Interview: Wenn die Datenfalle auf der Lauer ist

IT-Experte Dennis Kipker gibt Tipps zum Thema Cyber-Sicherheit

+
Dennis-Kenji Kipker aus Weyhe forscht zu den Themen Recht und Datensicherheit im Internet.

Weyhe – Der jüngste Datenskandal zeigt, dass IT-Sicherheit mehr als eine gesetzliche Vorgabe ist, sondern das Thema theoretisch jeden zu jederzeit betreffen kann. Das Advents-Datenleck machte deutlich, dass es nicht nur um den Schutz von Einrichtungen wie den Bundestag geht, sondern auch um die Personen, die dort arbeiten.

Privatpersonen und auch Firmen müssen sich fragen, was sie selbst tun können, um die Sicherheit ihrer Daten zu verbessern. Der promovierte Jurist Dennis Kipker kommt aus Weyhe und ist Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID). Er forscht zum Thema Cyber-Sicherheit und Recht und stellte sich den Fragen des Redakteurs Sigi Schritt.

Wie verantwortungsvoll gehen Bürger, Firmen und Verwaltungen mit den Daten im digitalen Raum um?

Das lässt sich schwer generalisieren, in jedem Falle aber: Ungleich! Zu unterscheiden ist zwischen IT-Sicherheit und Datenschutz. Die Datenschutzanforderungen gelten in jedem Falle grundsätzlich für alle Unternehmen, die personenbezogene Daten in ihrem Geschäftsbetrieb verarbeiten, und davon gibt es einige. Und die sind dann auch verpflichtet, für eine sichere Datenhaltung zu sorgen.

Gibt es in den Branchen Unterschiede?

In bestimmten Branchen wie in kritischen Infrastrukturen wird qua Gesetz schon auf mehr IT-Sicherheit geachtet, zum Beispiel in Krankenhäusern, wohingegen es für viele und die meisten „normalen“ Betriebe keine expliziten IT-Sicherheitsanforderungen als solche gibt.

Was ist mit kleineren Betrieben?

Generell lässt sich sagen: Gerade kleine und mittelständische Unternehmen in IT-fernen Branchen haben oft keine angemessene IT-Sicherheit realisiert.

Und was gilt für Verwaltungen?

Dafür sollte eigentlich anderes gelten, aber auch hier zeigen IT-Sicherheits- und Datenschutzskandale bei unterschiedlichsten Einrichtungen immer wieder, dass es auch hier nicht klappt: zum Beispiel, wenn Festplatten mit sensiblen Daten ?verschwinden“. Bürger benötigen eigentlich geringere Anforderungen an IT-Sicherheit, hier fehlt aber auch sehr oft ein grundlegendes Wissen über zentrale Zusammenhänge, was sicher auch daran liegt, dass man eben immer mehr Anwender und Konsument wird, ohne sich mit Software und Hardware richtig auseinanderzusetzen.

Wie wichtig ist die Aufklärung und wer sollte dazu beitragen?

Aufklärung ist extrem wichtig, und das sollte schon von Anfang an in den Schulen gemacht werden. Die 2000er-Generation sind zwar „Digital Natives“, aber gerade aufgrund dieses natürlichen Umgangs mit digitalen Medien fehlt es nicht selten an einer kritischen Auseinandersetzung mit dem Thema. Und dass man ein Gerät bedienen kann, bedeutet nicht zwangsläufig auch, dass man versteht, wie es funktioniert.

Kann jeder Internet-Nutzer zum Ziel krimineller Hacker werden?

Jeder kann theoretisch Ziel eines Angriffes werden. Und das in vielen Fällen sogar unbemerkt, denn selbst für Abgeordnete des Bundestages/Prominente hat es mehrere Wochen gedauert, wie der Fall vom Freitag gezeigt hat.

Was wird noch auf uns zukommen?

Wir gehen immer stärker in Richtung Cloud Computing. Und das meint nicht nur die Nutzung von Speicherplatz, sondern auch das Mieten von Software und Rechenkapazitäten. Wir werden bald schon gar keinen eigenen rechenstarken PC mehr benötigen, da uns die Rechenleistung über das Netz von überall auf der Welt zur Verfügung steht. Aber mit dem Komfort steigen eben auch die Risiken: Wenn man zum Beispiel ein unsicheres Masterpasswort für alle Cloud-Dienste verwendet, landet man ganz schnell in der Datenfalle.

