(openPR) Immer wieder in den Schlagzeilen: Datenmissbrauch verunsichert die Bürger. Wie können wir im Zeitalter von Internethandel, Digitalkommunikation und Web-Banking unsere persönlichen Daten sicher schützen? Eine Branche kann Auskunft geben: Die Branche der „IT-Sicherheit“ (ITS) kümmert sich innerhalb der Informationstechnik um nichts anderes als Datensicherheit.
Bochum ist internationale Hochburg für IT-Sicherheit. Hier haben mehr als 20 Spezialunternehmen für Sicherheit in der Informationstechnik ihren Sitz, hier wurde das weltweit erste Virenschutzprogramm entwickelt, hier testen hochkarätige Wissenschaftler im Auftrag der Bundesrepublik Deutschland Sicherheitsprogramme für die Staats- und Finanzbehörden, hier ist Standort des renommierten Horst Görtz Instituts (HGI), Europas größter Hochschuleinrichtung für IT-Sicherheit. Mehr als 60 Unternehmen, Institute und Akteure aus Bochum, Ruhrregion und allen Teilen Deutschlands haben sich auf Initiative des Wirtschaftswachstumsprojekts Bochum2015, des IT-Unternehmens G DATA, des Horst Görtz Instituts und eurobits zur „Arbeitsgruppe IT-Sicherheit“ zusammengeschlossen, um gemeinsam zu handeln. Partner sind des Weiteren die IHK Bochum, TeleTrust und der ruhr networker. Anlässlich des zweiten Treffens der Akteure der IT-Sicherheits-Szene am Mittwoch (10. September) erläuterte Prof. Dr. Jörg Schwenk (HGI) im Interview, wie brisant Datensicherheit ist und was jeder Einzelne dafür tun kann.
„SPARSAM MIT PERSÖNLICHEN DATEN UMGEHEN – IT-SICHERHEIT HILFT GEGEN DATENPANNEN“
Interview mit Prof. Dr. Jörg Schwenk, Geschäftsführender Direktor des Horst Görtz Instituts für IT-Sicherheit (HGI) der Ruhr-Universität Bochum und Inhaber des dortigen Lehrstuhls für Netz- und Datensicherheit (NDS)
Bochum2015: Illegaler Handel mit Millionen Kundendaten in Deutschland, Verlust von persönlichen Daten von Bankkunden, Kindergeldempfängern, Häftlingen und Gefängniswärtern in England, zahlreiche Skandale in den USA – dies sind nur ein paar Beispiele für Datenpannen aus jüngster Zeit. Aber dies ist beileibe kein neues Problem. Erinnert sei nur an den „Bonusmeilenskandal“, bei dem Kunden der Lufthansa über die Verwendung ihrer Bonusmeilen in der Zeitung lesen mussten: Wie hätte IT-Sicherheit helfen können, diese Datenpannen zu verhindern? Die Fehler wurden doch jeweils von Menschen gemacht, oder?
Prof. Schwenk: Da haben Sie natürlich Recht – verhindern kann IT-Sicherheit solche Fehler sicher nicht. Allerdings kann IT-Sicherheit die Auswirkungen der Fehler minimieren. Wenn beispielsweise ein Laptop oder ein Handy verloren oder vergessen wird, lässt sich dem mit IT-Sicherheit nicht vorbeugen. Eine Verschlüsselung der darauf gespeicherten Daten verhindert aber, dass der Finder diese nutzen kann. Dies ist von einem einfachen Zugangspasswort zu unterscheiden, das sich immer umgehen lässt. Man denke z. B. an die geschützten Privatnummern von Prominenten, die häufig öffentlich bekannt werden: Einer ihrer Bekannten verliert sein Handy, der Finder erkennt den Namen und gibt die Nummer weiter – diese erscheint dann teilweise sogar in Internet-Foren. Und damit kennt faktisch jeder diese „Privatnummer“. Um dies richtig einordnen zu können: Im Fundamt der Stadt London werden inzwischen mehr Handys als Regenschirme abgegeben. Aber auch verlorene Firmen-Laptops oder USB-Sticks und CDs gehören in diese Kategorie.
