"Man muss sich schon Sorgen machen"
Es ist womöglich der größte Hackerangriff der Geschichte: Persönliche Daten von etwa 77 Millionen Nutzern der PlayStation von Sony sind gestohlen worden. Aus Sicht des IT-Experten Hannes Federrath macht dieser Fall deutlich, dass Datenschutz wichtiger denn je ist.
Ute Welty: Betroffen seien Kunden der beliebten Plattform PlayStation Network, mit der man Spiele im Internet kaufen und dort auch gegeneinander antreten kann. Jetzt versuchen Banken und Kreditkartenunternehmen zu beruhigen, man solle vor allem seine Abrechnungen kontrollieren und Unstimmigkeiten schnell melden. Hannes Federrath ist Professor für Informationssicherheit in Hamburg. Guten Morgen!
Hannes Federrath: Guten Morgen!
Welty: Muss man sich wirklich keine Sorgen machen?
Federrath: Man muss sich schon Sorgen machen, und das Problem ist einfach, dass man als Endkunde kaum wissen kann, wie die Daten verarbeitet werden beim Anbieter. Wenn Sie also irgendwo ein Produkt kaufen – es muss ja nicht ein japanisches sein –, dann hinterlassen Sie, zumindest wenn Sie im Internet kaufen oder vielleicht auch anderswo, wo eben einfach Kundendaten erforderlich sind, immer Ihre Daten, die werden irgendwo gespeichert. Und wie die dann aufbewahrt werden, das weiß allein der Anbieter. Und das Problem ist, wenn man Produkte kauft, sollte man viel stärker in Zukunft vielleicht darauf achten, was die Sekundäreffekte sind. Also ist das Produkt schön, ist es funktional – das sind die Primärfunktionen. Und sekundär kann auch wichtig sein, wie vertrauenswürdig ist eigentlich die Firma.
Welty: Aber jetzt ist Sony ja nicht irgendeine – Entschuldigung – Klitsche, sondern es ist ja schon ein seriöses Unternehmen, was uns seit vielen, vielen Jahren begleitet, aber trotzdem ist das ja jetzt passiert. Was könnte denn im schlimmsten Falle weiter geschehen?
Federrath: Zunächst mal ist es genau das Problem, dass es eben einer solchen relativ großen Firma, wo man einfach glaubt, dass die Prozesse stimmen, passiert ist. Bei kleineren Firmen hat man vielleicht immer eher etwas Sorge. Und wie sich das in Zukunft entwickelt, kann keiner so genau wissen. Ich denke, solche Fälle führen immer zu höherer Sensibilität, und nach allem, was man weiß, sind die Daten ja gestohlen worden aufgrund einer, sagen wir, Schwäche im System, verursacht durch Menschen, also menschliche Schwäche. Es ist eigentlich gar nicht ein Systemfehler gewesen, sondern ein Systemadministrator soll unvorsichtig gewesen sein, und dadurch sind die Daten nach außen gelangt.
Welty: Jetzt habe ich natürlich als Kunde relativ wenig Einfluss auf diesen Systemadministrator, ich habe aber Einfluss darauf, wie ich meine eigenen Daten preisgebe. Wie hätte ich mich schützen können in diesem besonderen Fall?
Federrath: Eben in diesem besonderen Fall so gut wie gar nicht. Barzahlung, kaufen im Laden, nicht im Internet, keine Kreditkartendaten hinterlassen – aber das ist leichter gesagt als getan.
Welty: Zumal ja dann dieses Eigentliche, die Funktion, dass man im Netz gegeneinander antreten und spielen kann, wegfallen würde?
Federrath: Genau.
Welty: Von daher erübrigt sich die Frage an der Stelle?
Federrath: Es lässt sich einfach nichts tun. Wir müssen beispielsweise stärker kontrollieren. Es gibt ja Datenschutzbeauftragte, die sind auch berechtigt, in Firmen zu gehen und zu prüfen, wie dort die Daten gespeichert werden, und wenn da Mängel festgestellt werden, dann muss nachgebessert werden. Aber das ist immer reaktiv, weil wir eigentlich kaum in der Lage sind, proaktiv, also im Vorhinein schon zu prüfen, dass wirklich die Datensicherheit eingehalten wird.
Welty: Zwischen dem 17. und dem 19. April habe sich eine unbefugte Person Zugang zu den Daten verschafft, heißt es, warum kommt das jetzt erst raus? Ist das quasi so eine Art tepcoeskes Verhalten oder bloße Unfähigkeit bei Sony?
Federrath: Na ja, der Anbieter gibt ja an, erst mal forensische Untersuchungen durchgeführt haben zu wollen, also eine gewisse Zeit der Aufarbeitung innerhalb der Firma ist notwendig. Es könnte ja auch eine echte Sicherheitsschwäche sein, die dann vielleicht in allen anderen Firmen dieser Welt genauso zum Tragen kommt. Insoweit ist es normal, dass es vielleicht ein oder zwei Tage vergehen. Länger sollte aber auf jeden Fall nicht gewartet werden, bevor informiert wird.