Welches Ziel verfolgen die Kriminellen, wenn sie die Daten abschöpfen?

Das ist ganz unterschiedlich. Es lässt sich aber als Tendenz sagen: Je professioneller ein Angriff, je schwieriger ein Ziel zu erreichen ist, umso eher dürften es wirtschaftliche Interessen sein. Mittlerweile ist aber eben auch der digitale Aktionismus immer größer geworden. Fakt ist eben: Es wird vor nichts und niemandem zurückgescheut, egal ob Privatperson, kleines oder großes Unternehmen, oder Behörde.

Geht es immer um Daten?

Es kann auch Rechenleistung abgeschöpft werden, zum Beispiel für Bitcoin Miner auf Smartphones. Wem also öfters sein Telefon heiß läuft oder der Akku ungewöhnlich schnell schlappmacht, der sollte das mal checken lassen.

Wie sollten sich Internet-Nutzer schützen?

Immer alle Sicherheitsupdates rasch nach Erscheinung installieren, da diese nicht selten bekannt gewordene Sicherheitslücken schließen. Nicht als Administrator im Internet surfen: Schadsoftware hat immer nur die Rechte, die das Benutzerkonto hat.

Welchen Tipp haben Sie, um die Basissicherheit zu gewährleistet?

Ein Virenschutzprogramm installieren, und es täglich updaten, eigentlich sogar im Mehrstundenrhythmus. Firewall: Sollte ebenso installiert sein. Hier aber nicht nur blind installieren und dann vergessen, sondern richtig konfigurieren, ansonsten ist das Tool wertlos. Überprüfen, welches Programm und welcher Dienst welche Verbindungen aufbauen dürfen. Keine alten Internetbrowser verwenden, sondern nur solche mit „Sandboxing“-Technologie. Es gibt darüber hinaus auch Browser, die eine virtuelle Maschine simulieren, sodass nur dieses virtuelle System (das wertlos ist) infiltriert werden kann.

Außerdem?

Nicht jedwede App installieren, nur weil sie cool oder umsonst ist: Alles hat seinen Preis, und hinter mancher App steckt mehr, als sie vorzugeben scheint. Nicht gedankenlos in öffentlichen Netzwerken surfen.

Was müssen Firmen tun, damit ihre Daten im Internet und die elektronische Kommunikation sicher sind?

Firmen mit entsprechenden Ressourcen sollten ein IT-Sicherheitsmanagement (ISMS) implementieren. Dabei handelt es sich um einen systematischen und koordinierten Informationssicherheitszyklus, der im Sinne eines Plan-Do-Check-Act ein umfassendes IT-Sicherheitskonzept umsetzt und letztlich ein IT-bezogenes Qualitätsmanagement darstellt. So etwas aufzubauen kostet aber Zeit und Geld, gerade kleine und mittelständige Unternehmen haben nicht immer die Ressourcen dafür. Für diese Fälle gilt Awareness/Sensibilisierung der Mitarbeiter zum Beispiel durch regelmäßige Schulungen, und auch Penetration-Tests, also IT-Sicherheitsüberprüfungen.

Welchen Tipp haben Sie für Geschäftsreisende?

Sie sollten immer auf verschlüsselte Verbindungen zurückgreifen und nicht das kostenlose und freie Hotelnetz verwenden.

Wie sollten Passwörter beschaffen sein?

Sie sollten nicht aus realen Worten bestehen, sondern mindestens aus acht Zeichen, bestehend aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Passwörter sollten regelmäßig geändert werden. Für besonders sensible Bereiche mindestens 20 Stellen verwenden.

Wie kann man sich diese Passwörter merken?

Entweder: Offline auf einem Zettel aufschreiben, diesen wegschließen und mittels einer Zuordnungsliste Passwort und Dienst, für den es genutzt wird, über ein Pseudonym getrennt halten, sodass man allein mit der Passwortliste nichts anfangen kann.

Viele Dienste verlangen Passwörter. Wie behält man den Überblick, wenn man für jeden Dienst ein eigenes Passwort vergibt?

Möglich sind Passwortsafes. Es gibt verschiedene Angebote, nicht alle sind aber gut. Nicht den Passwortsafe im Webbrowser nutzen!

Viele Internet-Nutzer benutzen Facebook. Sind die Gespräche sicher? Oder sollte eine zusätzliche Verschlüsselung aktiviert werden?

