Anfang 2019 stellte ein junger Hacker massenhaft Daten von Politikern und Prominenten ins Netz, und Milliarden Zugangsdaten tauchten in Hacker-Foren auf. Sicherheit im Netz betrifft fast jeden, laut der jüngsten Onlinestudie von ARD und ZDF sind 90 Prozent der Deutschen online. Doch längst nicht jeder beherzigt gängige Sicherheitsregeln. Christian Funk leitet die deutschsprachigen Forschungs- und Analyseteams des IT-Sicherheitsunternehmens Kaspersky Lab.
SZ: Früher gab es einen Virenscanner auf dem Heim-PC. Heute wird das Smartphone abgehört, Geheimdienste nutzen unbekannte Sicherheitslücken, E-Mails werden gephisht und Passwörter geleakt. An diesem Dienstag ist Safer Internet Day, aber wird das Internet nicht immer weniger "safe"?
Christian Funk: Was sich geändert hat, ist zum einen die Qualität der Angriffe, die Hacker lernen immer mehr dazu, die Angriffe werden immer ausgefeilter. Entscheidender ist allerdings, dass die Angriffsfläche extrem zugenommen hat. Früher hatten Sie nur einen Rechner zu Hause, kein Smartphone und weniger Web-Services. Damals hatte man vielleicht Accounts bei ein paar Foren, aber es gab kein Online-Banking und Social Media steckte noch in den Kinderschuhen. Heute wird all das immer mehr genutzt. Damit steigt das Risiko.
Heute muss man sich auch Gedanken machen über die Frage, wie weit man seine Daten streut. Wer heute im Netz einkauft, vergleicht Angebote. Wenn das günstigste Angebot in einem Webshop ist, bei dem Sie neu sind, dann müssen sie dort wieder einen Account anlegen. Sie haben keine Kontrolle, wie die Daten dort gesichert sind - und schon vergrößert sich die Angriffsfläche wieder.
Was ist aus Konsumentensicht derzeit das größte Problem in Sachen digitaler Sicherheit?
Die Menge von Konten, bei denen wir keinen Einfluss darauf haben, ob ihre Anbieter gehackt werden und der Inhalt des Kontos geleakt. Ausgleichen können wir es nur mit einzigartigen Passwörtern.
Ein Evergreen bleibt der Angriff auf Geräte über Schadsoftware. Der übliche Angriffsvektor ist nach wie vor eine E-Mail mit der gefährlichen Software, allerdings sind Phishing-Mails heute deutlich besser gemacht, so dass ich leichter darauf hereinfalle. Das hat auch wieder mit der Menge an Konten zu tun, die wir verwenden. Bekannte sagen oft: "Dann haben die Leute eben meine Anschrift, was wollen sie denn damit anfangen?" Was sie nicht sehen, ist, dass die Daten eben für solche ausgefeilten Phishing-Attacken benutzt werden können. In einer gut gemachten Phishing-E-Mail stehen mein Name, meine Adresse, meine Telefonnummer und vielleicht der Betreff "Mahnung", mit einer Rechnung im Anhang. Das sieht extrem authentisch aus.
Ihr Unternehmen hat vergangene Woche eine Rundmail verschickt. In der weist es Nutzer darauf hin, dass sie ihr Passwort nicht häufig ändern sollen. Wie macht man es denn 2019 richtig mit den Passwörtern - oft ändern oder immer beibehalten?
2012 war es eine gutgemeinte Idee, Passwörter quasi aus Hygienegründen regelmäßig zu ändern. Was dabei übersehen wurde, war der Faktor Mensch. Wenn ich regelmäßig aufgefordert werde, mein Passwort zu ändern, muss ich mir ständig etwas Neues überlegen. Der Mensch neigt dazu, es sich so leicht wie möglich zu machen. Die Folge ist, dass Passwörter immer weniger komplex werden - man muss sie sich ja merken - oder dass sie wiederverwendet werden. Wer sein Passwort einmal im Jahr am "Ändere-dein-Passwort-Tag" wechselt, sichert sich dadurch also nicht besser ab.