Welty: Also Sie vermuten da schon Absicht dahinter?
Federrath: Ich denke, man hatte das Gefühl, einer Firma wie Sony darf das nicht passieren, und deswegen ist es eben zunächst versucht worden zu vertuschen.
Welty: Über Datensicherheit muss man ja nicht nur im Zusammenhang mit Sony reden, sondern auch im Zusammenhang mit Apple oder Google. Halten Sie den kriminell motivierten Datenklau für gefährlicher oder den ja quasi systemimmanenten, dass eine Firma wie Apple eben Daten von ihren Kunden abschöpft?
Federrath: Ja, zunächst mal haben wir eine Verschiebung. Man kann erkennen, dass vor Jahren noch Hacker einfach nur aus Spaß in Systeme eingehackt sind.
Welty: Um zu zeigen, dass es geht.
Federrath: Um zu zeigen, dass es geht, und das war gut so, und es ist immer noch gut so. Dann haben wir in letzter Zeit häufiger gemerkt, dass eben auch kriminell motivierte Hacker tatsächlich unterwegs sind. Und dann gibt es noch die dritte Ebene, und die ist aus meiner Sicht am schwersten zu fassen, weil dort eben auch der Straftatbestand, die Kriminalität nicht erkennbar ist, das ist nämlich das heimliche Sammeln von Daten. Google haben Sie schon genannt als Beispiel, der jüngste Fall ist ja das iPhone, wo Lokalisierungsdaten, also Bewegungsspuren gespeichert wurden, ohne dass der Kunde informiert war, und diese Ebene ist am schwersten zu fassen. Und es wird weiter um sich greifen, weil die Systeme so komplex geworden sind, dass eigentlich niemand mehr verstehen kann, was genau da passiert. Und in der Folge ist es eben einfach so, dass Dinge, die technisch gehen, auch gemacht werden, selbst dann, wenn sie verboten sind. Und deswegen ist es so wichtig, dass es eben Datenschützer gibt, die draufschauen, dass es natürlich auch Informationssicherheitsexperten gibt, die sich in die Systeme selbst hineinbegeben und mal schauen, wie die aufgebaut sind, und natürlich auch die Politik, die dann für den Fall, dass Missbrauch geschieht, entsprechende Sanktionen eben androht.
Welty: Hannes Federrath, Professor für Informationssicherheit in Hamburg, im Interview der Ortszeit. Ich danke für Ihre Einschätzungen!
Federrath: Gerne!
Mehr Informationen zum Datenklau bei Sonys Spielekonsole finden Sie bei DRadio Wissen.
Hannes Federrath: Guten Morgen!
Welty: Muss man sich wirklich keine Sorgen machen?
Federrath: Man muss sich schon Sorgen machen, und das Problem ist einfach, dass man als Endkunde kaum wissen kann, wie die Daten verarbeitet werden beim Anbieter. Wenn Sie also irgendwo ein Produkt kaufen – es muss ja nicht ein japanisches sein –, dann hinterlassen Sie, zumindest wenn Sie im Internet kaufen oder vielleicht auch anderswo, wo eben einfach Kundendaten erforderlich sind, immer Ihre Daten, die werden irgendwo gespeichert. Und wie die dann aufbewahrt werden, das weiß allein der Anbieter. Und das Problem ist, wenn man Produkte kauft, sollte man viel stärker in Zukunft vielleicht darauf achten, was die Sekundäreffekte sind. Also ist das Produkt schön, ist es funktional – das sind die Primärfunktionen. Und sekundär kann auch wichtig sein, wie vertrauenswürdig ist eigentlich die Firma.
Welty: Aber jetzt ist Sony ja nicht irgendeine – Entschuldigung – Klitsche, sondern es ist ja schon ein seriöses Unternehmen, was uns seit vielen, vielen Jahren begleitet, aber trotzdem ist das ja jetzt passiert. Was könnte denn im schlimmsten Falle weiter geschehen?
Federrath: Zunächst mal ist es genau das Problem, dass es eben einer solchen relativ großen Firma, wo man einfach glaubt, dass die Prozesse stimmen, passiert ist. Bei kleineren Firmen hat man vielleicht immer eher etwas Sorge. Und wie sich das in Zukunft entwickelt, kann keiner so genau wissen. Ich denke, solche Fälle führen immer zu höherer Sensibilität, und nach allem, was man weiß, sind die Daten ja gestohlen worden aufgrund einer, sagen wir, Schwäche im System, verursacht durch Menschen, also menschliche Schwäche. Es ist eigentlich gar nicht ein Systemfehler gewesen, sondern ein Systemadministrator soll unvorsichtig gewesen sein, und dadurch sind die Daten nach außen gelangt.
