taz.de -- Sicherheitsexperte über Sony-Hack: "Es ist noch keiner gestorben"

War der Datendiebstahl bei Sony der "größte Hack aller Zeiten"? Sicherheitsexperte Sandro Gaycken meint: unwichtig. Und spricht mit der taz über den laxen Umgang mit dem Thema Sicherheit.
Bild: Kein Theater, sondern die Entschuldigung japanischer Sony-Manager.

taz: Herr Gaycken, Hacker haben bei Sony Millionen Nutzerdaten illegalerweise kopiert - inklusive Kreditkarteninformationen. Eine Katastrophe?

Sandro Gaycken: Diese Sony-Geschichte wurde in der Presse total hochgekocht. Der Schaden, der bei diesen Diebstählen bei kommerziellen Datenbankenbetreibern entsteht, ist aber faktisch nicht sehr groß. Die Täter sind entweder Kleinkriminelle, die Betrügereien durchziehen wollen, bei denen aber bislang immer noch jeder Schaden rückerstattet wird. Oder die Täter sind Werber, die gezielte Werbung platzieren wollen. In beiden Fällen ist noch niemand gestorben, keine Existenz wurde ruiniert. Nur Kreditkartenunternehmen und Rückversicherer sind diffus geschädigt. Starke staatliche Überwachung als anderes Datenschutzthema halte ich da im Vergleich für wesentlich schwieriger. Da entstehen reale Probleme in unserem Verhältnis zum Staat. Aber in Fällen wie Sony bin ich eher bei der Masse der Bevölkerung, die sagt: Da ist nichts Schlimmes passiert, das juckt mich nicht.

Ist der Datenverlust von Sony ein Einzelfall?

Von der Dimension her ist das natürlich schon eine Riesengeschichte. Aber eigentlich ist das nichts Neues. Wir haben Einbrüche wie diesen am laufenden Band. Im Kleinen fast täglich und im Großen auch recht regelmäßig, mit zwei, drei, vier Events pro Jahr. In der Regel sind die Unternehmen oft recht lax mit Sicherheit, gerade gegen Innentäter wie verärgerte Angestellte.

Das heißt: Was jetzt bei Sony passiert ist, kann theoretisch bei jedem Konzern passieren?

Na klar. Sony hält sich noch mit Details zurück - wahrscheinlich weil sie nicht in der Lage sind, das Leck schnell zu schließen. Viele Unternehmen machen bei der IT-Sicherheit nur das Nötigste, das, wozu sie gesetzlich verpflichtet werden, weil das ein teurer Posten ist. Und sie versuchen oft, Einbrüche geheim zu halten, um Imageschäden und Klagen zu vermeiden. Dass dieser Fall ans Licht gekommen ist, ist vielleicht eine Kommunikationspleite bei Sony.

Sony wird jetzt dafür kritisiert, wie sie die Kreditkarteninformationen verschlüsselt haben. Zu Recht?

Ein kritischer Sicherheitsaspekt ist sicher, dass diese Millionen Daten alle zentral vorrätig gehalten waren. Das macht man eigentlich nicht, wegen des hohen Sicherheitsrisikos: Wenn da einmal einer einbricht - oder eben ein Insider etwas abzieht -, dann sind die sofort alle weg. Aber es spart eben viel Geld und Aufwand. Da müsste jetzt der Staat regulierend eingreifen. Das wird ja aktuell politisch diskutiert. Das sind aber alte Gedanken. Wenn ein solches Thema in den Medien herumgeistert, wird da immer mal wieder drüber geredet - und nach ein paar Tagen ebbt die Debatte wieder ab.

Was wären denn sinnvolle politische Forderungen?

Sicher kann man die Unternehmen, die jetzt von diesen Datenpannen betroffen sind, dazu auffordern, mehr in Sicherheit zu investieren. Dazu müsste man Regulierungsbehörden einrichten, die die IT-Sicherheit von Firmen kontrollieren. Allerdings ist unklar, was man da vorgeben sollte. Es gibt eine Reihe von sehr harten Sicherheitsmechanismen, aber unter denen leiden oft Funktionalität, Effizienz und damit Kosten-Nutzen-Verhältnisse. Dagegen werden sich die Firmen wehren. Und: Sehr gute Sicherheit müsste auf Forschungsstand operieren, was schwierig ist. Da hat man einen chronischen Nachteil. Schließlich wird auch die Frage aufkommen: Wie stark muss man regulieren? Eine mögliche Argumentation ist: Wenn die Unternehmen nicht in der Lage sind, ihre Daten zu sichern, muss sich der Staat mit Strafverfolgung einschalten, um abzuschrecken.

