"Ihre Daten sind nicht sicher"

17. August 2009, 18:22
118 Postings

Phion-Chef Wieland Alge über das Facebook-Risiko, unsichere Banken, fahrlässige Behörden und den ganz normalen Cyberwar

Der österreichische IT-Security-Spezialist Phion steht vor der Übernahme durch den US-amerikanischen Konzern Barracuda Systems und könnte damit sein Know-how bald auch an amerikanische Firmen verkaufen. Der WebStandard traf CEO Wieland Alge, um mit ihm über leichtsinnige Facebook-Nutzer, unverschlüsselte Geldtransaktionen, Paranoia und begründetes Unsicherheitsgefühl bei Internet-Usern und Regierungen zu sprechen und, ob die Daten der Österreicher sicher sind. "Wir verlieren die Daten auch, nur sagen wir es nicht", sagt Alge im Gespräch mit Zsolt Wilhelm.

***

derStandard.at: Herr Alge, in den vergangenen Tagen hat ein Angriff auf die Netzwerke von Twitter, Facebook und Google die Internet-Welt für kurze Zeit durcheinander gerüttelt. Millionen von Nutzern konnten mit einem Schlag ihren Kommunikationsroutinen nicht mehr nachgehen. Sind moderne Kommunikationsplattformen auf dünnem Eis gebaut?

Alge: Das glaube ich nicht. Grundsätzlich sind solche sozialen Dienste immer angreifbar. Das Angebot ist gratis und mit einem hohen Kostendruck versehen. Und wenn da wahnsinnig viel los ist, ist das Ding auch angreifbar. Aber das sind auch nicht gerade zentrale Instanzen der Internet-Infrastruktur. Wenn Twitter ausfällt, ist das zwar lästig, aber mein Gott... Die Alternative wäre dafür zu zahlen.

derStandard.at: Heißt das, dass soziale Netzwerke kein Geld in die Sicherung ihrer Systeme stecken?

Alge: Ja, vor allem in Ausfallsicherheit. Redundante Systeme kosten eine Lawine. Als User darf man sich daher nicht aufregen.

derStandard.at: Weshalb greift man Twitter an?

Alge: Bei Twitter war das eine traditionelle Attacke - im Sinne der Intention. Da ging es darum sich zu profilieren, mehr hat man nicht davon. Bei Facebook ist das eine andere Sache.

derStandard.at: Aufgrund der Userdaten?

Alge: Soziale Netzwerke leben oder werden einmal vom User-Profiling leben. Der größten Markt, den es zurzeit im Internet gibt, ist "Identity". Aus Facebook sind genau jene private Daten zu holen, die wichtig sind und man sonst nicht erfährt. Sei es die als Kind besuchte Grundschule, der Mädchenname meiner Mutter - all diese Sachen werden bei Kreditkarteninstituten oder Banken zur Identifizierung abgefragt.

derStandard.at: Als User bekommt man nichts solchen Attacken und Diebstählen mit. Maximal ist eine Webseite für kurze Zeit nicht abrufbar. Ist es anzunehmen, dass sich derartige Vorfälle schon ereignet haben?

Alge: Davon kann man ausgehen.

derStandard.at: Das heißt, ich kann davon ausgehen, dass meine Daten bereits gestohlen wurden...

Alge: Wenn Banken angegriffen werden, um Namenslisten herauszuholen... Zu glauben, Facebook würde nicht angegriffen, würde bedeuten, das kriminelle Potenzial bei weitem zu unterschätzen.

Ich persönlich gehe immer davon aus, dass meine Daten, die ich an Dritte weitergegeben habe, zu einem gewissen Grad nicht sicher sind. Wenn ein Plattformbetreiber nicht für Datensicherheit haftet, ist anzunehmen, dass sie ein bestimmtes Maß an Risiko eingehen. Was sollte Facebook dazu veranlassen massiv dafür zu sorgen, dass nichts abhanden kommt? Die Reputation von Facebook hängt nicht von der Datensicherheit ab.

derStandard.at: Bei Banken ist das anders...

Alge: Banken haben einen härteren Druck. Nehmen wir die Gesetzeslage in UK als Beispiel: Wir hören alle paar Monate, dass in England eine CD oder eine Notebook mit zig tausend Daten verloren wurde. Und wir glauben, dass die Engländer eine Bande voll Idioten ist. Die Wahrheit ist, dass es dort ein Gesetz gibt, dass mich als Datenverwalter verpflichtet, einen Verlust zu melden. Bei schwerwiegenden Fällen muss der Verlust veröffentlicht werden.

derStandard.at: Und in Österreich?