Bei Facebook sind die Gespräche nicht sicher, vertrauliche Daten sollten hier keinesfalls ausgetauscht werden.

Was ist mit WhatsApp?

Da gilt das Gleiche: Die Verschlüsselung ist immer nur so gut, wie die Zahl der Personen, die Zugriff auf den Schlüssel haben, und das ist hier ebenfalls Facebook, so gesehen bringt die Verschlüsselung, mit der geworben wird, nichts, zudem werden die Daten in die USA übermittelt, sodass der Zugriff von US-Behörden nicht ausgeschlossen werden kann. Sichere Messeneger verwenden, zum Beispiel Telegram (ist kostenfrei).

Welche Dienste sollte man meiden, welchen den Vorzug geben?

Man sollte auf seinem Handy keine kuriosen Apps installieren, also solche Apps, die nicht im App Store sind (hier wird aber nur die Funktionalität, nicht aber die Sicherheit geprüft). Augenscheinlich kostenlose Angebote, die eigentlich nicht kostenlos sein können, sollte man ebenfalls nicht installieren. Achtung vor Apps mit „sinnlosen Inhalten“: Salzstreuer-App, Taschenlampen-App. Hier werden personenbezogene Daten abgegriffen, zum Beispiel aus dem Adressbuch oder aus der Bildergalerie des Smartphones. Bei Apps, die im Klartext kommunizieren, sollte man keine Kreditkarteninfos ablegen, zum Beispiel bei der Bahn-App.

Muss derjenige etwas beachten, der zum Beispiel seinen Computer oder sein Handy mit einem offenen W-LAN-Netzwerk eines Cafés oder Restaurants koppelt?

Ja! Keine sensiblen Daten im offenen Netzwerk kommunizieren, sondern nur über einen VPN-Zugang. Beim normalen Surfen in freien W-LANS kann man davon ausgehen, dass jemand mitliest und die Seiten, die man besucht hat, gespeichert werden. Über die sogenannte MAC-Adresse lassen sich zudem Bewegungsprofile erstellen. Auch ein Fallbeispiel: Ein Arzt im Krankenhaus ist im offenen W-LAN am Flughafen unterwegs, seine MAC-Adresse wird erfasst, mit der er sich auch im Krankenhaus anmeldet. Wenn der Angreifer die Identität des Arztes hat, kann er die MAC-Adresse simulieren und so zum Beispiel die erste Sicherheitsstufe im Krankenhaus überwinden.

Können E-Mail-Inhalte im Café oder im Flughafen mitgelesen werden?

Ja, wenn diese unverschlüsselt versandt werden.

Wie kann ich zum Beispiel beim Online-Banking herausfinden, ob ich auf der richtigen Seite gelandet bin und nicht eine Fake-Webseite vor mir habe?

Ganz wichtig: Um Phishing abzuwehren, sollte niemand Bankingseiten von E-Mail-Links abrufen. Auf die Signatur (Schloss/grüner Balken) im Browser achten, aber das allein reicht nicht aus: Signatur nicht von links nach rechts, sondern von rechts nach links lesen, am Ende der Signatur, was beim Browser wegen des zu kleinen Fensters nicht angezeigt wird, könnte dann eine Endung stehen, die gar nichts mit der Bank zu tun hat.

Gibt es reale Bedrohungen?

DNS Spoofing ist eine reale Bedrohung. Hier wird der Webverkehr mit einer scheinbar korrekten Seite zum Computer des Angreifers umgeleitet, ohne dass man es merkt, indem man trotz richtiger Adresse zum Beispiel auf eine Fake-Banking Seite gelenkt wird. Daher immer prüfen, ob einem die Bankseite irgendwie komisch vorkommt. Im Zweifelsfall mit der richtigen Bankseite vergleichen (zum Beispiel auf Rechtschreibfehler prüfen). Die Signatur schützt zudem nicht vor einer „man in the Middle-Attack“, das bedeutet wenn Daten während des Kommunikationsvorganges abgegriffen werden.

Der Hacker-Angriff von 2015 auf den Bundestag ist noch in bleibender Erinnerung - Wie gut ist die Cyber-Sicherheit in Deutschland?