Bochum2015: Gut, das Beispiel mit den verlorenen Handys kann ich nachvollziehen. Aber wie häufig gehen Laptops oder Datenträger verloren?
Prof. Schwenk: Wie gesagt – es sind Menschen, die Fehler machen. Wenn man schnell aus dem Zug aussteigen muss und den Laptop sicher in der Aktentasche vermutet, kann so etwas durchaus passieren. Aber auch ein möglicher Diebstahl sollte nicht vergessen werden. Zumindest die großen Beratungsunternehmen stufen das Problem des Verlusts von EDV-Material als so gravierend ein, dass sie flächendeckend die Laptops, Handhelds und z. T. auch Datenträger wie USB-Sticks ihrer Außendienstmitarbeiter mit Verschlüsselungssoftware ausstatten. Bei kleineren Firmen ist das entsprechende Problembewusstsein leider nicht so ausgeprägt – und damit ist die große Masse persönlicher Daten ungeschützt, die in Firmenhänden liegt.
Bochum2015: Wenn ich meine Daten verschlüssele, bin ich also auf der sicheren Seite?
Prof. Schwenk: Prinzipiell schon – nur ist das leider nicht praktikabel. Faktisch brauchen Sie Techniken, die sich nahtlos in den Arbeitsablauf einfügen. Sicherheitsmechanismen, die als störend empfunden werden, wird der Nutzer aller Erfahrung nach abschalten – Firmenpolitik hin oder her. Dieses Verhalten bedingt daher komplexere Sicherheitssysteme, die auch benötigt werden, um den berechtigten Zugriff auf verschlüsselte Daten jederzeit garantieren zu können. Auch Zugriffsrechte auf Daten müssen korrekt eingestellt werden können: Es bringt nichts, wenn Sie Ihre Daten verschlüsseln, aber jedem Mitarbeiter das Passwort dazu geben. Nur die Personen, die die Daten auch benötigen, dürfen darauf zugreifen. Nächstes Problem: Die Mitarbeiter können die Daten dann unberechtigterweise kopieren. Hiergegen helfen Techniken wie Data Loss Prevention (DLP, Datenleckabdichtung). Damit wird z. B. verhindert, dass Nutzer Daten stehlen, indem sie USB-Sticks an ihren Firmen-PC anschließen oder die Daten gleich per Firmen-E-Mail an eine private E-Mail-Adresse schicken.
Bochum2015: Und werden diese Techniken in der Praxis auch eingesetzt?
Prof. Schwenk: Wie Sie aus dem aktuellen Datenskandal sicher schon vermutet haben, leider viel zu wenig. Und wir sehen hier aller Voraussicht nach nur die Spitze des Eisberges. Zum Vergleich: In den USA gibt es deutlich mehr Vorfälle. Hauptgrund ist, dass dort eine öffentliche Meldepflicht für Datenpannen existiert. Ergebnis: Die entsprechenden Firmen investieren bereits im Vorfeld mehr in Technologien, die solche Pannen verhindern helfen – wodurch die Anzahl der Pannen sinkt. Aufgrund der Meldepflicht wird allerdings ein deutlich höherer Anteil aller Pannen bekannt – womit die absolute Zahl der bekannten Fälle auch deutlich höher ist. Für Deutschland würde ich daher schätzen, dass wir mehr Pannen haben, bei denen persönliche Daten in die falschen Hände gelangen, diese aber nicht bekannt werden. Und da es keine öffentliche Meldepflicht gibt, gibt es auch keine negative Publicity und damit auch keinen Anreiz für die Firmen, verstärkt auf Produkte zu setzen, die Kundendaten ausreichend gegen Ausspähung oder unberechtigte Weitergabe schützen.
Bochum2015: Gibt es etwas, das der einzelne Nutzer tun kann, um sich vor dem Verlust seiner Daten zu schützen?
Prof. Schwenk: Man sollte sich bewusst sein, dass kein System perfekt ist – ein Restrisiko auf Datenverlust bleibt somit immer. Allerdings kann man die Auswirkungen minimieren, indem man möglichst sparsam mit seinen persönlichen Daten umgeht und diese nur herausgibt, wenn dies unbedingt erforderlich ist.
Weitere Informationen zur AG IT-Sicherheit finden Sie unter www.bochum2015.de
