26. September 2018, 18:51 Uhr Kommunikation im Internet Eine Frage der Sicherheit

Immer noch gehen Privatpersonen, Unternehmen und Programmierer allzu sorglos mit Daten um. Nach mehreren großen Skandalen haben die Konzerne Besserung gelobt. Aber auch jeder Nutzer kann Nachlässigkeit vermeiden.

Von Andrea Hoferichter

Wenn Vinton Cerf unterwegs ist, kommt er manchmal keine drei Schritte voran, ohne um ein Selfie gebeten zu werden. Der 75-Jährige, der das Internet miterfunden hat, sieht darin nicht nur ein Zeichen für seine Popularität. "Es ist auch ein Beispiel für Probleme in Sachen Datensicherheit", sagt er. "Die Fotos werden in den sozialen Medien gepostet, aber wo und in welchem Zusammenhang, darüber habe ich keine Kontrolle mehr." Manchmal werde er auch ungefragt fotografiert oder gefilmt, was er gar nicht mag. "Das ist auch eine Frage, wie wir in der Gesellschaft miteinander umgehen wollen", betont Cerf.

Die im Netz vagabundierenden Selfies sind nur eine Seite eines vielschichten Themas. Konzerne wie Google, Facebook, Apple oder Microsoft sammeln riesige Mengen persönliche Daten, zu Alter, Geschlecht, Religionszugehörigkeit, Interessen oder politischen Ansichten. Geraten die Informationen in falsche Hände, können sie direkt gegen die Nutzer verwendet oder für politische Zwecke missbraucht werden. "Google bekommt täglich tonnenweise E-Mails von besorgten Menschen, die wissen wollen, was mit ihren persönlichen Daten und Suchanfragen geschieht", berichtet Cerf. Viele befürchteten, dass die Informationen an Werbekunden weitergegeben werden. Das sei aber nicht der Fall. Sie würden genutzt, um etwa auf Suchanfragen möglichst gute Antworten zu finden und um Werbung möglichst zielgerichtet zu positionieren. So funktioniert das Geschäftsmodell.

In der öffentlichen Diskussion geraten Cerf zufolge auch andere Sicherheitsaspekte oft durcheinander. Da wäre zum einen das allgemeine Risiko, dass persönliche Daten abgegriffen werden. Wenn etwa Nutzer Programme nicht updaten oder zu schwache Passwörter wählen, betrügerischen Links folgen und dann ihre Passwörter eingeben, oder wenn sie die Anhänge von Phishing-E-Mails lesen und damit Hackern Tür und Tor öffnen. "In diesen Punkten müssen die Unternehmen ihre Nutzer erziehen wie Eltern ihre Kinder, wenn es um die Sicherheit im Straßenverkehr geht", betont der Internetpionier.

Für den Schutz der Accounts hingegen gebe es technologische Lösungen. Zum Beispiel die Zwei-Faktor-Identifizierung, bei der sich Nutzer nicht nur über ein Passwort ausweisen, sondern auch über einen Code, der an ein zusätzliches Gerät gesendet wird. Auch wenn Menschen nur in einem begrenzten Personenkreis Informationen teilen wollten, könne man diesen Kreis durch Identitätsabfragen schützen.

"Aber natürlich gibt es auch Probleme", räumt Cerf ein. "Und auch wenn ich für Google spreche, nehme ich uns nicht aus. Keiner hat hier wirklich einen guten Job gemacht." Das zeigten die Schlagzeilen zu Datendiebstählen und erfolgreichen Phishing-Versuchen. Google selbst vermeldete 2010 eine Sicherheitslücke, ein Hackerangriff vermutlich aus China. "Das haben wir gleich transparent gemacht und als Antwort alle Daten auch während des Transports verschlüsselt und die Zwei-Faktor-Identifizierung eingeführt, auch für jeden Google-Mitarbeiter", betont Cerf.

Manchmal gelingt der Angriff auch ganz ohne Hack, etwa beim Facebook-Skandal 2014. Das Unternehmen hatte über Jahre zugelassen, dass Fremdanbieter-Apps nicht nur die Daten von Teilnehmern, sondern auch von deren Freunden abgreifen konnten. Publik wurde das, als der Entwickler einer Umfrage-App Daten von bis zu 87 Millionen Facebook-Nutzern ohne deren Zustimmung an die Politikberatungsfirma Cambridge Analytica weitergab. Die Informationen sollen genutzt worden sein, um im US-Wahlkampf 2016 Stimmung für Donald Trump zu machen.