Gesetzlich grundsätzlich gut, zumindest für Kritische Infrastrukturen, zudem haben wir eine umfassende Behördenstruktur und gute Kommunikationskanäle, auch zwischen Staat und Wirtschaft, die seit der Gründung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) seit 1991 stetig verbessert werden. Leider ist der Bundestag aber keine Kritische Infrastruktur qua Gesetz, die Frage ist deshalb, ob dies im Rahmen der in diesem Jahr anstehenden Novelle des IT-Sicherheitsgesetzes hin zum IT-SiG 2.0 geändert werden sollte.

Wird der Staat in der Lage sein, jeden PC zu schützen?

Generell wird man sagen können, dass der Staat nicht in der Lage sein wird, den PC eines jeden Bürgers und jedes Smartphone effektiv zu schützen.

Die Bundesregierung hat 2005 erstmals einen nationalen Plan (NPSI) zum Schutz der Informationsinfrastrukturen verabschiedet, die weiterentwickelt wurden. Reichen die rechtlichen Vorgaben aus oder sollte die Politik nachlegen?

Der NPSI wurde durch die Cyber-Sicherheitsstrategien von 2011 und 2016 abgelöst, und wir sind grundsätzlich gut aufgestellt. Im Rahmen der Novellierung des IT-Sicherheitsgesetzes sollte aber darüber nachgedacht werden, auch Staat und Verwaltung den durch das Gesetz zu schützenden Kritischen Infrastrukturen hinzuzufügen.

Sie treten ein für ein Zeitalter der digitalen Mündigkeit. Was meinen Sie damit?

Jeder ist für seine eigenen Daten selbst verantwortlich und muss lernen, damit umzugehen. Am jüngsten Datenskandal wird dies wieder deutlich, indem mit einem Anspruchsdenken gefordert wird, dass gehandelt werden müsse und restlose Aufklärung verlangt wird. Damit ist es aber nicht getan, denn es wird derlei Angriffe immer wieder geben. Wenn wir im digitalen Raum handeln, müssen wir auch wissen, dass wir – wie überall anders – selbst für uns verantwortlich sind.

Viele Menschen behaupten, sie hätten nichts zu verbergen. Wie bewerten Sie das?

Dieses Zitat taucht häufig im Zusammenhang mit der Strafverfolgung im digitalen Raum auf. Vielleicht mag das so gesehen auch stimmen. Jeder hat aber seine privaten Geheimnisse oder Dinge, die nicht an die Öffentlichkeit gelangen sollten, denn wenn dem nicht so wäre, könnten wir auch gleich alles öffentlich zugänglich speichern. So gesehen ist diese Aussage deshalb zu relativieren, denn niemand will, dass private Fotos von den Kindern oder der Familie vom Strandurlaub ohne seine Zustimmung im Netz auftauchen.

Vita

Dennis-Kenji Kipker (32) besuchte die KGS Leeste und studierte Rechtswissenschaft an der Universität Bremen. Im Rahmen seiner Ausbildung wurde er als Stipendiat der Studienstiftung des deutschen Volkes gefördert. Seit 2011 arbeitet er als Wissenschaftler am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) in Bremen, seit 2016 in der Position des Wissenschaftlichen Geschäftsführers sowie als Legal Advisor im VDE Kompetenzzentrum Informationssicherheit + CERT@VDE beim Verband der Elektrotechnik, Elektronik und Informationstechnik (VDE) in Frankfurt am Main.

Daneben ist er Geschäftsführer des Datenschutz- und Cybersecurity-Startups CERTAVO GmbH. 2017 besuchte Kipker die Graduate School of Law der Waseda University Tokyo/Japan. Research Fellow, 2018 als Gastprofessor die rechtswissenschaftliche Fakultät der Peoples’ Friendship University of Russia in Moskau sowie als Gastwissenschaftler die University of California (UCLA) in Los Angeles/USA. 2019 ist er u.a. als Gastprofessor an der Riga Graduate School of Law in Lettland tätig. Seine Forschungsschwerpunkte befassen sich an der Schnittstelle zwischen Recht und Technik mit dem internationalen IT-Sicherheits- sowie dem Polizei- und Nachrichtendienstrecht. 