Alge: Wir verlieren die Daten auch, nur sagen wir es nicht.

derStandard.at: Also sind meine Daten auch in Österreich nicht sicher?

Alge: Nehmen wir einfach an, dass unsere Beamte und ihre Mitarbeiter nicht unendlich viel sorgfältiger oder gescheiter sind, als die Engländer.

Ich habe einmal... nein, das darf ich nicht erzählen.

derStandard.at: Was?

Alge: Ein Geschäftsführer von einem Bankenverrechnungszenrtum hat einmal... Nein, ich sage jetzt nichts mehr.

derStandard.at: Hm...

Alge: Sagen wir es so: Es gibt in der Branche bekannte Vorfälle, über die dann nicht gesprochen wird.

derStandard.at: Die New York Times berichtete einst über weitere Motive von Internetkriminellen. Demnach könnten auch Erpressungsversuche hinter Angriffen stehen.

Alge: Natürlich. Denken Sie etwa an einen Wettanbieter oder eine Online-Handelsplattform. Allesamt Bombengeschäfte, die davon abhängig sind, dass die Verfügbarkeit rund um die Uhr gegeben ist. Ein Ausfall bedeutet sofortige Gewinneinbußen.
Dadurch geben sie perfekte Ziele für (so genannte) Denial of Service-Attacken ab. Ein Krimineller geht dabei so vor, dass er sich sein Ziel aussucht und dann mit einem Angriff die Server mit Anfragen flutet, um subtil die Last zu erhöhen. Oder, um vielleicht einen Ausfall für zwei Stunden zu verursachen. Und irgendwann ruft er dann einmal beim Betreiber an und fragt, ob die regelmäßigen Ausfälle bemerkt worden sind...

derStandard.at: Ich verstehe.

Alge: Die sizilianische Versicherung eben. Das ist aber üblich. Normal.

derStandard.at: Weshalb sind diese doch alt bekannten DoS-Attacken so schwer abzuwenden?

Alge: Diese Plattformen leben ja davon, Millionen von Menschen gleichzeitig zu versorgen und sind für hohe Lasten ausgelegt. Da fällt es schwer Kontrollen einzuführen, ob die Anfragen guter oder böser Natur sind. Prinzipiell stehen die Schleusen offen. Und dann passiert es, dass jemand mit unendlich viel mehr reinpresst. Früher waren das einfache automatisierte Anfragen, gegen die heute jeder Server immun ist. Moderne DoS-Attacken haben es auf jene "Klicks" und Anfragen abgesehen, die am meisten Arbeit generieren. Automatisierte Suchalgorithmen sind ein Beispiel dafür.

derStandard.at: Warum hatten die Facebook- und Twitter-Angreifer von vergangener Woche weniger Glück bei Google?

Alge: Letztendlich ist DoS immer wie Armdrücken. Und Google hat einfach so unendlich viele Serverfarmen, dass derartige Überlastungen nicht bemerkt werden.

derStandard.at: Wie viele Menschen stehen hinter diesen Angriffen?

Alge: Das sind keine Einzeltäter, sondern kriminelle Vereinigungen, die Bot-Netze betreiben...

derStandard.at: Ist das nicht umständlich? Dabei müssen doch zuerst zehntausende private Computer mit Trojanern infiziert werden, um diese dann fernzusteuern.

Alge: Bot-Netze kann man heutzutage mieten. Das ist kein Problem mehr. Irgendwo in Südkorea oder so.

derStandard.at: Sie sagten, Google gäbe kein optimales Ziel ab. Wie ist das mit Banken?

Alge: Banken sind immer schon angegriffen worden, aber auf andere Weise. In den USA gab es einmal den sehr dubiosen Fall, wo Bankomaten angezapft wurden. Es haben sich danach verschärfte Sicherheitsmaßnahmen an Geldautomaten durchgesetzt. Ich weiß persönlich von Banken in Liechtenstein, Schweiz und Deutschland, dass Systeme eingesetzt werden, um alle Transfers nur mehr verschlüsselt zu übertragen - auch bei privaten Leitungen.

Aber das machen wir in Österreich nicht, das brauchen wir nicht...

derStandard.at: Wie, wir brauchen das nicht?

Alge: Naja, das macht in Österreich halt niemand. Das gehört so zum Common Sense.

derStandard.at: Aber Sie heben trotzdem beim (österreichischen) Bankomaten ab?