Der Sony-Hack könnte Überwachungsfans Auftrieb geben?

Wenn die Unternehmen keine Datensicherheit leisten, werden im Staat schnell Stimmen laut, die eine erhöhte Internetüberwachung wie die Vorratsdatenspeicherung einfordern, weil man da - mit viel Glück - sehen könnte, wer bei Sony eingestiegen ist. Dann stellt sich allerdings die Frage nach der Verhältnismäßigkeit - denn mit einer solchen Maßnahme sind Bürgerrechte und Freiheitsempfinden in einem großen Maße beschränkt und gefährdet. Plötzlich hat man also auf beiden Seiten ein Datenschutzproblem. Und staatliche Überwachung wiegt da sehr viel schwerer als die für den Nutzer banalen und kaum folgenreichen kommerziellen Datenpannen.

Sie sind nicht geschockt - weniger erfahrene Nutzer vielleicht schon. Steht uns eine Vertrauenskrise des Internets bevor?

Mich würde es schwer wundern, wenn diese Sony-Geschichte eine Vertrauenskrise in das Internet auslösen würde. Ältere sehen das alles skeptisch - aber die hatten sowieso nie Vertrauen in die Technologie. Jüngere, die auch bei Facebook und anderswo im Netz umtriebig sind, die schreckt das gar nicht ab. Meiner Meinung nach ist das keine ganz unberechtigte Haltung.

5 May 2011

AUTOREN

Meike Laaff

TAGS

Schwerpunkt Überwachung

ARTIKEL ZUM THEMA

Nächste Sony-Panne: Ein Skandal jagt den anderen

Sony kommt nicht zur Ruhe: Am Mittwoch musste der Konzern sein Netzwerk wieder abstellen. Nun versuchten Unbekannte über einen Firmenserver an Kreditkartendaten zu gelangen.

Hacker entdecken Vorteil der Cloud: Angriff aus der Wolke

Früher war es aufwendig, große Systeme zu knacken, wenn sie keine bekannten Sicherheitslücken aufwiesen. Mittlerweile nutzen böse wie gute Hacker die Power der Cloud.

Nach Datendiebstahl: Sony schaltet Onlinedienste wieder frei

Endlich wieder online daddeln: Sony hat nach dem gigantischen Datenklau begonnen, seine Onlinedienste für die Playstation wieder freizuschalten. Und verspricht bessere Sicherheitsvorkehrungen.

Datendiebstahl bei Sony: Ein spätes Sorry

Die Konzernspitze entschuldigt sich bei Nutzern für die gestohlenen Daten und erhebt erste Vorwürfe. Angeblich soll die Hacker-Gruppe Anonymouse verantwortlich sein. Doch die wehren sich.

Mehr als 100 Millionen Kundenkonten: Nutzerwut nach neuem Sony-Datenleck

Jetzt auch das Computerspiele-Netzwerk SOE: Während der Ermittlungen zum Playstation-Hack ist ein weiteres Datenleck bei Sony entdeckt worden. In Foren lassen die Nutzer ihren Frust raus.

CCC-Sprecher über Datenschutzskandale: "Keine freundliche SciFi-Intelligenz"

Apple, Sony oder TomTom: In den letzten Tagen und Wochen häufen sich erneut die Datenschutzskandale. Sicherheitsexperte und Internet-Aktivist Frank Rieger hofft auf einen Lernprozess.

Datenpanne bei der Unesco: Unesco ist zu transparent

Wer sich in den vergangenen Jahren bei der UN-Organisation in Paris beworben hat, muss damit rechnen, dass Dritte seine Daten eingesehen haben. Sie waren im Netz frei verfügbar.

Sonys gehackte Datenbank: Alles Peanuts außer Sony

Eine Online-Plattform für die Playstation des Sony-Konzerns wurde gehackt. Aber muss es denn gleich der "größte Hack aller Zeiten" sein?

Hackerangriff auf Sony: Die Playstation wird politisch

Der Hackerangriff auf Sony heizt die Debatte um Datenschutz neu an. Die Opposition und Datenschützer werfen der Bundesregierung Versäumnisse vor. Eine erste Sammelklage wurde eingereicht.