Misstrauen ist angesagt

Savera Kang Jens Kitzler

Von Savera Kang Jens Kitzler

So, 13. Januar 2019

Südwest

Der Sonntag Nicht immer ist es das Können der Hacker, zuweilen sind auch Einzelne sorglos, wenn es um Datensicherheit geht .

Ein Hacker soll private Daten von mehr als tausend Politikern gestohlen und veröffentlicht haben. Möglich wurde das auch, weil die Opfer teilweise recht sorglos mit ihren Daten umgegangen sind. Wie stellen große Einrichtungen sicher, dass ihre Mitarbeiter nicht zum Risiko werden?

Bei beinahe 3 000 EDV-Arbeitsplätzen in der Freiburger Stadtverwaltung weiß man, wo man Mitarbeiter lieber nicht frei walten lässt. Es beginnt bei der Auswahl von Passworten: "Wir machen da klare Vorgaben, die sich wiederum an Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik orientieren", sagt Andreas Dages vom Amt für Bürgerservice und Informationsverarbeitung. Eine Testroutine schaut, ob die Anwender sich daran halten – und nicht einfach "123456" eingeben.

Ohnehin sollte man für jeden Dienst ein anderes Passwort verwenden, weist Ernestine Schikore, Beauftragte für Informationssicherheit an der Uni Basel, auf eine vermeidbare Sicherheitslücke hin: "Dann ist nicht gleich alles korrumpiert, wenn ein Passwort gestohlen wurde."

Auch an der Basler Uni gilt es eine große Infrastruktur zu schützen. Und: "Wir sind keine abgeschlossene Firma. Die Forschung lebt von Zusammenarbeit," erklärt Schikore die besonderen Herausforderungen, die es mit sich bringt, wenn Nutzer auf unterschiedlichsten Geräten, mit verschiedenen Betriebssystemen über Browser ihrer Wahl das Netz ansteuern. Eine Ansage, die jedoch für alle Mitarbeiter gilt: Vertrauliche Informationen dürfen nicht per Mail versendet werden.

Auch in Freiburg wird die Angriffsfläche für verschiedene Arten des Hacking minimiert, indem es in den Ämtern beispielsweise nicht erlaubt ist, mitgebrachte USB-Sticks in Arbeits- rechner zu stöpseln. "Es gibt registrierte städtische Sticks, nur die darf man verwenden", sagt Dages. Und müssen Mitarbeiter mit dem Smartphone arbeiten, laufen darauf "Container" – abgekapselte und verschlüsselte Systeme, die bei Verlust nicht zugänglich sind.

"Viele unterschätzen die Gefahren, die von Smartphones ausgehen", sagt auch die Sicherheitsbeauftragte Schikore. "Sie laden sich beispielsweise Applikationen drauf, ohne zu wissen, dass diese Kontakte weitergeben oder den Nutzer ausspionieren."

Keine Kirchendaten auf US-Servern

Erst kürzlich hat das Freiburger Erzbistum mit einem Verbot des Whatsapp-Messengers auf Diensthandys reagiert – "um den Upload persönlicher Daten auf ausländische Server zu unterbinden", wie es auf der Seite der Erzdiözese dazu heißt. Empfohlen wird statt dessen Threema, ein Messenger aus der Schweiz, für dessen Nutzung man einmalig bezahlen muss. Auch die Uni Basel empfiehlt Dienste aus der Schweiz oder Europa, beispielsweise beim Thema Cloud-Speicher: "Als Alternative zu Dropbox bieten wir unseren Mitarbeitern die Lösung Switch Drive an, eine zentrale Lösung für alle mitmachenden Universitäten in der Schweiz." Und Schikore warnt: "Alles, was kein Geld kostet, wird anders entlohnt." In der Regel seien es Daten, mit denen man bezahle. "Das sind die alltäglichen Herausforderungen, die man nicht über Technik löst, sondern übers Mitdenken", sagt sie.

"Insgesamt steigt die Sensibilität für Datensicherheit mittlerweile merklich", sagt Burkard Hermann von der städtischen IT in Freiburg. Dafür sorgten ein Generationswechsel im Personal genauso wie Medienberichte über Datenskandale. Trotzdem kann noch immer viel schiefgehen: Der Klassiker sind E-Mails mit Anhängen, die beispielsweise aussehen wie eine Rechnung. Mit solchen Phishing-Mails kann es Angreifern gelingen, auf private Daten zuzugreifen und schlimmstenfalls Identitätsdiebstahl zu begehen. Doch auch in diesen Fällen sieht Schikore nicht nur in der technischen Aufrüstung eine Lösung, sondern gibt zu bedenken: "Wir sehen, dass Personen einfacher Ziel von gezieltem Phishing werden, wenn sie viele Informationen auf sozialen Medien zur Verfügung stellen." Denn was sie dort preisgeben, kann zur gezielten Ansprache und Täuschung genutzt werden. Dann laute die Nachricht beispielsweise: "Ich bin dein Kollege aus dem Angelverein, dein Auto stand gestern auf dem Parkplatz neben meinem. Bitte schau dir die Bilder von der Beule in meiner Autotüre an" – und schwups, hat man sich unbemerkt etwas eingefangen. Oder man realisiert es sofort, weil die Festplatte verschlüsselt ist und nur gegen eine Lösegeldzahlung angeblich wieder zugänglich gemacht werden soll.

Künftig wird wohl auch Gerhard Schneider zum Thema Datensicherheit noch einiges zu sagen haben, seit einigen Wochen nämlich ist der Leiter des Freiburger Uni-Rechenzentrums zum "Prorektor für Digitale Transformation" ernannt worden. Der soll die Digitalisierung in der Universität voranbringen. "Es geht also darum, den Leuten die Transformation und ihre Sicherheitslücken näherzubringen." Um so Datensicherheit mehr in den Köpfen zu verankern. Aber auch im Alltag des Rechenzentrums geht es immer wieder darum, die User vor allzu sorglosem Umgang mit Daten zu bewahren. Aktuell arbeitet man an Richtlinien für Mitarbeiter, die Privatgeräte für ihre Arbeit nutzen, ein Rundschreiben gehe demnächst raus. "Die sind mitunter schlechter gewartet und mit ihnen hantieren zuhause oft auch die Kinder – wer weiß schon, was da an netten Programmen installiert ist." Das sei gefährlich, sagt Schneider. Ebenso warnt er vor den kostenlosen auf Smartphones zum Teil schon vorinstallierten, Cloud-Diensten: Promi-Hacks – veröffentlichte Nacktvideos et cetera – kämen nicht umsonst oft aus gehackten Cloud-Speichern.

In Stresssituationen wird unüberlegt geklickt

Selbstverständlich kann nicht jeder Nutzer zu jeder Zeit auf dem neusten Stand sein, und so lautet das Credo am Servicedesk der Basler Uni: "Bei allem, was irgendwie komisch ist, haben wir eine Empfehlung: ,Fragt nach! Da sitzen Jungs mit Nerven wie Drahtseilen, die sind dafür da.’" Trotzdem gehe auch an der Uni mal etwas schief: "Studierende sind in dem Moment am anfälligsten, wenn Prüfungsergebnisse erwartet werden. Dann wird schneller reagiert als nachgedacht", erzählt Schikore. "Dann kann eine Mail, halb auf Dänisch, schreiend bunt und voller Schreibfehler kommen" – alles Hinweise auf einen unseriösen Absender –, vor lauter Stress werde dann "geklickt und da werden dann auch schon mal Account-Daten weggegeben."