Welty: Jetzt habe ich natürlich als Kunde relativ wenig Einfluss auf diesen Systemadministrator, ich habe aber Einfluss darauf, wie ich meine eigenen Daten preisgebe. Wie hätte ich mich schützen können in diesem besonderen Fall?
Federrath: Eben in diesem besonderen Fall so gut wie gar nicht. Barzahlung, kaufen im Laden, nicht im Internet, keine Kreditkartendaten hinterlassen – aber das ist leichter gesagt als getan.
Welty: Zumal ja dann dieses Eigentliche, die Funktion, dass man im Netz gegeneinander antreten und spielen kann, wegfallen würde?
Federrath: Genau.
Welty: Von daher erübrigt sich die Frage an der Stelle?
Federrath: Es lässt sich einfach nichts tun. Wir müssen beispielsweise stärker kontrollieren. Es gibt ja Datenschutzbeauftragte, die sind auch berechtigt, in Firmen zu gehen und zu prüfen, wie dort die Daten gespeichert werden, und wenn da Mängel festgestellt werden, dann muss nachgebessert werden. Aber das ist immer reaktiv, weil wir eigentlich kaum in der Lage sind, proaktiv, also im Vorhinein schon zu prüfen, dass wirklich die Datensicherheit eingehalten wird.
Welty: Zwischen dem 17. und dem 19. April habe sich eine unbefugte Person Zugang zu den Daten verschafft, heißt es, warum kommt das jetzt erst raus? Ist das quasi so eine Art tepcoeskes Verhalten oder bloße Unfähigkeit bei Sony?
Federrath: Na ja, der Anbieter gibt ja an, erst mal forensische Untersuchungen durchgeführt haben zu wollen, also eine gewisse Zeit der Aufarbeitung innerhalb der Firma ist notwendig. Es könnte ja auch eine echte Sicherheitsschwäche sein, die dann vielleicht in allen anderen Firmen dieser Welt genauso zum Tragen kommt. Insoweit ist es normal, dass es vielleicht ein oder zwei Tage vergehen. Länger sollte aber auf jeden Fall nicht gewartet werden, bevor informiert wird.
Welty: Also Sie vermuten da schon Absicht dahinter?
Federrath: Ich denke, man hatte das Gefühl, einer Firma wie Sony darf das nicht passieren, und deswegen ist es eben zunächst versucht worden zu vertuschen.
Welty: Über Datensicherheit muss man ja nicht nur im Zusammenhang mit Sony reden, sondern auch im Zusammenhang mit Apple oder Google. Halten Sie den kriminell motivierten Datenklau für gefährlicher oder den ja quasi systemimmanenten, dass eine Firma wie Apple eben Daten von ihren Kunden abschöpft?
Federrath: Ja, zunächst mal haben wir eine Verschiebung. Man kann erkennen, dass vor Jahren noch Hacker einfach nur aus Spaß in Systeme eingehackt sind.
Welty: Um zu zeigen, dass es geht.
Federrath: Um zu zeigen, dass es geht, und das war gut so, und es ist immer noch gut so. Dann haben wir in letzter Zeit häufiger gemerkt, dass eben auch kriminell motivierte Hacker tatsächlich unterwegs sind. Und dann gibt es noch die dritte Ebene, und die ist aus meiner Sicht am schwersten zu fassen, weil dort eben auch der Straftatbestand, die Kriminalität nicht erkennbar ist, das ist nämlich das heimliche Sammeln von Daten. Google haben Sie schon genannt als Beispiel, der jüngste Fall ist ja das iPhone, wo Lokalisierungsdaten, also Bewegungsspuren gespeichert wurden, ohne dass der Kunde informiert war, und diese Ebene ist am schwersten zu fassen. Und es wird weiter um sich greifen, weil die Systeme so komplex geworden sind, dass eigentlich niemand mehr verstehen kann, was genau da passiert. Und in der Folge ist es eben einfach so, dass Dinge, die technisch gehen, auch gemacht werden, selbst dann, wenn sie verboten sind. Und deswegen ist es so wichtig, dass es eben Datenschützer gibt, die draufschauen, dass es natürlich auch Informationssicherheitsexperten gibt, die sich in die Systeme selbst hineinbegeben und mal schauen, wie die aufgebaut sind, und natürlich auch die Politik, die dann für den Fall, dass Missbrauch geschieht, entsprechende Sanktionen eben androht.
Welty: Hannes Federrath, Professor für Informationssicherheit in Hamburg, im Interview der Ortszeit. Ich danke für Ihre Einschätzungen!
Federrath: Gerne!
Mehr Informationen zum Datenklau bei Sonys Spielekonsole finden Sie bei DRadio Wissen.