Vernetzte Gesellschaft. Vernetzte Bedrohungen. Journalist und Buchautor Joachim Jakobs über die Gefahren der digitalen Vernetzung

Sie haben im September 2015 ein Buch mit dem Titel „Vernetzte Gesellschaft. Vernetzte Bedrohungen. Wie uns die künstliche Intelligenz herausfordert“ verfasst. Gab es ein auslösendes Moment, das Sie zu diesem Buchprojekt bewegt hat?
JAKOBS  2011 hatte ich mit zwei Co-Autoren mein erstes Buch verfasst – „Vom Datum zum Dossier – Wie der Mensch mit seinen schutzlosen Daten in der Informationsgesellschaft ferngesteuert werden kann.“ Darin haben wir beschrieben, wie der Mensch Opfer von Manipulation, Bestechung oder Erpressung werden kann. Am Ende dieses Buchs ist mir allerdings aufgefallen, welche Bedeutung in diesem Zusammenhang das Internet der Dinge, die künstliche Intelligenz und die damit verbundene automatisierte Protokollierung des Lebens erhalten. 
Zwischen 2011 und 2015 habe ich den Schwerpunkt meiner journalistischen Arbeit auf die Konsequenzen dieser Automatisierung gelegt. Ich habe mich dabei mit Branchen wie der Automobilindustrie und Wertpapierbörsen einerseits und Funktionen wie Marketing,  Öffentlichkeitsarbeit und Personalwirtschaft andererseits beschäftigt. Branchen und Funktionen verschmelzen jetzt beispielsweise zur Gesundheits- und Verkehrstelematik und den intelligenten Gebäuden und Stromnetzen. Mit Hilfe künstlicher Intelligenz soll diese Datenschätze jetzt gehoben werden. In „Vernetzte Gesellschaft. Vernetzte Bedrohungen“ habe ich meine Arbeit dieser vier Jahre verdichtet und ein wenig Struktur reingebracht.

In Ihrem Buch sprechen Sie davon, dass Sorglosigkeit beim Umgang mit eigenen Daten und den Daten Dritter immer noch der Normalfall ist. Worin liegen aus Ihrer Sicht die Gründe für dieses Verhalten?
JAKOBS  Da gibt es viele Gründe – das beginnt mit der Ahnungslosigkeit: Angenommen, die Patientendatenbank eines Arztes benötigt 50 Gigabyte Speicherplatz. Dann passt sie auf einen Chip, der so groß ist wie ein Daumennagel und im Handel 17,89 Euro kostet. Mithilfe des Mobilfunkstandards LTE lässt sich die Datenmenge innerhalb von gut einer Stunde ans andere Ende der Welt übertragen; im künftigen '5G'-Netz reduziert sich diese Zeit auf 40 Sekunden. Genauso leistungsfähig lassen sich Datenmengen durchforsten: Der IT-Konzern Hewlett Packard sagt, dass sich 160 Petabyte in 250 Nanosekunden durchsuchen ließen. Licht legt in diesem Zeitraum 75 Meter zurück. Viele Leute scheinen der Ansicht zu sein, dass ein Mehr an Leistung einen Fortschritt für die Menschen bedeuten würde. Das halte ich für naiv: Genauso wie wir uns in Sekunden Informationen beschaffen können, können Informationen über uns beschafft und verarbeitet werden. Der Unterschied: Otto und Liese von nebenan haben eine Suchmaschine – die die uns finden wollen, haben auch noch Zugang  zu Wirtschaftsauskunfteien wie die Schufa, zu Payback, Melderegistern, Grundbüchern und verknüpfen das mit den Informationen, die in den sozialen Medien gespeichert sind.
Die Leistungsfähigkeit der Technik weckt dabei den Spieltrieb der Angegriffenen – auch ich finde die Vorstellung faszinierend, die Kamera meines schlauen Telefons auf ein Gebäude, ein Kunstobjekt, Tier oder Pflanze zu richten, um dann weitere Informationen zu diesem Motiv angezeigt zu bekommen. Und ich muss jedes Mal aufs Neue der Versuchung widerstehen, diese Dinge zu nutzen, weil Dritte sonst ein Bewegungs- und Interessenprofil erstellen und mir per „App“ womöglich auch noch Schadsoftware unterschieben könnten, die dann die Sicherheit des Telefons gefährden könnte. Genauso ist es natürlich bequem, seine Bankgeschäfte online zu machen. Ich bin technisch allerdings nicht in der Lage, zu beurteilen, ob die Banksoftware sicher ist, ob mein Rechner tatsächlich frei von Computerschädlingen ist, ob ich beim Aufruf der Bank-Software tatsächlich mit meiner Bank, oder mit irgendeinem Kriminellen kommuniziere, der nur behauptet, meine Bank zu sein und ob der Bank-Server tatsächlich genau das tut, was er tun sollte.
 