Wieland Alge: Ja natürlich. Ich bin doch das selbe naive Opfer, wie jeder andere User. Sicherheitskonstrukteure bei Automobilkonzernen fahren ja auch Auto. Man muss auch als IT-Security-Mensch eine Distanz zum Beruf aufbauen können, damit man nicht völlig paranoid in der Gegend herumrennt.

derStandard.at: Benutzen Sie Online-Banking?

Alge: Ja. Obwohl, wenn ich mich professionell damit beschäftige, kommen mir bei manchen Banken Zweifel. Im Endeffekt pfeife ich aber darauf.

derStandard.at: Als Normalsterblicher bekommt man von solchen Gefahren kaum etwas mit.

Alge: Es ist das eine, dass die Öffentlichkeit davon nichts erfährt. Auf der anderen Seite entwickeln sich diese Dinge zu schnell, als dass wir uns daran gewöhnen könnten. Denken Sie nur daran, wie schwer es ist Spuren zu verwischen..

Jugendliche erzählen in Facebook und öffentlichen Foren von ihren Komasauf-Eskapaden. Danach bewirbt man sich als Lehrling und das erste was die Personalleiter - und auch die Headhunter - machen, ist in Google über dich zu forschen. Aber die Spuren im Internet wird man nie wieder los.

derStandard.at: Mittlerweile kann man Firmen mit der Spurenlöschung beauftragen...

Alge: Ja, aber mit sehr viel Aufwand. Das Problem ist auch, dass wir keine Kontrolle über den Kontext haben, in dem diese persönlichen Informationen stehen.

Aus ein und denselben Daten können fünf Jahre später völlig neue Informationen entnommen werden. In den 1920er- und 1930er-Jahren haben sich die Holländer überhaupt nichts dabei gedacht, ein zentrales Melderegister zu haben. Das war ein sehr fortschrittliches und effizientes System und hat Holland echt etwas gebracht. Bis die Nazis draufgekommen sind, dort alle Juden ausfindig zu machen und auf einmal waren die einst harmlosen Daten wenige Jahre später eine Gefahrenquelle.

derStandard.at: Haben Sie ein Facebook-Profil?

Alge: Nein.

derStandard.at: Haben Sie irgendein Account bei einem sozialen Netzwerk?

Alge: Ich bin bei Xing, habe aber die Nutzung reduziert. Die halbe Phion-Mannschaft ist bei Xing, so lässt sich das nicht verhindern. Ich würde Facebook auch noch recht lustig finden, wenn ich nicht eine halb öffentliche Person wäre. Ich erzähle Ihnen (Journalisten) lieber etwas persönlich.

derStandard.at: Wie weit fortgeschritten sind die militärischen Methoden zur Informationsbeschaffung über das Internet? Ist das schon Gang und Gäbe bei den Regierungen?

Alge: Es wäre naiv zu glauben, dass sich Staaten nicht des Internets bedienen.

derStandard.at: Betrifft das nur Informationsdiebstahl oder sprechen wir von tatsächlichen Cyber-Attacken über das Netz?

Alge: Sie meinen den Angriff auf Infrastrukturen?

derStandard.at: Die USA behaupten zumindest, sie hätte 2003 die Kommunikationsinfrastruktur des Iraks lahmlegen können...

Alge: Ist schwierig einzuschätzen. Solche Angriffe basieren wenn, dann auf schlafenden Agenten. Da muss ich als Angreifer schon "Minibomben" eingeschmuggelt haben.

derStandard.at: Was versteht man unter Minibomben?

Alge: Manipulierte technische Komponenten, die ich im Vorfeld an ein Land verkauft habe. Das Monopol der US-Amerikaner (in Sachen IT-Security) mag da durchaus helfen. Tatsächlich passiert sind solche Dinge eigentlich noch nie.

derStandard.at: Noch nie?

Alge: Nicht so massiv. Auf Diebstahl-Ebene passiert es permanent, aber das eine Infrastruktur wirklich gesprengt wird, geschieht wenn dann nur sehr selten.

derStandard.at: Die USA investieren sehr hohe Summen in die Absicherung ihrer Infrastruktur. Ist das berechtigt?

