Markus Härtner

ist Vice President DACH bei dem Sicherheitsanbieter F5 Networks GmbH.

Gefährdet der punktuelle Schutz unserer Daten die Demokratie?

Hackingangriffe und Datenpannen sorgen dafür, dass Privatsphäre und freie Meinungsäußerung in der digitalisierten Welt nicht mehr sicher scheinen. Silicon.de-Blogger Markus Härtner erklärt, warum es keiner übernatürlichen Fähigkeiten bedarf, kritische Daten zu schützen.

In jüngster Vergangenheit gab es eine Flut von Anschuldigungen zu internationalen Cyber-Angriffen. Die USA hat zum Beispiel auf Behauptungen reagiert, die chinesischen Behörden hätten das “Office of Personnel Management”-Netzwerk gehackt und Zugriff auf Informationen über Millionen von US-Bundesangestellten bekommen, was ein Akt der Cyber-Spionage wäre.

Datenschutz (Bild: Shutterstock/alphaspirit)
Datenschutz (Bild: Shutterstock/alphaspirit)

Es wird vermutet, dass die Hacker Zugriff auf “die Personaldaten aller Mitarbeiter und Pensionäre des Bundes und bis zu einer Million ehemaliger Bundesangestellter” bekommen haben. Diese Daten umfassen unter anderem Details aus Krankenakten, Informationen über Drogen- und Alkoholkonsum, Verhaftungen, Sozialversicherungsnummern und viele andere hochvertrauliche Informationen von Personen. Und natürlich werden immer mehr Enthüllungen über Regierungsschnüffeleien aus geheimen Dokumenten bekannt, die durch Edward Snowden zugespielt wurden.

Die Snowden-Dokumente offenbarten die riesige, weitverbreitete Überwachung von Zivilisten durch die Regierung. Diese Überwachung betraf die Telefongespräche, E-Mails sowie SMS-Nachrichten – im Grunde alle Formen der elektronischen Kommunikation. Besonders Daten in Rechenzentren der Regierungen und deren Verwaltungen stehen im Fokus von Geheimdiensten, Hackern und Whistleblowern und sind durch ihre persönlichen Informationen besonders schutzbedürftig.

Im Oktober 2015 < a href="http://www.silicon.de/41615148/snowden-haelt-rede-auf-ip-expo-europe-2015/" target="_extern">sprach Edward Snowden auf der IP Expo Europe 2015 in London über "die Wahrheit über unsere Privatsphäre" und die Auswirkungen auf die nationale Sicherheit (Bild: Deutsche Messe).
Im Oktober 2015 sprach Edward Snowden auf der IP Expo Europe 2015 in London über “die Wahrheit über unsere Privatsphäre” und die Auswirkungen auf die nationale Sicherheit (Bild: Deutsche Messe).

Geschichten wie diese sowie zahllose andere Schlagzeilen über Hacking oder Datenpannen führen dazu, dass wir Nutzer glauben, unsere Privatsphäre und die freie Meinungsäußerung seien in der digitalisierten Welt nicht sicher. Dies wiederum impliziert die Frage: “Gefährdet es die Demokratie, wenn ein Rechenzentrum nicht rundum sondern nur fahrlässig geschützt ist, wir nichts frei sagen oder tun können, weil immer irgendwer irgendwo alles überwachen kann?”

Es besteht die Befürchtung, dass kein Online-Dienst, keine Steuerbehörde, kein Gesundheitsamt oder sonstige eGovernment-Services sicher sind, dass jedes Rechenzentrum gefährdet ist und dass die Benutzer Bedenken haben müssen, das massenhaft unbefugt auf persönliche Daten zugegriffen werden kann. Die Menschen können nicht frei entscheiden, wer ihre Daten online sehen kann und müssen in Kauf nehmen, dass persönliche Informationen offen liegen und jederzeit kompromittiert werden können. Aber können die demokratischen Werte in Bezug auf die Digitalisierung überhaupt geschützt werden?