Wie können wir uns nun vor Kriminellen im Netz schützen?
JAKOBS Der Schutz fängt im Kopf an. Häufig liegt ein Konflikt zwischen Bequemlichkeit  und Sicherheit zugrunde: Zunächst muss bei jedem Produkt oder System die Frage geklärt werden: „Rechtfertigt der Zusatznutzen das zusätzliche Risiko?“  Beispiel intelligentes Heim: Warum will ich vom Handy aus meine Waschmaschine oder meinen Backofen steuern? Schließlich müssen Wäsche und der Schweinebraten immer noch von Hand in das jeweilige Gerät geschoben werden. Umgekehrt ist mit Risiken zu rechnen – zum einen mit Fehlern der Anlage: Im April war der Qivicon-Server des Smart-Home Systems der Telekom zum wiederholten Mal gestört. In der Folge konnten die Nutzer ihre Alarmanlagen zu Hause nicht vom Smartphone aus steuern. Die Folge: Wenn einer ins Haus reingeht, muss er erst einmal die Alarmanlage abstellen. Das allein ist ärgerlich genug – schon wegen der Nachbarn! Das Haus zu verlassen, war aber de facto unmöglich – die Menschen waren regelrecht im eigenen Haus gefangen.
Wenn ich mich dann doch dazu entschließe, eine solche Heimsteuerung anzuschaffen, werde ich den Anbieter auf jeden Fall nach einem unabhängigen Zertifikat fragen, das diesem Produkt Unbedenklichkeit bescheinigt. Die Vertrauenswürdigkeit des Zertifikats sollte mit einer Internetsuche geprüft werden. Wer der Sicherheit seines Anbieters blind vertraut, kann böse Überraschungen erleben – so hat sich die Journalistin Kashmir Hill2013 einen  Spaß erlaubt: Sie hatte mithilfe einer „sehr einfachen Google Suche“ eine ganze Liste „intelligenter” Wohnungen aufgespürt. Deren Eigner hätten „etwas ziemlich Dummes“ getan, indem sie ein System der Firma Insteon verwendet hätten, um damit ihre Wohnung elektronisch zu steuern.
Nach ein paar Mausklicks konnte sie einem „Wildfremden durchs ganze Haus spuken“: „Ich kann alle Geräte in Ihrem Haus sehen und ich denke, ich kann sie auch steuern“, hat sie ihrem noch schlaftrunkenen Gesprächspartner am Telefon gesagt, nachdem sie ihn aus dem Bett geklingelt hatte. Sie hätte dann ein wenig am Lichtschalter herumgefuhrwerkt, anschließend aber der Versuchung widerstanden, den Fernseher anzumachen. Genauso hätte sie ihren Opfern den Energieverbrauch „alptraumartig“ in die Höhe treiben können. Und es sei möglich, die Garage per Fernsteuerung zu öffnen, um dann den Eignern einen physikalischen Besuch abzustatten.
Außerdem würde ich den Anbieter fragen, auf welche Einstellungen ich achten muss: Standardpasswörter sind im Internet zu finden und sollten in jedem Fall ersetzt werden. Dieses Passwort sollte „komplex“ sein und aus mindestens zwölf „zufälligen“ Zeichen – Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Auch hier gilt wieder: Wer sich auf ein triviales Passwort aus dem Wörterbuch verläßt, riskiert seine physische Sicherheit.

