Von Holger Schmidt
14. September 2005 Den zentralen Fehler haben schon die Väter des Internets gemacht. „Das Internet wurde nicht für einen sicheren Datenaustausch geschaffen. Die Erfinder - das amerikanische Militär - wollten ein Kommunikationsnetz für einen stabilen Datenaustausch, das auch dann noch funktioniert, wenn eine Datenleitung zerstört ist“, beschreibt Raimund Genes vom amerikanischen Sicherheitsspezialisten Trend Micro das Grundübel mit der Sicherheit im Internet.
Also wurden die Datenpakete erfunden, die sich ihren Weg auf der Datenautobahn selbst suchen und bei einem Stau eine Ausweichroute nutzen. Die Erfindung ist genial, war aber nie für geschäftliche Anwendungen gedacht. Daher müssen heute alle sensiblen Daten wie Kontoverbindungen, Konstruktionspläne oder auch nur Bestellungen, die im Internet verschickt werden, extra verschlüsselt werden. „Eine nicht verschlüsselte E-Mail ist wie eine Postkarte, die jeder lesen kann“, sagt Genes.
„Viele Anwender sind blauäugig“
Obwohl die Technik dafür vorhanden ist, macht sich der Sicherheitsfachmann keine Illusion über das Sicherheitsniveau im Netz: „Wahrscheinlich sind nicht einmal 1 Prozent aller E-Mails verschlüsselt. Viele Endanwender sind blauäugig“, sagt Genes. Zu einer ähnlichen Einschätzung kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI): „IT-Sicherheitskompetenz ist in den gesellschaftlichen Gruppen kaum verbreitet“, heißt es im Bericht zur Lage der IT-Sicherheit in Deutschland im Jahr 2005.
Besser sieht es bei den Unternehmen aus, die Güter für viele Milliarden Euro im Internet handeln. „Die meisten Unternehmen nutzen heute virtuelle private Netze, um sich zu schützen“, sagt Genes. Die Daten werden dabei zwar auch über das Internet gesendet, sind aber für Außenstehende nicht sichtbar. Eine wachsende Sensibilität für das Thema Sicherheit hat auch Hans Ydema festgestellt, Geschäftsführer des kanadischen Sicherheitsunternehmens Entrust. „Lange Zeit haben die Unternehmen die Sicherheitslöcher ignoriert. Doch seitdem sie von ihren Internetauftritten profitieren, ist ihnen klar geworden, daß ein Teil der Investition auch in die Sicherheit fließen muß“, hat Ydema beobachtet.
„Dunkelziffer sehr hoch“
Mit dem Erfolg im Internet werden allerdings auch immer mehr Verbrecher angelockt. Immer noch kommen Computerviren und Würmer besonders häufig vor. Allerdings sind die Schäden, die diese Programme anrichten, nicht mehr so groß wie früher. „Vor einigen Jahren haben Viren oder Würmer ganze Unternehmen lahmgelegt. Heute passiert das nicht mehr, da sich die Unternehmen mit Erfolg dagegen schützen“, hat Petra Jenner, Geschäftsführerin des israelisch-amerikanischen Sicherheitsunternehmens Checkpoint, beobachtet.
Weit verbreitet, aber kaum bekannt sind dagegen Erpressungsversuche: Zahlt der Betreiber einer Internetseite nicht, werden massenhaft Anfragen an die Seite geschickt, bis sie unter der Last zusammenbricht oder ernst gemeinte Aufträge nicht mehr richtig bearbeiten kann. „Die Dunkelziffer in diesem Feld ist sehr hoch“, sagt Genes. Im vergangenen Jahr richteten sich bereits 16 Prozent aller Hackerangriffe gegen E-Commerce-Unternehmen, 400 Prozent mehr als im Jahr zuvor.
Industriespionage im Internet
Häufig werden auch vertrauliche Daten gestohlen und nur gegen Geldzahlung zurückgegeben. „Hacking gegen Geld ist der große Trend im Internet“, sagt Jenner. Früher hätten Hacker dagegen oft nach Anerkennung für ihre Leistung gesucht, die Sicherheitstechniken überlistet zu haben.
Da die Unternehmensnetzwerke meist gut geschützt seien, suchten sich die Kriminellen gezielt den schwächsten Punkt im Schutzwall: „Mobile Geräte wie Laptops oder Handys der Mitarbeiter geraten immer häufiger ins Visier der Kriminellen“, sagt Jenner. Zum Beispiel seien lokale Funknetze (W-Lan) oder Internetverbindungen an öffentlichen Plätzen beliebte Angriffspunkte. In Israel seien 60 Unternehmen auf diese Weise bestohlen worden. „Dahinter steckt System. Die Industriespionage im Internet ist verbreiteter als gedacht“, sagt Jenner. Dabei steckt diese Form der Internetkriminalität erst in den Anfängen: „Das Ausspähen von Unternehmensnetzen mit dem Ziel der unbefugten Kenntnisnahme von Unternehmensdaten wird in den kommenden zehn Jahren an Bedeutung gewinnen“, meint das BSI.
