ETH-Experte über den SBB-Hack«Unsere Gesellschaft ist abhängig von Systemen, die wir nicht beherrschen»
In den Systemen der SBB klaffte während Tagen ein Datenleck, wie Anfang Woche publik wurde. Das sei aber nur ein Symptom für ein viel grösseres Problem, sagt Informatikprofessor Ueli Maurer.
Dass die SBB am Montag nicht vermelden mussten, dass ihnen ein grosser Teil ihrer Kundendaten gestohlen wurde, war vor allem Glück: Denn der Hacker, der Anfang Januar ohne grosse Mühe eine Million Datensätze abgesaugt hat, war kein Krimineller. Er meldete das Leck sogleich den SBB und löschte die Daten von sich aus wieder. Obwohl kein Schaden entstanden ist, wirft der Fall eine Reihe von Fragen auf. Ueli Maurer, Informatikprofessor an der ETH Zürich, sucht seit Jahrzehnten nach den richtigen Antworten darauf.
Herr Maurer, wie schlimm wäre es für die betroffenen Kundinnen und Kunden, wenn ihre Daten tatsächlich entwendet worden wären?
Wer die Datensätze hätte, könnte damit einsehen, wo die Passagiere hingefahren sind oder seit wann sie ein Halbtax-Abo haben. Das mag für sich genommen nicht schlimm sein und ist für Kriminelle auch nicht sinnvoll verwertbar. Aber wenn sie diese Daten mit weiteren kombinierten, könnten sie Profile erstellen. Entweder könnten sie die Daten zu Vermarktungszwecken verkaufen. Oder sie könnten Personen damit erpressen: Oft reicht es dazu schon, den Opfern zu zeigen, welche Informationen man über sie in der Hand hat. Ein Beispiel sind Erpressungs-Mails, die dem Empfänger vorgaukeln, der Absender habe Details über seinen Konsum von Onlinepornografie. Wenn das Opfer nicht bezahle, würden die Daten veröffentlicht. In Wahrheit besitzen die Erpresser diese Angaben allerdings oft gar nicht.
Wie schwer wiegt der Fehler der SBB?
Dass man sich bei den SBB einhacken konnte, ist sehr unschön. Es wäre aber falsch, jetzt den Einzelfall zu dramatisieren oder über die SBB herzuziehen. Für solche Systeme sind immer Menschen verantwortlich, und Menschen machen Fehler. Das soll aber nicht heissen, dass gleich alle Systeme bei allen Firmen so schnell angreifbar sind. Bei der UBS zum Beispiel gibt es zahlreiche Sicherheitsvorkehrungen mehr, weil es viel schlimmer wäre, wenn dort jemand zugreifen könnte. Die SBB dagegen haben als Priorität, dass die Züge fahren. Bei Firmen, für die Datensicherheit nicht das Kernbusiness ist, gibt es meistens irgendwo eine Schwäche. Sie denken, dass sie so viel zusätzlich investieren müssten, um ihr System ein bisschen sicherer zu machen, sodass sie aus Kosten-Nutzen-Überlegungen oft davon absehen.
Allein in den letzten zwei Wochen wurden Hackerangriffe oder Sicherheitslücken beim Autohändler Emil Frey, der Papierfabrik CPH, der Apotheke Zur Rose, dem IKRK und der Organspendeplattform Swisstransplant publik. Werden solche Meldungen jetzt zum Alltag?
Ich gehe davon aus. Wir sind als Gesellschaft abhängig von Systemen, die wir nicht beherrschen. Der Grund dafür ist, dass es sehr viele Leute gibt, die etwas zusammenbasteln, bis es endlich funktioniert, aber sehr wenige, die das Ganze wirklich beherrschen. Das ist das Grundproblem und ein ziemlich beängstigender Zustand.
Wie sind wir hier angelangt?
Es gibt eine Reihe von Gründen: Erstens sind wir Menschen seit Urzeiten darauf trainiert, darauf zu achten, ob Objekte zur Ausführung einer Tätigkeit taugen. Man nimmt eine Hacke in die Hand und testet, ob sie funktioniert. Sicherheit dagegen ist die Anforderung, dass etwas nicht passiert, dass also ein System nicht offen ist. Dafür sind wir grundsätzlich nicht programmiert. Zweitens sind Softwarehersteller in den meisten Fällen nicht für Produktfehler haftbar. Wenn das anders wäre, hätten die mächtigen Anwälte in den USA schon in den 1960er- und 1970er-Jahren die ersten Produzenten wegen kleinster Schwächen bankrott geklagt. Dann wären die Systeme heute sicher – dafür würden wir zehnmal mehr für Software bezahlen, und der technologische Fortschritt wäre deutlich langsamer gewesen. Und drittens gibt es in der IT, anders als im Strassen- oder Luftverkehr, Akteure, die wollen, dass die Systeme nicht wasserdicht sind. Teilweise haben sie sogar legitime Interessen. Ich denke da zum Beispiel an Geheimdienste bei der Bekämpfung von Terrorismus oder organisiertem Verbrechen.
«Früher oder später muss sich die ganze Menschheit überlegen, was es ihr wert ist, dass ihre IT-Systeme sicher sind.»
Worauf müssen wir uns noch gefasst machen?
Die Gefahr ist gross, dass die Menschheit in grössere Probleme reinlaufen wird. Welcher Art die genau sein werden, kann man nicht sagen. Welche Art von bösartigen Elementen werden wir erleben, nur Erpressung von Einzelnen oder Terrorismus im grösseren Stil? Sicher ist, dass Cyber War, also Kriegsführung mit digitalen Mitteln, immer mehr kommen wird.
Was können wir als Gesellschaft dagegen tun?
Es gibt natürlich jetzt schon zahlreiche Anstrengungen. In der Schweiz arbeiten die militärische und die zivile Seite gut zusammen, es gibt Melani, die Meldestelle des Bundes. Zudem tauschen sich Firmen über Best Practice aus. Ich bezweifle aber, dass das reicht. Früher oder später muss sich die ganze Menschheit überlegen, was es ihr wert ist, dass ihre IT-Systeme sicher sind. Dafür braucht es globale Zusammenarbeit, die allerdings schon jetzt mehr schlecht als recht funktioniert.
Was kann eine Einzelperson tun, um sich zu schützen?
Es ist immer wieder unglaublich, auf welche Tricks gewisse Leute reinfallen. Selbst IT-Experten öffnen teilweise Phishing-Mails, die Kriminellen Zugang zu einer Organisation ermöglichen. Deswegen kann man es nur immer wiederholen: Es braucht ständig ein gesundes Misstrauen, ein Bewusstsein für die Gefahr. Zudem sollte jeder zu verstehen versuchen, wie IT-Systeme funktionieren, und sich im Detail damit auseinandersetzen. Aber dieser Wunsch ist natürlich illusorisch. So oder so setzt sich jeder in der digitalen Welt einem Risiko aus.
Fehler gefunden?Jetzt melden.
