Bei Hackerangriff die Kunden sofort informieren

Herr Sommer, was halten Sie von der jüngsten Drohung durch Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), künftig die Telekommunikationsgesellschaften in die Pflicht zu nehmen, um Server zu ermitteln, über die Hacker ihre Attacken fahren?

ANTONIUS SOMMER: Das ist völlig in Ordnung. Die Drohung richtet sich ja nicht gegen die TK-Unternehmen, sondern gegen die Angreifer. Gegenmaßnahmen sind dringend notwendig. Außerdem müssen es Telekommunikationsgesellschaften schon heute melden, wenn ihnen illegale Nutzer auffallen.

Nationale Spielregeln nutzen nichts, wenn der Kampf gegen Angriffe nicht international organisiert ist. Reicht die Kooperation zwischen allen Ländern aus?

SOMMER: Diese Zusammenarbeit ist schon sehr weit gediehen – insbesondere für Produkte mit Sicherheitsfunktionalitäten. Daran arbeiten schon 26 Nationen aktiv miteinander. Darüber hinaus bietet der deutsche Rechtsrahmen in punkto IT-Sicherheit und Datenschutz schon einen recht guten Schutz für den heimischen PC. Auch die entsprechende EU-Direktive zum Datenschutz reicht weit. IT-Sicherheit macht nicht vor Grenzen halt. Nur können die Gesetze kaum so schnell folgen wie Angreifer unterwegs sind. Konkrete Kooperationen ergeben sich auf überstaatlicher Ebene durch sogenannte Emergency-Response-Teams, die sich aus Fachleuten der nationalen Abwehrzentren, Großunternehmen und Organisationen (First) zusammensetzen. Angriffe aus China, Russland und anderen Ländern betreffen schließlich viele Länder weltweit.

Ist Deutschland von Angriffen besonders betroffen?

SOMMER: Nein, das betrifft weltweit die meisten Nationen. Die Staaten selbst haben dabei eine besondere Verantwortung, denn sie müssen wichtige Infrastrukturen schützen, deren Fremdsteuerung kritisch bis fatal wäre, wenn wir an die Energie- und Wasserversorgung denken. Hacker probieren immer wieder neue Angriffstaktiken aus, gegen die auch Firmen noch nicht gewappnet sind. Drive-by-Attacken zählen zu den wirkungsvollsten Waffen im Arsenal der Cyberkriminellen. Darüber hinaus werden Internetnutzer auf eine Website gelotst, auf der die Angreifer ihre Malware platziert haben, die Sicherheitslücken im Browser oder Betriebssystem der Besucher ausnutzt, um ihre Rechner zu kapern. Mitunter verstecken sich die schadhaften Codes hinter einem Werbebanner, das einmal angeklickt die Attacke auf den Rechner auslöst. Diese Angriffe sind extrem gefährlich und verbreitet. Selbst auf der Handelsblatt-Website war schon so ein Werbebanner platziert, ohne dass es Ihrem Verlagshaus bewusst war. Die professionelle Hacker-Szene entwickelt sehr schnell, die Gegenwehr ist immer ein Wettlauf mit der Zeit.

Welche Empfehlung geben Sie Unternehmen im Falle eines Hacker-Angriffs hinsichtlich frühzeitiger Kundeninformation?

SOMMER: Kunden sind generell umgehend zu informieren. Diese Verpflichtung ergibt sich auch aus den Datenschutzbestimmungen. Betroffene, Behörden und die Öffentlichkeit – Schnelligkeit ist besser, als wenn die Probleme nach und nach durchsickern. Ob das in der Praxis immer gleich passiert, muss man in Frage stellen.

Umgekehrt gilt die leichtfertige Vergabe von Passwörtern durch Kunden als weiteres Risiko. Aufwendige Prozesse sind hier kaum praktikabel. Was sollten Unternehmen hier beherzigen?

SOMMER: Das BSI gibt hierzu Empfehlungen. Grundsätzlich gilt: Auf Geburtsdaten und Vornamen sollte man verzichten. Eine Verfremdung mit Sonderzeichen ist ratsam. Eselsbrücken helfen, die Passwortwahl praktikabel zu handhaben. Unternehmen können hier Komplexitätsvorgaben machen, um das Hacken zu erschweren.