Datenschutz: Ungebetener Besuch im Firmen-Netzwerk

Mit der ausgelassenen Stimmung war es schlagartig vorbei. Kurz zuvor hatten die Gäste des „Live Hacking Workshops“ noch über die Scherze des Ex-Hackers Mark Semmler über „Microsoft und das Reich des Bösen“ und „Google als größtem Müllhaufen des Internets“ herzlich gelacht. Doch als die Liste der Angriffsziele im nächsten verfügbaren DSL-Netz länger und länger wurde und der Mann mit dem Pferdeschwanz und dem Dreitagebart die Steuererklärungsdatei und andere höchst persönliche Dokumente aus den Tiefen eines ungesicherten Windows-Computers per Beamer an die Wand warf, war nur noch Stille im Saal.

Rund hundert Geschäftsleute und EDV-Verantwortliche von Berliner Firmen waren am Donnerstagnachmittag der Einladung des Telekommunikationsunternehmens Versatel und des Tagesspiegel ins Ellington Hotel gefolgt. Doch was der in schwarze Jeans und einen ebenso schwarzen Sweater gewandete Computerfreak vorführte, damit hatten die wenigsten gerechnet. „Wenn man nur lange genug sucht, findet man alles: Komplette digitale Patientenakten in Arztpraxen oder streng vertrauliche Unterlagen von Headhuntern. Dazu offene Rechner in Steuerbüros, bei freischaffenden Übersetzen oder in Anwaltskanzleien“, klärte Semmler seine geschockten Zuhörer auf. Und wenn die Netze nicht gesichert sind, ist das nicht einmal strafbar.

„Ich hätte nicht gedacht, dass die Netze so unsicher sind“, sagte später der Kommunikationsberater Heiko Mattern. „Unsere Kunden meinen zu wissen, wie gefährlich das ist. Aber keine zehn Prozent wissen das wirklich“, sagte der Diplom-Ingenieur. „Erschreckt hat mich vor allem die Aktion im Bahn-ICE“, gibt Mattern zu. Bei einer Bahnfahrt von Frankfurt nach Hamburg hatte Semmler den anderen Mobilcomputern im Zug vorgegaukelt, dass sein Notebook-Computer ein Hotspot der Telekom sei und nur darauf warte, als Sprungbrett ins Internet genutzt zu werden. Ganz zur Freude der mitreisenden Business-Kunden, die von Semmlers Notebook samt UMTS-Verbindung rege Gebrauch machten und haufenweise ihre Kreditkartendaten herausrückten.

Wie hoch die Schäden für die Wirtschaft sind, die von Viren, Würmern und Computersabotage ausgehen, lässt sich nur schwer abschätzen. Jede Attacke kostet ein Unternehmen 5000 Euro, hat das Sicherheitsunternehmen Network Associates errechnet. Pro Jahr entstünden dadurch in Europa Kosten von 22 Milliarden Euro, so das Unternehmen. Wie hoch die Dunkelziffer ist, weil Firmen einen erfolgreichen Angriff auf ihre EDV nicht zugeben wollen, wird davon nicht einmal erfasst. Fest steht nur: Ein Drittel der betroffenen Unternehmen musste nach einem Angriff ihre Hardware austauschen.

Mohammad Nasseri ist Geschäftsführer einer Ingenieurgesellschaft für System- und Softwaretechnik aus Charlottenburg. Zu seinen Kunden gehören auch einige Landes- und Bundesbehörden. „Hundertprozentige Sicherheit gibt es nicht, bei der IT-Sicherheit ist es darum unsinnig, mit Kanonen auf Spatzen zu schießen“, sagte Nasseri zwischen dem ersten und zweiten Teil der Live-Hacking-Demonstration. Sein Resümee zwei Stunden später fiel zurückhaltender aus. „Mit Technik allein kann man sich gegen die Fähigkeiten eines gewieften Hackers nicht wehren. Das geht nur, wenn die Mitarbeiter in einer Firma oder Behörde zum sensiblen Umgang mit Sicherheitsrisiken geschult werden“.

Viele Unternehmen machen es den Angreifern zu leicht. „Ein Problem ist billige Technik, beispielsweise Wireless-Lan- Kisten, die keinerlei Schutz bieten. In kleinen Firmen kommt häufig die ,Kumpel-IT‘ dazu, wenn der Neffe mal eben das Computernetzwerk hochzieht, ohne die Gefahren auch nur ansatzweise zu kennen“, sagt der Sicherheitsexperte: „Wenn ich ein Unternehmen angreifen wollte, würde ich an verschiedenen Stellen des Firmengeländes einfach zehn manipulierte USB-Speichersticks mit einem kleinem Hintertür-Programm liegen lassen und darauf warten, dass ein netter Mitarbeiter den Stick in seinen Computer steckt“, warnt Semmler, „ dann kann ich mir sämtliche anderen aufwändigen Angriffe sparen“. Auch Versatel-Geschäftskundenberater Detlef Mengdehl hat an diesem Nachmittag dazu gelernt: „Man sollte zwar nicht überall ein Risiko hineininterpretieren. Dennoch ist es außerordentlich wichtig, dass man im eigenen Unternehmen die Organisation der Sicherheit entsprechend ändert.“

Auf seine Virenscanner kann man sich in einer solchen Situation nämlich nur bedingt verlassen. Im Jahr 2000 raste der Internetwurm „I love you“ in rasender Geschwindigkeit um die vernetzte Welt und vernichtete massenhaft Dateien auf den befallenen Computern. „Viele Systemadministratoren können sich daran noch gut erinnern“, so Semmler. Sicherlich, die Schutzprogramme haben seither dazu gelernt – und das Gelernte gleich wieder vergessen. Mit wenigen Änderungen ersetzte Semmler vor den Augen der verblüfften Workshop-Gäste das Betreff „I love you“ in „Ikea ist billig“ und bastelte kurz am Quellcodes herum. Der Effekt: Als er den manipulierten Wurm vom Internetdienst Virustotal.com untersuchen ließ, erkannten drei von zehn Virenscanner den Schädling nicht. „Man darf eben nicht auf alles klicken, was bunt ist“, heißt für Semmler die Konsequenz daraus.