Sehen Sie die Bedrohungen nur im privaten Bereich oder gibt es sie auch für die Unternehmen? 
JAKOBS Da wir gerade vom angeblich intelligenten Heim sprachen: Auch die Gewerbegebäude sollen schlau werden – 2013 hat sich der Sicherheitsberater Cylance den Gebäudegrundriß von Google's Australischem Hauptquartier unter den Nagel gerissen – sie behaupten außerdem, dass sie die Gebäudesteuerung vollständig hätten übernehmen können. Die war an einer Stelle hinterlegt, die mit der Gebäudesteuerung „Niagara“ des Entwicklers „Tridium“ verknüpft war. Bereits Monate zuvor hatte jedoch die US-Bundespolizei FBI eine „Cyberwarnung“ zu dieser Software veröffentlicht. Im Anschluss an diese Aktion hat Google die Software deaktiviert. Und Cylance hat den übrigen 24.999 restlichen Kunden empfohlen, diesem Beispiel zu folgen.  
Neben dem hirnlosen Verhalten vieler „Angegriffener“ kommen auch die Aktivitäten der Angreifer zum Tragen: So könnte die eigene Internetseite dem „plötzlichen Herztod“ durch einen Überlastungsangriff („Denial of Serivce“ – DoS) erliegen: Zu viele Anfragen und der Server knickt ein. Im Juni hat der Fachdienst Heise Online gewarnt: „DDoS-Angriffe werden heftiger und billiger”. In der Regel wollen die Angreifer von ihren Opfern Geld erpressen. Genauso kommen Cyber-Vandalen in Betracht.
Pro Tag soll es nach Angaben der Firma Arbor Networks nur US-60 Dollar kosten, ein Unternehmen plattzumachen. Kaspersky glaubt, eines von fünf Unternehmen werde angegriffen. Die Kosten zur Wiederherstellung sollen in KMU durchschnittlich 50.000 US-Dollar betragen. Und außerdem soll ein Viertel der Angriffe zu Datenverlusten führen.
Gleiches  Spiel, andere Technik mit Erpressungstrojanern: Kaspersky behauptet in einer Studie, dass für 42,2 Prozent der mittelständischen Unternehmen Ransomware, also Lösegeld-Trojaner, eine geschäftskritische Bedrohung darstellt. Und das, obwohl die Angreifer bislang „nur“ Jagd auf die Geräte der Anwender machen. Offensichtlich ist damit im Moment noch genug Geld zu machen. Die viel wertvolleren Daten dürften aber auf den Dateiservern liegen: Denken Sie an die vielen SAP-Anwendungen! Und das „Internet der Dinge“. Für die Nachbarsjungen könnte es spaßig sein, dem Unternehmen im Sommer die Heizung auf- oder im Winter abzudrehen, Kriminelle könnten damit finanzielle Forderungen verbinden, Geheimdienste könnten den Herzschrittmacher des Chefs angreifen und Terroristen ein Verkehrschaos auf der Autobahn verursachen – man muss ja nur ein klein wenig an einem „intelligenten“ Auto aus der Ferne herumspielen. 
Dazu sind keine besonderen Fähigkeiten notwendig: Auf dem Markt sind sogenannte Exploit-Kits – sogar kostenlos! – zu haben, mit denen sich jeder Kleinkriminelle seine eigene Schadsoftware zusammenklicken kann. Diese Baukästen sind genauso professionell und einfach zu handhaben wie Ihre Textverarbeitung – einschließlich Hilfefunktion durch die Entwickler. Und wer sich nicht selbst die Finger schmutzig machen will, kann kriminelle Dienstleistungen als Service in Anspruch nehmen. 
Damit sind existenzielle Bedrohungen verknüpft. Der Sicherheitsberater Steve Duplessiewarnte kürzlich, Firmen müssten in Zukunft weniger den (teuren) Diebstahl der Daten als vielmehr deren „Zerstörung“ fürchten: “Da sind jetzt Kräfte im Spiel, die sich nicht mehr damit zufrieden geben, Dein Geld zu stehlen – sie wollen Dein Unternehmen vernichten. Jetzt kannst Du diese Bedrohung ernst nehmen oder nach einem Loch suchen, um Dich dort zu vergraben. Die Ignoranten sind nicht länger selig!”
Diese Angreifer treffen  auf Leute, die privat ihr gesamtes Leben auf Facebook veröffentlichen und beruflich mit Daten von Bürgern, Kunden, Patienten und Versicherten umgehen. Das sind wahlweise Entscheider oder Menschen, die auf Basis der Entscheidungen Software entwickeln, implementieren, administrieren oder nutzen, um vernetzte Geräte zu steuern oder damit personenbezogene Daten zu verarbeiten. Ich glaube nicht, dass die für meine Sicherheit besser sorgen als für ihre eigene. 
Die Naivität bestimmt ganze Unternehmen – Ludger Arnoldussen, Mitglied des Vorstands der Munich Re sagt: “Noch immer denken kleine und mittlere Unternehmen, sie seien zu unbedeutend, um angegriffen zu werden. Wohingegen Großkonzerne glauben, gut genug geschützt zu sein. Beides ist in der Regel falsch.” Genauso die Politik – der frühere Verteidigungsminister Karl Theodor zu Guttenberg attestiert seinen früheren Kollegen diesbezüglich ein mangelndes Bewusstsein – Verkehrsminister Dobrindt redet vom autonomen Fahren, stopft aber die Löcher seiner Ministeriums-Server nicht. Gesundheitsminister Gröhe droht denen, die sich der elektronischen Gesundheitskarte verweigern. – Ein sachkundiger Jurist würde vermutlich auf “grobe fahrlässig” plädieren. Leider ist grobe Fahrlässigkeit in der Politik nicht justiziabel. 
So geraten ganze Infrastrukturen in Gefahr: Im April soll ein technischer Fehler bei einem Badener Milcherzeuger zu einem Dominoeffekt im Stromnetz geführt haben. Dabei sollen zunächst einzelne technische Bauteile, dann Transformatoren und in der Folge der Strom bei der Freiburger Uniklinik, dem Regierungspräsidium und einer Schule ausgefallen sein. Mitte Juli hat Der Spiegel darauf hingewiesen, dass Wasserwerke, Biogasanlagen und Blockheizkraftwerke im Internet “offen zugänglich” seien. Jedes Kind könnte da einen Stromausfall mutwillig herbeiführen. Glücklicherweise ist die Orientierung in einer solchen Anlagensteuerung nicht ganz so einfach, wie das Hineinkommen selbst. Es wird aber spekuliert, dass der größte Stromausfall in der Türkei seit 15 Jahren im März 2015 durch einen Cyberangriff ausgelöst wurde. In Istanbul und Ankara sollen U- und Straßenbahnen stillgestanden haben, Verkehrsampeln fielen aus, Fabriken und Krankenhäuser standen still. Im vergangenen Dezember sollen in der Ukraine nach einem Cyberangriff in 700.000 Haushalten die Lichter ausgegangen sein. Durch unser naives Bedürfnis, Alles mit Allem zu vernetzen – ich nenne es die iPhonisierung der Gesellschaft – legen wir die Axt an unsere Zivilisation. Wir warten jetzt nur noch darauf, dass irgendwer lernt, sich im Inneren Deutscher Anlagen zu orientieren. 
Um dieser und anderen Gefahren zu begegnen, hat der Bundestag im Juli vergangenen Jahres das IT-Sicherheitsgesetz beschlossen. Dadurch werden die Betreiber „kritischer Infrastrukturen“ – (Energie, Ernährung, Finanzen, Gesundheit, Informationstechnik, Verkehr, Versicherungen, Wasser) auf ein Minimum an Sicherheit verpflichtet. Das werden diese Branchen jedoch nicht allein stemmen können und wollen – sondern auch ihre Lieferanten und Dienstleister in die Pflicht nehmen. In einigen Jahren werden Sicherheits- und Notfallkonzepte, physikalischer Einbruchschutz, kryptographische Verschlüsselungen und rollenspezifische Bildung für alle selbstverständlich sein. 
Ein Hilfsmittel kann die vom VdS Schadenverhütung, einem Unternehmen des Gesamtverbandes der Deutschen Versicherungswirtschaft, herausgegebene IT-Sicherheitsrichtlinie VdS 3473 sein. Dazu kann man zuvor einen  „Quick-Check für Cyber-Security“ und ein „Quick Audit“ absolvieren, um zu wissen, wo die unternehmenseigenen Schwächen liegen. Im Quick-Check sollen sich die Unternehmen selbst beurteilen, im Quick-Audit soll diese Nabelschau von einem externen Prüfer gespiegelt werden. Das  Top Management muss das Thema  zur Chefsache machen, Aufbau- und Ablauforganisation prüfen und insbesondere kritische Prozesse identifizieren. Auf dieser Basis wird dann ein Handlungsplan  erstellt.