Es gibt Möglichkeiten, die Sicherheit in Rechenzentren zu gewährleisten und die Ängste rund um Hacking, Regierungsschnüffeleien, DDoS-Attacken und andere Angriffe zu verringern. Diese beinhalten einen vielschichtigen Ansatz für Sicherheit, die nicht nur das Rechenzentrum betrifft. Einen, der Anwendungen, Geräte, Benutzer, Zugriffsschutz und Identitätsschutz umfasst.

Heute wird durch Mobile Computing – Smartphones, Tablets, Laptops et cetera die Informationstechnik und die damit verbundenen Sicherheitsanforderungen vor völlig neue Herausforderungen gestellt. Es geht nicht mehr nur um den Schutz des Rechenzentrums sondern besonders der Daten und somit müssen die Endgeräte der Benutzer mit in das Sicherheitskonzept inkludiert werden. Das Sicherheitskonstrukt muss dem Rechnung tragen und gewährleisten, dass es an allen Orten der Informationsverarbeitung auch umgesetzt werden kann.

Alleine beim <a href="http://www.silicon.de/41622037/hacker-demonstrieren-beim-pw2own-15-zero-day-luecken-in-safari-flash-player-chrome-windows-10/" target="_extern">Pwn2Own 2016</a> im März zahlten die Veranstalter Trend Micro und HPE beispielsweise Prämien in Höhe von 460.000 Dollar für die Präsentationen neuer Schwachstellen (Bild: Trend Micro/Steve Povolny)
Alleine beim Pwn2Own 2016 im März zahlten die Veranstalter Trend Micro und HPE beispielsweise Prämien in Höhe von 460.000 Dollar für die Präsentationen neuer Schwachstellen (Bild: Trend Micro/Steve Povolny)

Es reicht heute nicht mehr ein nur striktes Identitäts- und Zugriffsmanagement, dass nur berechtigten Personen den Zugriff auf Daten gestattet, sondern es muss auch mit entschieden werden, welche Geräte mit welchem Software-Portfolio für den Zugriff erlaubt sind und von welchem geografischen Ort aus der Zugriff zuzulassen ist. Zu guter Letzt muss auch sichergestellt werden, dass die Geräte des Benutzers nicht kompromittiert sind. All diese heute verfügbaren Lösungen werden aber in den wenigsten Fällen konsequent umgesetzt.

Die Natur der heutigen Angriffe nutzen Denial-of-Service-Attacken sehr oft als Nebelkerzen, um dahinter wirksame Attacken, die effektiv und im großen Rahmen Daten abgreifen, zu verschleiern. Somit muss im ersten Schritt die freie Sicht auf das, was passiert, ermöglicht werden, um diese ausgeklügelten Angriffe abzumildern und zu bekämpfen.

Die heutigen Angriffsvektoren zielen eben nicht auf die Netzwerk-Ebene sondern auf die darüber liegenden OSI-Schichten, gegen die klassische Next Generation Firewalls machtlos sind. Hier ist dringend geboten, die Abwehrmechanismen auch auf den oberen Kommunikationsschichten einzuführen, was bisher nur halbherzig oder gar nicht geschehen ist.

Mit einem mehrschichtigen Ansatz zur Sicherheit vom Rechenzentrum bis zum Endgerät haben Unternehmen die besten Chancen, Angriffe zu stoppen und unberechtigte Zugriff und Datenabfluss zu verhindern. Gleichzeitig wird sichergestellt, dass die berechtigten Nutzer weiterhin auf die Anwendungen zugreifen können.

Fazit

Würden kritische Daten mit dem oben beschriebene Konzept in aller Konsequenz geschützt werden, wäre Privatsphäre, freie Meinungsäußerung, Selbstbestimmung und Hoheit über persönliche Daten möglich und die heutigen Werte unserer Demokratie wären nicht gefährdet.