"Die aktuelle Diskussion um die Telefon- und Internetüberwachung der USA (PRISM) und Großbritanniens (Tempora) führt uns einmal mehr vor Augen, wozu Informationstechnik legal eingesetzt wird: Weltweite vollständige Überwachung, d.h. Protokollierung aller Kommunikationsvorgänge, Aufzeichnung, Auswertung aller Inhalte und Speicherung der Sender, Empfänger, Datum, Lokationsdaten usw.", sagte Hartmut Pohl, Sprecher des Arbeitskreises. Das falle leicht, weil die analoge Datenübertragung zunehmend der digitalen weicht: ALL-IP (Internet Protokoll).

Diese Überwachung sei allerdings nicht neu, so Pohl. So werde das 2001 vom Europaparlament nachgewiesene weltweite Abhörsystem ECHELON für Festnetz- und Mobil-Telefonie bereits seit ca. 1970 betrieben. Neu sei auch nicht, dass Informationen zu Personen und über Unternehmen aus allen erreichbaren Quellen (Telefon, Handy, Fax, Video-Konferenzen, Internet Mail und Dateiaustausch, Social Media, Video- und Bilddiensten wie YouTube, Cloud-Diensten, Bank-Überweisungen (SWIFT), Kreditkarteninformationen, Fluggastdaten, Passwörter etc.) mit dem jeweiligen Aufenthaltsort über das Mobiltelefon in Echtzeit zusammengeführt werden. Schließlich liegen alle – auch die Jahre zurückliegenden - Aktivitäten in einem einzigen Dossier zusammengefasst vor. Dagegen gibt keinen Schutz, selbst Verschlüsselung wird geknackt (z.B.: Skype).

Darüber hinaus werden Industrieprozesse unberechtigt überwacht und fehlgesteuert (Sabotage). Dafür gibt es viele Beispiele: So ist der Computerwurm „stuxnet“ weltweit verbreitet und hat erfolgreich die Uran-Anreicherungsanlage Natanz im Iran bis zur Zerstörung eines Teils der Zentrifugen manipuliert. Der Quellcode von „stuxnet“ und seinen deutlich mehr als 10 Derivaten ist im Internet verfügbar und kann mit geringem Aufwand an andere Ziele wie Kraftwerke und Stromverteilung angepasst werden, mit der Folge von Stromausfällen in weiten Landesteilen, Manipulation von Chemie- und Pharmaproduktionen, Fehlsteuerung von Robotern. Er kann damit auch eine Gefahr für Leib und Leben von Bundesbürgern darstellen.

Derzeit stehen nur die großflächige Überwachung und gezielte Angriffe auf Computersysteme im Fokus der Aufmerksamkeit. Allerdings ist Software generell weitgehend unsicher. Selbst Sicherheitssoftware (Viren-Suchprogramme, Firewalls, Intrusion Detection und Prevention Systeme) enthält erfahrungsgemäß viele – nicht immer öffentlich bekannte - Sicherheitslücken (Zero-Day-Vulnerabilities), die von Angreifern ausgenutzt werden. Die Angriffstechnik ‚Ausnutzung bisher unveröffentlichter Sicherheitslücken‘ beherrschen heute auch Sicherheitsbehörden in Drittstaaten sowie größere kriminelle Organisationen.

Empfehlungen: Angesichts dieser Fakten empfiehlt der Arbeitskreis Unternehmen und Privatpersonen, die folgenden Maßnahmen zu ergreifen:

• Nur unverzichtbar notwendige Daten sollen erfasst, gespeichert und übertragen werden (Datensparsamkeit).
• Ausschließlich hoch abgesicherte Computer und Netze dürfen an andere interne und externe Netze oder gar an das Internet angeschlossen werden.
• Sicherheitsmaßnahmen wie Grundschutz und Umsetzung der ISO 27000 Familie (inklusive z.B. Verschlüsselung) stellen nur absolute Mindeststandards dar.
• Die wichtigsten Programme – insbesondere die Sicherheitsprogramme – müssen auf Sicherheitslücken überprüft und gepatcht werden.

Anderenfalls muss davon ausgegangen werden, dass wichtige Unternehmensdaten und personenbezogene Daten (z.B. Gesundheitsdaten) vollständig in- und ausländischen Mitbewerbern und Behörden (z.B. Nachrichtendiensten) in Echtzeit zur Verfügung stehen.

Quelle: Gesellschaft für Informatik e.V.