Wollen KMU derartige Schutzmaßnahmen umsetzen, geht es nicht ohne Investitionen. Schrecken Entscheider davor zurück?
JAKOBS 2010 behauptete Retarus , ein Spezialist für Informationslogistik, die Unternehmen gäben pro Mitarbeiter mehr fürs Toilettenpapier aus als für die Sicherheit Ihrer Mails. Ich habe nicht den  Eindruck, dass sich das bis heute wirklich grundlegend geändert hat: Die Entscheider verstehen nicht, dass sie Russisches Roulette mit der Existenz ihrer Institution spielen – da wirken die absoluten Zahlen für angemessene Vorsorge exorbitant hoch. Im Vergleich zu den Folgen eines Angriffs sind sie jedoch gering. Dieser Mangel an Bewusstsein sorgt für ein schmales Sicherheitsbudget. Die Folge: Fremdeingekaufte Software wird nicht sicherheitsgeprüft, von der eigenen IT wird verlangt, dass Datenbanken, Server und Glasfaserleitungen bis zum Anschlag ausgereizt werden, die Admins unterliegen dabei allerdings keinerlei Qualitätskontrollen. Die Mitarbeiter verfügen über Zugriffsrechte, die sie nicht benötigen und wissen gleichzeitig nicht, wie sie an ein sicheres Passwort kommen. Das heißt: Der Chef verstehts nicht und die Mitarbeiter imitieren ihn in diesem Unverständnis. 
Wer stattdessen vorsorgt, kann sich noch darüber hinaus gegen die Folgen eines Angriffs „cyberversichern“.Jörg Freiherr Frank von Fürstenwerth vom Gesamtverband der Deutschen Versicherungswirtschaft weist darauf hin: „Wer seine Daten und Systeme besser schützt, zahlt weniger.“