Rekordhalter in Datenskandalen ist allerdings der Anbieter Yahoo, sowohl was die Häufigkeit als auch das Ausmaß betrifft. Vor einem Jahr wurde bekannt, dass 2013 persönliche Informationen von allen drei Milliarden Nutzerkonten gestohlen wurden.

Die Vorfälle und die neue europäische Datenschutz-Grundverordnung (DSGVO) lassen die Unternehmenschefs nun Besserung geloben. "Nutzerdaten sind die Währung für das Geschäftsmodell der sozialen Medien. Die wichtigste Aufgabe für Entwickler und Betreiber ist deshalb, dafür zu sorgen, dass die Daten nicht unbeabsichtigt abhandenkommen", sagt Jochen Rill vom FZI Forschungszentrum Informatik in Karlsruhe. Aus diesem Grund lagerten Nutzerdaten verschlüsselt auf Servern in verschiedenen Ländern. Die Schlüssel sind mehrere Hundert Stellen lange Zahlenfolgen, mathematische Produkte zweier zufällig gewählter Primzahlen und liegen in der Regel auf besonders gut abgeschirmten Mikrochips. Hacker entwickeln zwar immer effizientere Angriffsalgorithmen, doch mit verlängerten Zahlenfolgen hat man die Nase schnell wieder vorne. Sollten in Zukunft allerdings Quantencomputer zum Einsatz kommen, sind neue Verfahren gefragt. "Die gute Nachricht ist, sie sind schon in der Entwicklung und werden auch schon getestet", so Rill.

Mit Verschlüsselung allein ist es nicht getan. "Hacker können auch versuchen, tiefer ins System einzudringen, an Programmierschnittstellen, wo die Daten unverschlüsselt verarbeitet werden", berichtet der Informatiker. Forscher arbeiteten zwar an sogenannten homomorphen Verfahren, mit denen die Kommunikationsdaten auch in verschlüsselter Form bearbeitet werden können. Bis das aber mit akzeptablen Geschwindigkeiten funktioniere, könnten noch Jahre vergehen. Zudem seien nicht lesbare Daten wohl kaum mit den aktuellen Geschäftsmodellen kompatibel.

Eine weitere Baustelle ist die Software. "Auf Anhieb kriegen Programmierer eigentlich nie einen fehlerfreien Code hin, das ist ein heute noch ungelöstes Problem", sagt Rill. Auch Testwerkzeuge, die Programme auf die häufigsten Fehler prüften, und Code-Audits, bei denen erfahrene Programmierer gegenlesen, helfen nur bedingt. Vinton Cerf beklagt eine gewisse Lässigkeit der Zunft. "Beim Programmieren werden Fehler oft als unvermeidbares Übel in Kauf genommen, das man ja hinterher noch beheben kann", berichtet er. Mitunter wäre das Unglück dann schon geschehen. Um das zu vermeiden, müssten neue technologische Lösungen her und Programmierer wie Unternehmen stärker in die Pflicht genommen werden.

Nicht zuletzt können Mitarbeiter selbst zum Risikofaktor werden, wenn sie etwa Zugangsberechtigungen für einen Datenraub missbrauchen. Deshalb sollte zu jedem Zeitpunkt bekannt sein, wer wann wie lange und aus welchem Grund Zugriff auf persönliche Daten der Nutzer hat. "Das muss abgefragt und lückenlos protokolliert werden", betont Jochen Rill. Trotz aller Bemühungen kann es aber auch in Zukunft keine hundertprozentige Sicherheit geben. "Weil Menschen Fehler machen. Das ist die traurige Realität", so der Informatiker. Auch künstliche Intelligenz führe nicht zum Ziel. Zwar könne sie gut Muster erkennen, und zum Beispiel helfen, verdächtige E-Mails aufzuspüren. "Aber die Vielfalt der möglichen Fehler ist einfach zu groß", sagt Rill.