Handlungsdruck wächst
Großen Nachholbedarf haben auch die Banken, die jahrelang auf die Kombination aus persönlicher Identifikationsnummer (Pin) und Transaktionsnummer (Tan) gesetzt haben, um ihre Kunden scheinbar sicher im Internet identifizieren zu können. Seitdem aber Paßwortdiebe, sogenannte Phisher, den Bankkunden mit gefälschten E-Mails die geheimen Kontodaten entlocken, läuten in den Kreditinstituten die Alarmglocken. „Das Pin/Tan-Verfahren ist sehr unsicher“, kritisiert Genes. Bisher haben die Banken die entstandenen Schäden lieber auf sich genommen und das Problem heruntergespielt. „Wir werden von den Banken nie eine genaue Schadensumme erfahren“, weiß Ydema. Seitdem aber die Schäden steigen, wächst auch der Handlungsdruck in den Banken.
„Jeder ist an einer Alternative zum Pin/Tan-Verfahren interessiert. Und jetzt sind die Banken auch bereit, dafür Geld auszugeben“, hat Ydema beobachtet. Das hektisch eingeführte Verfahren der indizierten Transaktionsnummer (iTan), das die Eingabe einer bestimmten Nummer erfordert, gilt in der Branche aber nur als Notlösung. Als sicherer - aber auch teurer - gelten Zwei-Faktor-Authentifizierungen oder Geräte, die eine Zufallszahl generieren, ohne die eine Banktransaktion nicht getätigt werden kann. Die Banken scheuen aber noch die Investitionen, denn „die Kunden sind nicht bereit, für mehr Sicherheit im Netz zu zahlen“, hat Ydema mit einer Umfrage herausgefunden. Deshalb warten die Banken erst einmal ab. „Ich bin gespannt, welche Bank zuerst die iTan in großem Stil ablöst“, sagt Ydema.
Deutsche Online-Shopper vorbildlich
Neben den Banken haben auch die Online-Händler mit Betrugsversuchen zu kämpfen. Die Kriminalität im Internet-Einkauf steigt stetig an - allerdings nicht in Deutschland. „Der Deutsche betrügt im Internet nicht - hat aber große Angst, betrogen zu werden“, sagte Rüdiger Trautmann, Vorstandsvorsitzender des Internet-Zahlungsdienstleisters Pago. Die Betrüger bestellen Waren in den Online-Shops, bezahlen aber nicht. Besonders weit verbreitet ist nach Trautmanns Ansicht der Kreditkartenbetrug: „Es gibt inzwischen ganze Arbeitsgruppen in ausländischen Universitäten, die Waren mit gestohlenen Kreditkartennummern bestellen“, sagt Trautmann. Zudem weisen Konten bei einem Lastschriftverfahren keine ausreichende Deckung auf, oder nach der Warenlieferung wird eine Rücklastschrift eingeleitet, erklärt Trautmann die beliebtesten Betrugsversuche.
Ist der Betrugsversuch erfolgreich, stehen in den meisten Fällen die Kreditkartengesellschaften für den Schaden gerade. „Das Risiko für den Online-Händler und den Kunden ist in Deutschland gleich Null“, sagt Trautmann. Im Durchschnitt wurden 0,83 Prozent der untersuchten Kreditkartenzahlungen nach Online-Bestellungen aufgrund eines Widerspruchs des Karteninhabers zurückbelastet (Chargeback-Quote), was auf einen Betrugsversuch hindeutet. Deutsche Online-Shopper stehen mit Blick auf diese Quote vorbildlich da: Nur 0,32 Prozent der untersuchten Kreditkartentransaktionen wurden zurückbelastet.
Sicherheit hinkt Fortschritt hinterher
Ganz neu auf der Agenda der Sicherheitsfachleute in den Unternehmen ist die Internet-Telefonie. 75 Prozent der Unternehmen, die Internet-Telefonie eingeführt haben, planen einen Ersatz ihrer Sicherheitstechnik, hat das amerikanische Marktforschungsunternehmen In-Stat mit einer Umfrage herausgefunden.
„Traditionelle Firewall-Technik kann die Internet-Telefonie behindern“, sagt In-Stat-Analystin Victoria Fodale. „Die Anbieter der Sicherheitslösungen müssen daher Funktionen an ihre Produkte zufügen“. Die Internet-Telefonie zeige mal wieder: „Die Sicherheit hinkt den technischen Fortschritten hinterher“.
Text: F.A.Z. vom 14.9.2005
Bildmaterial: F.A.Z., picture-alliance / dpa/dpaweb
Fachkräftemangel kann 4,6 Billionen Euro 
Frankreich empört über deutschen „Alleingang" in der Finanzkrise
Die Banken- und Finanzmarktkrise erreicht die Realwirtschaft
| Name | Punkte | Prozent |
|---|---|---|
| Dax | 5.326,63 | -1,12 |
| TecDax | 573,04 | -5,15 |
| DowJones | 9.447,11 | -5,11 |
| Nasdaq | 1.754,88 | -5,80 |
| STOXX 50 | 2.878,82 | +0,22 |
| Nikkei 225 | 10.155,90 | -3,03 |
| S&P 500 Zert. | 10,50 | -1,78 |
| Euro/Dollar | 1,36 | +0,08 |
| Bund Future | 117,28 | +0,26 |
| Gold | 883,47 | -0,57 |
| Öl | 85,76 | -1,06 |