Haben Sie jetzt genug für die Aufklärung getan oder planen Sie weitere Aktionen?
JAKOBS Ich bin damit sicher nicht am Ende. Die Probleme bestehen ja fort. Ich plane ein Projekt „Schlaues Deutschland 4.0“. Mit einem Datenschutzmobil will ich 300 Vorträge zwischen Kiel und Garmisch, Dresden und Aachen halten, um jeweils an das Verantwortungsbewusstsein von 50 Angegriffenen zu appellieren. Mit Hilfe der Medien will ich aber ein wesentlich größeres Publikum auf die Initiative aufmerksam machen. Ich will erreichen, dass Unternehmer und Behördenleiter in Sicherheits- und Notfallkonzepte, physikalischen Einbruchschutz, kryptographische Verschlüsselung und Bildung für Alle investieren. Das Ziel des Projekts ist ein System vernetzter Sicherheit. Zukünftig sollen jeder Freiberufler, jeder Konzern, jedes Produkt und jede Dienstleistung die eigene Sicherheit durch ein Zertifikat nachweisen müssen. Das Fraunhofer Institut für System- und Innovationsforschung in Karlsruhe ist bereits mit im Boot. Um es umsetzen zu können, appelliere ich an Unternehmen, Verbände und die Öffentlichkeit, das Projekt „Schlaues Deutschland 4.0“ ideell zu unterstützen. Die Nutznießer dieser Entwicklung – Sicherheitsberater, Virenjäger, Hersteller einbruchsicherer Fenster, Türen, Schließanlagen, Schließzylinder, Tresore, Cyberversicherer und Schulungsunternehmen fordere ich auf, die Gelegenheit zu nutzen und in das Projekt zu investieren. Sie werden  damit auch eine erhebliche öffentliche Aufmerksamkeit für sich selbst schaffen. Das bedeutet: Mehr Umsatz!

Mit Joachim Jakobs sprach Angelika Kolb-Telieps, Herausgeberin des Newsletter Innovation

Literatur
Link zum Buch: http://t1p.de/s22e
Artikel zum Thema Sicherheitskonzepte: http://www.sicherheit.info/artikel/1139321
Kaspersky-Studie: http://newsroom.kaspersky.eu/de/texte/detail/article/jeder-zehnte-ransomware-verschluesselungsangriff-zielt-auf-unternehmensnutzer-ab



Zurück