Chaos im Internet Künftig jede Woche ein GAU?

Was können Datenschutzbeauftragte guten Gewissens den Usern sagen angesichts der Flut von entdeckten Schwachstellen, millionenhaft gestohlenen Adressen nebst Passworten, nachgewiesenen oder vermuteten Einbrüchen in Datenbanken sowie gekaperten Rechnern, mit denen Spam-Nachrichten verschickt oder sogar Sabotageattacken ausgeführt werden?

Die User, vor allem die der jüngeren Generation, müssen verstehen, welche Strategien zum Internet führten: In den 1960-er Jahren begann im Auftrag der Advanced Research Projects Agency (ARPA), einer US-amerikanischen Forschungsbehörde, die Arbeit an einem Netzwerk, das über Telefonleitungen alle US-Forschungseinrichtungen verbinden sollte. Dieses ARPANET genannte System hatte zu Zeiten des kalten Krieges und des Wettrüstens (auch) das Ziel, bei einem atomaren Schlag oder gezielter Sabotage die USA handlungsfähig zu erhalten. Von den „klassischen“ Sicherheitszielen der IT, Verfügbarkeit, Integrität, Vertraulichkeit und Beweisbarkeit wurde der Systemstruktur nur eines, Verfügbarkeit, zugrunde gelegt. Dieser „genetische Fehler“ wurde dem Internet vererbt, das sich aus den Strukturen des ARPANET entwickelte.

Daraus folgt, dass sich jeder User darüber im Klaren sein muss, mit welchen Risiken er zu rechnen hat, wenn er seinen Rechner vernetzt – oder vom Administrator vernetzen lässt. Mit Vertraulichkeit, Integrität und Prüfbarkeit ist es nicht weit her. Die Aufforderung, seine Passworte ständig zu wechseln, greift zu kurz. Ein auf IT und Internet spezialisierter Kriminalkommissar (der dieser Redaktion schon manchen guten Tipp gab) schrieb mir: „Seine Passworte ständig zu wechseln, das hätte den meisten Geschädigten nicht geholfen. Das Hauptproblem war nämlich die Infektion der Rechner und Handys mit Schadsoftware – die dann zu verschiedenen Angriffen genutzt wurde, ohne erkannt zu werden!“. Er fügte hinzu: „Wir brauchen aktive Abwehr und nicht einzelne Reaktionen auf diese Angriffe! BSI und Ermittlungsbehörden müssen besser ausgestattet, ausgebildet werden – und man muss international besser zusammenarbeiten!“.

Gute Passworte sind also nur „first Line of Defense“. Sicherheitsarchitektur, Aufklärung der User und Beschränkung der Internetnutzung über kontrollierbare Kommunikationsrechner sind wichtiger.

Hans Gliss, Herausgeber DATENSCHUTZ-BERATER

PS: In eigener Sache: Ich freue mich, Ihnen mitteilen zu können, dass Sie den Datenschutz-Berater ab sofort auch digital auf Ihrem iPad oder AndroidTablet lesen können. Als Print-Abonnent des Datenschutz-Beraters nutzen Sie die digitalen Ausgaben in diesem Jahr unentgeltlich. Laden Sie sich gleich die neue DSB-App herunter – einfach wie auf Seite 113 beschrieben.

Links/Quellenangaben – siehe.eu: Die Hinweise auf Quellen sind für die leichte Eingabe mit einem Shortlink (auch short URL, URL alias, Kurzlink) angegeben. Statt beispielsweise http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Taetigkeitsberichte/Functions/TB_BfDI_table.html?nn=408924 muss künftig nur angegeben werden: www.siehe.eu/xxx. Das xxx steht für eine fortlaufende Zahl. Mit dieser Zahl kann die eigentliche URL/Adresse in unserer Datenbank ermittelt werden. Wenn Sie wissen wollen, was sich hinter dem Shortlink verbirgt, geben Sie den Shortlink mit einer Tilde (~) ein oder nutzen Sie eine Shortlink-Auflöser wie www.prevurl.com. Ob Sie auf diese Möglichkeit verzichten, obliegt Ihrer Entscheidung. Denn wir verweisen auf die Quellen, ohne diese im Detail zu prüfen.