Der Bundesverband der Freien Berufe weist auf die Verschwiegenheitspflicht von Ärzten, Anwälten und Steuerberatern hin, um dann freimütig zu bekennen, dass er keine Handlungsempfehlungen für seine Mitglieder habe; stattdessen verweist die Organisation auf den Verein „Deutschland sicher im Netz“.

Der Verband der Automobilindustrie empfiehlt, sich mit derlei Fragen an den Bundesverband der Deutschen Industrie zu wenden: „Ich bitte aber um Verständnis, dass wir uns zu solchen Themen, wie dem nach dem Sie fragen, nur äußern, wenn ein spezifischer Zusammenhang mit unserer Branche besteht. Da hier alle Industriebranchen gleichermaßen betroffen sind, könnte noch am ehesten der Bundesverband der Deutschen Industrie (BDI) Ihre Fragen beantworten“, so die Pressestelle. Bemerkenswert ist allerdings: Bei branchenübergreifenden Themen wie dem befürchteten Ausbau des Sozialstaats meldet sich der Verband der Autobauer sogar von sich aus zu Wort. Das Sekretariat der BDI-Pressestelle kündigt einen Rückruf des „Chefs vom Dienst“ an, nur hält sich der CvD nicht an diese Ankündigung. Genauso verweist das Bundesinnenministerium gern auf das Bundesamt für die Sicherheit der Informationstechnik, das BSI kündigt mehrfach Gesprächsangebote an, macht dann aber ‚keine Butter bei die Fische‘. Zeit ist eben ein knappes Gut.

Das PRISM-System ist ein gigantisches Intelligence-Netzwerk, das der NSA Zugriff auf Daten in Google (Gmail, YouTube et cetera), Facebook, Microsoft (Skydrive, Live, Skype et cetera) Yahoo!, PalTalk, AOL und Apple verschafft.

Die Leugner: Sicherheitsprobleme haben allenfalls die Anderen!

Thomas Schlüter, Pressesprecher vom Bankenverband sagt zur Frage der Bedrohung seiner Mitglieder durch Geheimdienste: „Es liegen keine Erkenntnisse vor, dass unsere Verschlüsselungssysteme oder kryptographische Verfahren bei unseren Mitgliedern gehackt worden wären“. Es scheint, als ob Herr Schlüter der Ansicht ist, dass die Snowden-Dokumente nur die anderen Branchen betreffen; und auch da sicher nur die im Ausland.

Was aber macht das Eisen so heiß, dass sich kaum jemand damit beschäftigen will? Die Prüfungs- und Beratungsgesellschaft Ernst & Young (EY) hat kürzlich 400 Entscheider zum Thema „Sicherheit“ befragt. Bodo Meseke, Leiter Forensic Technology & Discovery Services bei EY ist sich auch jetzt noch nicht sicher, ob die Unternehmen so blauäugig sind, zu glauben, dass nur andere Opfer würden oder ob sie einfach keine Möglichkeit sehen, sich der kriminellen Zugriffe zu erwehren.

Sandro Gaycken, Experte für Cyberwarfare der Freien Universität Berlin glaubt allerdings nicht, dass das Schweigen zur Verbesserung unserer elektronischen Sicherheit beiträgt: „Die Mauer des Schweigens und Leugnens wird immer dicker, je größer das Problem wird. Das ist fatal, denn so lässt sich keine Reform unserer Sicherheitsstrukturen, keine Innovation anschieben, die Wirtschaft und Staat jetzt aber dringend brauchen. Die Sicherheitsprobleme wachsen sonst nur immer tiefer, die Schäden – auch für das Gemeinwohl – werden immer größer.“

Wussten Sie schon, dass man Dokumente auch verschlüsseln kann?

Einzig der Bitkom läßt unter der Überschrift „7 Sicherheitsbewusstsein: Befähigung zum Selbstschutz“ die Deutsche Wirtschaft in einem Absatz einer Pressemitteilung wissen, dass es sinnvoll sein könnte, Dokumente zu verschlüsseln. Womöglich gibt’s ja tatsächlich noch einen, dem das noch nicht bekannt ist.

In der Antwort auf eine Mail schreibt Stephan Pfisterer, Bildungsexperte des Verbands außerdem: „IT-Sicherheit ist kein isoliertes Spezialthema, sondern ein Grundelement von Entwicklung und Betrieb im gesamten ITK-Spektrum. Sichere Software, sichere Kommunikationssysteme, sichere Speichermedien – für berufliche wie für private Zwecke – haben hohe Priorität. Diese Perspektive müssen angehende ITK-Experten schon mit der Muttermilch aufsaugen – sprich: Im Studium lernen und zum Teil ihrer eigenen Mentalität machen. Wir sind hier auf die Hochschulen angewiesen, die die Aufgabe haben, Nachwuchskräfte fachlich hervorragend auszubilden, gleichzeitig aber auch als Persönlichkeit zu bilden und – zu altmodisch das klingen mag – zu erziehen.“

Gruselige Aussichten

Es ist nicht nur dem Verband und seinen Mitgliedern, sondern allen Bürgern zu wünschen, dass diese Hoffnung bald wahr wird: So sorgt sich die Gesellschaft für Informatik (GI) um 10.000 Server, die die Geheimdienste erfolgreich infiltriert haben könnten. Die Organisation sieht eine „akute Gefahr für Leib und Leben der Bürgerinnen und Bürger – so besteht zum Beispiel die Manipulationsmöglichkeit der Steuerungsdaten in Kernkraftwerken“. Außerdem könnten sich Kriminelle für Fähigkeiten und Erkenntnisse der Geheimdienste interessieren. Sicherheitsexperten fürchten zudem, dass demnächst Verschlüsselungsverfahren hinfällig sein könnten, die seit 25 Jahren Bestand haben. Das würde nach Meinung von Alex Stamos, Chief Technology Officer der Sicherheitsfirma Artemis, den vollständigen „Zusammenbruch des Vertrauens ins Internet“ nach sich ziehen.