IT-Security-Spezialist Wieland Alge über Datenskandale in Österreich und was das für die Vorratsdatenspeicherung bedeutet
Österreichische Behörden und Institutionen werden vermehrt von Internetaktivisten der Anonymous-Gruppierung ins Visier genommen. Dabei kam es in jüngster Zeit zu handfesten Datenschutz-Skandalen. Weshalb das möglich ist, wer schuld daran ist und was das für die geplante Vorratsdatenspeicherung bedeutet, erklärt Barracuda Networks EMEA-Chef Wieland Alge im Email-Interview mit dem WebStandard.
***
derStandard.at: Österreichische Institutionen, Parteien und Behörden werden derzeit von einer Welle unangenehmer Datenskandale heimgesucht. Die verantwortliche Aktivisten von Anonymous erklären, sie wollen damit gegen Vorhaben wie die Vorratsdatenspeicherung protestieren. Was vielleicht überrascht, ist der Zeitpunkt. Die Vorratsdatenspeicherung ist ja kein neues Thema. Was glauben Sie, weshalb sich das gerade jetzt passiert?
Wieland Alge: Das kann sehr triviale Gründe haben. Vielleicht hatte vorher gerade niemand Zeit. Oft werden ja Aktionen im Nachhinein rationalisiert, was dann eben zu merkwürdigen Fragen führt, da die angegebenen Gründe für die jetzigen Aktivitäten schon immer vorlagen.
derStandard.at: Während bei Angriffen von Anonymous auf Unternehmen wie Sony tatsächlich Computersysteme attackiert und Sicherheitssysteme unterwandert wurden, sollen Anonymous-Mitglieder nun ohne gezielte Eingriffe oder "Hacks" an die Daten von Polizisten, Ministerien und die tiroler Gebietskrankenkassa gelangt sein. Wie ist das möglich?
Wieland Alge: Hacklose Datendiebstähle sind seit jeher ein sehr großer Teil des Problemfelds. Bereits Kevin Mitnick hat in den Neunzigern den Source-Code des damaligen „Star Trek" Mobiltelefons von Motorola hacklos gestohlen, indem er Mitarbeiter überredet hat, diesen ihm zu schicken. Heute ist die überbordende Email-Kommunikation einer der Hauptprobleme. „Ach komm, ich schick dirs als Attachment" ist die bevorzugte Variante, anstatt kritische Daten zentral zu behalten. Was auf Notebooks und Mobiltelefonen an kritischen Daten herumlungert, ist erschreckend. Mehr noch, viele können sich gar nicht mehr entscheiden, ob sie zum Datengeheimniswahrer werden, da Kollegen einfach so mal Riesenexcels herumposten und schon ist man nolens volens mit der Gehaltsdatei oder auch mit Kunden- oder Patientendaten am iphone unterwegs. Und es ist nur ein kleiner Schritt vom halbprivaten Mobiltelefon zum ganz privaten Heimrechner, zum Rechner im Internetcafe und zur Datensicherung auf privaten Festplatten, die dann gebraucht und nur unzureichend gelöscht bei ebay versteigert werden.
derStandard.at: Bei den gestohlenen Daten der Polizei vermuteten Sicherheitsexperten, dass sogenannte OWA-Boxen (Outlook WebAccess), über die man außerhalb seines Arbeitsplatzes webbasiert auf seine E-Mail-Postfächer zugreifen kann, Leaks aufweisen könnten. Dürfte da unzureichend gesichert worden sein?
Wieland Alge: Der dauernde mobile Zugriff auf Mail und die Versuchung, sich dann eben Attachments rauszukopieren auf Systeme, die dann nicht mehr sicher sind, ist tatsächlich einer der ganz großen Lecks unserer Zeit.
derStandard.at: Sie haben in der Vergangenheit immer wieder davor gewarnt, dass in Österreich die IT-Sicherheit oftmals auf die leichte Schulter nimmt. In dem Fall scheint aber vor allem der "sorglose" Umgang mit Daten das Problem zu sein. Was hätte man tun können, um dies zu verhindern?
Wieland Alge: Im TGKK Fall und bei vielen vergleichbaren Vorkommnissen ist offenbar immer die Einfachheit das alles überstrahlende Paradigma. Bevor man sich überlegt, wer genau welche Daten braucht und welche nicht und welche Regelungen für die Empfänger dieser Daten gelten, wie sie verschlüsselt werden etc., schickt man mal den gesamten Datensatz an die, die ihn brauchen könnten.
derStandard.at: ARGE Daten wirft der TGKK sogar Fahrlässigkeit vor. Ist das in diesem Fall zulässig?
