Informationslecks im Internet

Sensible Daten, schlecht geschützt

Die Datenpanne in Meldestellen hat gezeigt, wie gefährdet private Daten im Internet sind. Aus Kostengründen und Bequemlichkeit laufen immer weniger sensible Infos über unzugängliche Netze.von BEN SCHWAN

Warum, so fragen sich Experten, haben die Meldestellen die Informationen nicht sorgfältiger abgesichert?   Bild: 

Anfang dieser Woche wurde bekannt, dass Meldedaten Hunderttausender Bürger mit einfachsten Mitteln im Internet zu finden waren - teilweise sogar mit Bild, Religionszugehörigkeit und Lohnsteuerdaten. Mehrere deutsche Gemeinden hatten einen Anfängerfehler in Sachen IT-Sicherheit begangen und ein Standardpasswort in der zuständigen Software beibehalten, das schließlich bekannt wurde, meldete das öffentlich-rechtliche Fernsehmagazin Report München. So hatten Gauner die Möglichkeit, sich mehrere Monate lang genaueste Daten zu besorgen, um beispielsweise Identitätsdiebstahl zu betreiben, also etwa auf Kosten anderer im Internet einzukaufen oder Bankkonten zu eröffnen.

Die Lücke soll inzwischen geschlossen sein.Noch ist unklar, ob die Informationen tatsächlich für kriminelle Machenschaften verwendet wurden. In den Gemeinden sucht man derzeit nach den Verantwortlichen und will seine Sicherheitsstrategie überdenken. Für betroffene Bürger stellt sich derweil vor allem eine zentrale Frage: Wie konnte es überhaupt sein, dass solch sensible Daten wie Melderegister über das freie Internet zugreifbar waren? Und: Gehören solche äußerst schützenswerten Datenbanken nicht deutlich stärker abgesichert?

Die Affäre um die Meldedaten ist nur ein Beispiel dafür, was passieren kann, wenn immer mehr sensible Anwendungen ins Internet wandern. Dabei handelt es sich um einen starken Trend: Galt früher eine strikte Trennung zwischen Firmen- und Behördennetzwerken und dem offenen Netz, nutzen inzwischen immer mehr Organisationen das Internet als Hauptträgermedium. "Da gibt es Anwendungen, die eigentlich nicht bereit für das Netz sind und eher ins interne Intranet passen", meint Matthias Rosche vom Ismaninger IT-Sicherheitsunternehmen Integralis. Es eröffneten sich inzwischen "ganz neue Spielwiesen und Zugriffsmöglichkeiten".

 

Nicht, dass eine Absicherung sensibler Anwendungen im Internet unmöglich wäre: Technologien wie virtuelle private Netzwerke (VPNs), die den gesamten Datenverkehr vom Nutzerrechner bis zum Server verschlüsseln, sind seit langem vorhanden. Auch helfen so genannte "Application Firewalls" - Torwächtercomputer für Web-Programme -, dass Hackangriffe ins Leere laufen. Das Problem ist allerdings, dass sie längst nicht überall eingesetzt werden. Im Fall der Meldedatenaffäre wundert sich Experte Rosche, dass es überhaupt möglich gewesen ist, sich mit einer einfachen Account-Passwort-Kombination als "Superbenutzer" anzumelden. "Solche Systeme benötigen ganz andere Absicherungssysteme. Ein Geldhaus käme ja auch nicht auf die Idee, beim Homebanking ohne PINs und TANs zu arbeiten." Viele dieser Lösungen seien "erstaunlich schlecht programmiert", Organisationen überfordert, mit der komplexen Technik der neuen "E-Government"-Anwendungen umzugehen. "Die Behörden holen sich jetzt eine blutige Nase."

 

Der Trend zur Nutzung öffentlicher Netze für sensible Anwendungen setzt sich inzwischen sogar in den Bereich kritischer Infrastrukturen fort. So demonstrierten IT-Sicherheitsexperten in den USA, wie sich Kraftwerksmitarbeiter mit einer gezielten Trojaner-Attacke dazu verleiten ließen, Kontrollrechner gegenüber Angreifern zu öffnen. Dass solche Systeme überhaupt mit dem Internet in Verbindung stehen, habe sich über Jahre ergeben, sagt der US-Security-Forscher Ira Winkler. "Die Firmen begannen damit, die Funktionalitäten von Business- und Kontroll-PCs zu kombinieren, weil das billiger war - man glaubte damals, dass keine Verbindung nach außen entstehen würde." Schließlich habe man sich aber entschieden, auch noch einen Internet-Zugang einzurichten. Die Sicherheitslage ist keineswegs in jeder Anlage derart kritisch; europäische Infrastrukturen gelten wegen zentralisierter Ansätze beispielsweise als sicherer. Dennoch ließ sich kürzlich der US-Kongress in einer Anhörung mögliche Horrorszenarien ausmalen - und versprach, schnell zu reagieren.

 

Die Verbindung geschäftlicher und behördlicher Anwendungen über das Internet habe viele Vorteile, räumt Experte Rosche ein. Man müsse dabei nur sicherstellen, dass keine Lücken entstünden - doch die gäbe es reichlich. Sein Unternehmen biete seit einigen Monaten einen Sicherheitscheck für Web-Anwendungen an, der kostenlos sei, sollten keine Löcher entdeckt werden. Er habe bei über einem Dutzend entsprechender Projekten noch jedes Mal eine Rechnung schreiben müssen.