Stattdessen will ich starke Passwörter - das bedeutet heute: mindestens 16 Zeichen mit Groß- und Kleinschreibung, Zahlen, Sonderzeichen. Und ich sollte für jeden Service ein eigenes Passwort verwenden. Dabei hilft eine Passwort-Manager-Software, die würde ich jedem empfehlen. Nicht nur weil sie Passwörter verwaltet, sondern weil sie auch bei der Erstellung hilft. Für E-Mail oder Online-Banking geben Zwei-Faktor Authentisierungen ein Plus an Sicherheit. Dieses Konzept müsste auf breiterer Ebene angeboten werden.
Viele Sicherheitsmaßnahmen sind für Internetnutzer entweder teuer oder aufwendig. Beides schreckt ab, IT-Sicherheit ist auch Psychologie. Was ist zumutbarer Aufwand für Internetnutzer?
Ich empfehle häufige Updates des Betriebssystems, aber vor allem, den Browser so aktuell wie möglich zu halten. Das Programm sieht nach dem Update zwar aus wie vorher, in den meisten Fällen werden aber kritische Schwachstellen geschlossen und so Angriffe verhindert. Zudem die schon angesprochene Passwort-Lösung. Und was E-Mails angeht, sollten alle Nutzer ein waches Auge haben. Jeder hat mal einen schwachen Moment. Aber auch dann sollte man nicht leichtfertig Anhänge herunterladen oder auf Links klicken.
Ist IT-Sicherheit Privatsache? Oder kann die Politik helfen, dass das Internet für alle sicherer wird?
Das kann sie und dazu gibt es auch schon Pläne, etwa zur Sicherheit des Internets der Dinge und von Routern. Viele Menschen merken erst, dass ihr Router existiert, wenn er kaputt geht. Aber auch diese Geräte werden immer öfter angegriffen. Leider stellen viele Hersteller wenig oder gar keine Updates bereit, auch nicht, wenn Schwachstellen entdeckt werden. Die Politik möchte Hersteller verpflichten, für eine festgelegte Zeitspanne schnell Updates zu liefern. Aber es bleibt meist am Nutzer hängen, diese Updates einzuspielen, was oft eine große technische Hürde ist.
Sie sprechen auf vielen IT-Security-Konferenzen. Was sind die haarsträubendsten Geschichten, aus denen wir etwas lernen können?
Eine Geschichte, die immer wieder passiert, betrifft die Sicherheit in Firmen. In vielen gibt es keine gute Fehlerkultur. Wenn Angestellte ihre E-Mails lesen und merken, dass es sein könnte, dass sie gerade auf einen Link in einer zweifelhaften Mail geklickt haben, dann verschweigen das die meisten Mitarbeiter aus Scham oder Angst vor Konsequenzen. Dabei wäre es für die Firma absolut notwendig, sofort Bescheid zu wissen. Dann kann ihre IT-Abteilung sofort reagieren und das Schlimmste verhindern. Chefs sollten also versuchen, eine Fehlerkultur zu entwickeln. Dann melden Mitarbeiter solche Vorfälle schneller, weil sie keine negativen Konsequenzen fürchten müssen.
Kreditkartenbetrug wird im Normalfall erstattet. Alte Facebook-Fotos sind für Hacker oft nicht interessant. Was ist denn für Internetnutzer das Worst-Case-Szenario?
Worst-Case-Szenarien sind natürlich immer subjektiv: Wer kein Online-Banking betreibt und sich einen Online-Banking-Trojaner einfängt, dem ist das egal. Was aber sehr problematisch ist: wenn unveränderbare Daten in falsche Hände geraten, also biometrische oder Gesundheitsdaten. Welche Medikamente Sie nehmen, ob Sie krank sind oder ein Fingerabdruck zur Authentisierung. Wenn ein Passwort in die falschen Hände gerät, können Sie es ändern. Wenn Ihr Fingerabdruck im Netz landet, dann ist er für alle Zeiten verbrannt.