Wieland Alge: Als rechtlichen Begriff möchte ich ihn nicht verwenden. Aber umgangssprachlich gebraucht, sind wir alle zusammen eine fahrlässige Bande. Die TGKK steht jetzt gerade im Rampenlicht, aber es ist gerade die strukturelle Fahrlässigkeit von praktisch allen Datensammlern, die so beunruhigend ist.
derStandard.at: Eine Sorge, die sich nun unter Bürgern breit macht ist, wie bei der zunehmenden Digitalisierung von Informationen und der vermehrten Erfassung persönlichen Daten, der Datenschutz künftig gewährleistet werden kann?
Wieland Alge: Für gewisse Teile ist es nun ohnehin zu spät. Von meiner Sozialversicherungsnummer habe ich mich bereits verabschiedet. Wir werden bei vielen Systemen beim Nutzen kleine Abstriche machen müssen und den nachhaltigen Schaden durch Datengeheimnisverletzungen viel ernster nehmen. Die elektronische Gesundheitsakte ist ein enormer Schritt in eine fantastische verbesserte medizinische Versorgung, aber mit den momentan verbreiteten worst practice Methoden graut mir davor. Ich hatte eine Schulteroperation im Januar diesen Jahres und habe zwei Titanschrauben in der Schulterpfanne. Ebenfalls hatte ich eine Magen-Darmspiegelung ohne Befund. Ich dachte, ich machs gleich öffentlich, dann rege ich mich später nicht mehr so auf.
derStandard.at: Was bedeuten die aktuellen Ereignisse für die angestrebte Vorratsdatenspeicherung?
Wieland Alge: Wie gesagt, die derzeitige Praxis würde unweigerlich dazu führen, dass das Surfverhalten von interessanten Personen bald in derStandard.at diskutiert würde. Und dies möchte ich mir nicht vorstellen müssen.
derStandard.at: Sie als Sicherheitsexperte haben über die vergangenen Jahre vermutlich mit verschiedensten Arten von Computerkriminalität zu tun gehabt. Inwiefern unterscheidet sich die Problematik "Anonymous" von bisherigen Bedrohungen?
Wieland Alge: Was vor allem anders ist, ist natürlich die Suche nach Öffentlichkeit. Erfolgreiche digitale Bankräuber twittern nicht. Zu hoffen bleibt, dass die Aktivisten auf ihrer Gratwanderung nicht aus Versehen oder auch aus Frustration aus illegalem Handeln ohne echten Schaden tatsächliche Verbrechen begehen. Wikileaks hat ja gezeigt, wie uneins man schnell sein kann, was denn vertretbar ist und was nicht.
derStandard.at: Glauben Sie, wird Anonymous bzw. diese Form des Aktivismus unsere auf IT-gebaute Gesellschaft langfristig verändern?
Wieland Alge: Das ist sehr schwierig vorherzusagen. Österreich hat sich bisher sehr resistent gezeigt, den Schutz der Privatsphäre der BürgerInnen über die Datensammelwut des Staates zu stellen. Die vergangenen Jahre haben mich skeptisch gemacht. Ich orte in vielen Ländern Europas eine starke Tendenz zum Überwachungs- und Kontrollstaat, und das geht gleichermaßen von rechts und links aus. Mir und manchen anderen macht das Angst, aber ob es in Österreich zu Konsequenzen kommt, bezweifle ich. Nun sind mal alle Tiroler Sozialversicherungsnummern gefunden worden, und die meisten würden in einer Umfrage wohl eine stärkeren Schutz der Privatsphäre befürworten. Die Keule der Datensammler ist aber stärker und gemeiner. Sobald irgendwo in Europa oder USA ein Irrer Menschen tötet, stellt jemand die Frage, was wohl mehr Wert ist, ein Menschenleben oder eine Nummer im Internet. Das ist natürlich völliger Blödsinn, aber es klingt verdammt gut. Nicht vorhandener Datenschutz tötet übrigens auch, nur auf eine viel subtilere Art und Weise, aber das ist noch einmal eine völlig andere Geschichte.
(Zsolt Wilhelm, derStandard.at, 11.10.2011)