Für seine 2015 publizierte Dissertationsschrift „Informationelle Freiheit und staatliche Sicherheit. Rechtliche Herausforderungen moderner Überwachungstechnologien“ erhielt er den ersten Platz des Promotionspreises des Senators für Justiz und Verfassung der Freien Hansestadt Bremen. Die Arbeit wurde für den Deutschen Studienpreis 2016 der Körber-Stiftung nominiert, daneben für den Friedwart Bruckhaus-Förderpreis 2017/2018 „Die Gestaltung der digitalen Revolution – Veränderungen in Wirtschaft, Staat und Gesellschaft“. Neben seiner Tätigkeit am IGMR ist Dr. Kipker Mitglied in der AG „Recht“ und der AG „ISM“ des Bundesverbandes IT-Sicherheit e.V. TeleTrusT, kooptiertes Mitglied im DFG-Graduiertenkolleg 1681 „Privatheit“ der Universität Passau, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin, Mitglied im Standardisierungskomitee VDE/AK 716.0.1 „Home and Building Electronic Systems (HBES) – IT-Security and Dataprotection – Requirements“ zum technischen Datenschutz, Mitglied im DKE-Lenkungskreis Informationssicherheit sowie Mitglied im HFTP Advisory Council on GDPR & DPO und arbeitet als Dozent im Bereich des Produkthaftungsrechts an der Hochschule Bremerhaven sowie als Lehrbeauftragter für IT-Security und Datenschutz an der Hochschule Bremen, an der Universität Bremen (Laureat des Berninghausen-Preises 2017 für hervorragend gestaltete universitäre Lehre) und an der Dualen Hochschule Baden-Württemberg in Stuttgart. 

Darüber hinaus hält Dr. Kipker einen Lehrauftrag „Rechtliche Grundlagen technischer Innovationen“ an der Evangelischen Hochschule Nürnberg. Darüber hinaus ist Kipker als Gutachter und Berater für verschiedene Projekte und Institutionen tätig oder tätig gewesen, so für das Human Brain Project und die Artikel-29-Datenschutzgruppe der Europäischen Kommission sowie für das United Nations Interregional Crime and Justice Research Institute (unicri), das Bundesministerium der Verteidigung, das Bundesministerium für Wirtschaft und Energie, die Max-Planck-Gesellschaft (MPG) und das japanische Ministry of Economy, Trade and Industry (METI); zudem unterhält er eine Forschungskooperation zum Federal Bureau of Investigation (FBI) in Fragen der internationalen Cybersicherheitsregulierung. 

Für die Konferenz „ITS|KRITIS 2017“ war Dr. Kipker Mitglied des Programmbeirates für den Student-Track, für die Multikonferenz Wirtschaftsinformatik (MKWI) 2018 war er Co-Chair der Teilkonferenz „IT-Sicherheit für Kritische Infrastrukturen: Infrastrukturmanagement, Informationsmanagement und Risikomanagement“. Dr. Kipker ist Mitglied des Programmausschusses der VDI-Fachtagung „IT-Sicherheit für Kritische Infrastrukturen“ und TPC- Mitglied der „International Conference on Computer Applications & Information Security“ (ICCAIS-18 und ICCAIS-19) in Riyadh, Saudi-Arabien.

Das könnte Sie auch interessieren

Mehr zum Thema:

Empörte Angehörige im Loveparade-Prozess

Empörte Angehörige im Loveparade-Prozess

Reise-Anbieter mühen sich um Barrierefreiheit

Reise-Anbieter mühen sich um Barrierefreiheit

Mitbewohner von Attentäter Amri: Habe früh vor ihm gewarnt

Mitbewohner von Attentäter Amri: Habe früh vor ihm gewarnt

May offen für Nachverhandlungen zum Brexit-Abkommen

May offen für Nachverhandlungen zum Brexit-Abkommen

Meistgelesene Artikel

Muhammed Gök ist Auszubildener zum Kaufmann im E-Commerce

Muhammed Gök ist Auszubildener zum Kaufmann im E-Commerce

Förderung für Landkreis Diepholz zugesagt: Neue Busse für Landesbuslinien

Förderung für Landkreis Diepholz zugesagt: Neue Busse für Landesbuslinien

Neuer Chef bei Werbegemeinschaft: Kastner soll auf Lux folgen

Neuer Chef bei Werbegemeinschaft: Kastner soll auf Lux folgen

Neujahrsempfang in Bruchhausen-Vilsen: „In diesem Jahr ehren wir gleich 448 Bürger“

Neujahrsempfang in Bruchhausen-Vilsen: „In diesem Jahr ehren wir gleich 448 Bürger“

Kommentare