Wieland Alge: Die Amerikaner geben zwar sehr viel für IT-Security aus, sind aber konzeptionell oft schlampig. Wenn man mit amerikanischen Firmen zu tun hat, bemerkt man, dass oft sehr viel Geld in Komponenten gesteckt wird, das aber oft recht konzeptfrei. Über die Pläne der Regierung Obama freuen sich zwar die Security-Hersteller erst recht, weil noch mehr gekauft wird, aber es gibt auch einfach noch viel zu tun.

derStandard.at: Während sich die USA versucht gegen Angriffe abzusichern, versuchen Länder wie China oder der Iran sich abzuschotten. Wie unterscheiden sich diese Ansätze konzeptionell?

Alge: China verfolgt das Konzept einer Perimeter-Firewall. Wobei die USA sich mit dem Problem konfrontiert hat, dass es keine Grenze gibt. Dabei gilt es massiv kontrollierte Inseln zu schaffen, während man in Kauf nimmt, dass der Schutz rund herum schlechter ist. Dann geht es auch darum Redundanzen zu schaffen und die Verfügbarkeit der Infrastruktur zu garantieren.

derStandard.at: Wie man bei den vergangenen Wahlen im Iran feststellen konnte, lassen sich diese extremen Zensur-Maßnahmen dann doch recht schnell umgehen.

Alge: Weil das Internet nicht so funktioniert. Würde man einfach einen (Schutz-)Kreis um ein Land ziehen können, wäre das Internet samt allen Redundanzen, so wie wir es kennen, nicht möglich. Das ist ja auch der Grund, weshalb einzelne Ausfälle bei Carriern wie der Telekom Austria nicht das gesamte Netz lahm legen.

derStandard.at: Ihr Unternehmen Phion könnte bald von Barracuda Systems übernommen werden. Barracuda stellt unter anderem die Firewall für "Homeland Security". Rechnen Sie damit, dass sie künftig als österreichischer Unternehmer US-Sicherheitsbehörden schützen werden?

Alge: Das hoffe ich doch sehr. Es wäre dann endlich einmal umgekehrt.

derStandard.at: Ist es nicht ein wenig merkwürdig, das Firmen aus dem einen Land, ein anderes Land schützen.

Alge: Die USA macht das bisher nicht, das betrifft vor allem die Europäer.

derStandard.at: Sind die Europäer diesbezüglich fahrlässig?

Alge: Das glaube ich nicht. Das ist durchaus ein pragmatischer Zugang. Dass es Österreich macht, ist nicht verwunderlich. Österreich macht es auch in einem Stil, der viele anderen bei weitem übertrifft.

Österreich hat überhaupt keine besonders lange Tradition im paranoid sein. Das hat uns durchaus auch viel Geld gespart. Ich kenne recht viele Behörden in Deutschland, in der Schweiz, im Nahen Osten und in Österreich. Diese Gelassenheit, wie sie österreichische Behörden haben, gibt es sonst nirgends.

derStandard.at: Sind die Österreicher zu wenig paranoid?

Alge: Unter paranoid sein verstehe ich in diesem Fall die Angst vor manipulierten Produkten ausländischer Firmen. Österreich kann die IT-Security nicht allein durch heimische Unternehmen stützen. Und man ist damit auch lange Zeit gut gefahren.

Ich kenne allerdings auch Behörden, da geht es dann nicht darum, welche Produkte man einsetzt, sondern ob man überhaupt Produkte einsetzt.

derStandard.at: Das klingt beunruhigend.

Alge: Es gibt eine legendäre Aussage aus einer österreichischen Behörde: "Naja, wissen'S, wir haben eh nicht so wichtige Daten."

derStandard.at: Welche Behörde war das?

Alge: Das darf ich nicht sagen, aber die haben meine Daten, Ihre und alle.

derStandard.at: Das heißt, österreichische Behörden sind fahrlässig.

Alge: Nein, so kann man das nicht sagen. Aber man trifft auf vereinzelte Behörden, bei denen das Wort fahrlässig eine neue Bedeutung bekommt.

Das ist aber auch das Merkwürdige an Österreich, weil es gleichzeitig Behörden gibt, die in der IT von Nachbarländern teilweise unglaublich bewundert werden, wie effektiv sie arbeiten.

derStandard.at: Das klingt nach Borderline-Syndrom.

Alge: Ich möchte hier schon eine Lanze brechen für österreichische Behörden. Aber andererseits, so viele Highlights es gibt, so viele Tiefpunkte in Sachen IT-Security findet man auch.

(Zsolt Wilhelm, derStandard.at, 17.8.2009)

Links

Phion

  • Bild nicht mehr verfügbar

    Phion CEO Wieland Alge: "Man trifft auf vereinzelte Behörden, bei denen das Wort fahrlässig eine neue Bedeutung bekommt."

Share if you care.