Unterschätzte Gefahr: Viele Medienunternehmen gegen Cyberkriminalität unzureichend geschützt

Die Digitalisierung vergrößert die Angriffsflächen in der Medienwirtschaft; wer vor Richtern, Versicherern, Aktionären und Kreditgebern bestehen will, muss in ein Informationssicherheits- konzept investieren.

Ein Kommentar von Joachim Jakobs

Die Cyberkriminalität soll mittlerweile profitabler sein als der Drogenhandel. Dazu sollen Angreifer mit Verbindung zum islamischen „Staat“ 2016 personenbezogene Daten von 3000 scheinbar zufällig ausgewählten New Yorker Bürgern ins Internet gestellt haben. Überschrift: „Wir wollen ihren Tod!“ Woher die Daten stammen, ist unbekannt. Zur Ausführung der Tat bieten sich auch „intelligente“ Stromnetze oder Herzschrittmacher an. Der geplante Breitbandausbau erhöht das Risiko für einen Ausfall „kritischer Infrastrukturen“ wie Strom, Wasser, Telekommunikation.

2013 hat die Kanzlerin festgestellt: „Das Internet ist für uns alle Neuland“. Daran ist zweierlei bedrückend: 1. stimmt dieser Satz bis zum heutigen Tag und 2. legen wir offensichtlich größten Wert darauf, an diesem Zustand nichts zu ändern – wir wollen weiterhin davon träumen, dass wir im Internet auf Milliarden Freunde treffen! Da das offensichtlich nicht der Fall ist, sollte die Medienwirtschaft überlegen, was das Alles fürs eigene Geschäft bedeutet. Und außerdem redaktionell das Handeln der Beteiligten in Politik, Verwaltung und Wirtschaft kritisch unter die Lupe nehmen.

Wie angreifbar sind die Medien?

Auch die vernetzte Medienwirtschaft ist physisch wie psychisch angreifbar: Börsenzeitschriften und Fernsehmagazine müssen nicht nur ihre redaktionellen Inhalte vor Manipulation schützen, sondern ebenfalls verhindern, dass ihre Abonnenten/Verfolger Opfer von Datenkriminalität werden. Im vergangenen Dezember hat der Autor dieses Artikels 72 Rundfunksender, Verlage und „soziale“ Medien gebeten, 25 Aussagen zur Informationssicherheit mit ‚Ja‘ oder ‚Nein‘ zu quittieren. Beispiele: „Wir haben den Stellenwert der Informationssicherheit gegenüber anderen (betriebswirtschaftlichen) Belangen definiert“, „Unsere Geschäftsleitung hat einen Informationssicherheitsbeauftragten (ISB) bestimmt“ oder „Unser Unternehmen verfügt über ein Informationssicherheitskonzept“. Im Einzelnen befanden sich darunter öffentlich-rechtliche wie private Fernsehsender, führende Verlagshäuser sowie die sozialen Medien Amazon und Xing unter den Adressaten.

Die meisten der Empfänger haben nicht geantwortet – ich fürchte, das lag vor allem daran, dass es den Empfängern peinlich gewesen wäre, überall nur „Nein“ anzukreuzen. Amazon, die Deutsche Welle und die Rheinische Post haben eine Beteiligung ausdrücklich abgelehnt. Von der ARD habe ich immerhin erfahren: „Mit der Gefahr von unterschiedlichen Hackerangriffen muss immer gerechnet werden. Aus diesem Grund haben wir mehrstufige Sicherheitslösungen umgesetzt und arbeiten ständig an der Weiterentwicklung.“ Das Schweigen ändert am Risiko nichts: Die Medienwirtschaft muss damit rechnen, eines Tages für den Gebrauch von Druckmaschinen und Übertragungstechnik erst ein klein wenig Lösegeld zahlen zu müssen. Im weniger günstigen Fall werden die Geräte gleich zerstört, mitsamt dem Unternehmen, dem sie gehören.

Kriminelle Dienstleistungen verlangen nach systematischen Sicherheitskonzepten

Zugegeben: Das Erstellen mehrstufiger Sicherheitslösungen ist kein Spaziergang – die Verantwortlichen aller betrieblichen Prozesse müssen identifiziert und die Aufbau- und Ablauforganisation systematisch auf Lücken abgeklopft werden, Risiken wollen bewertet und Mitarbeiter rollenspezifisch fortgebildet werden. Redakteurinnen, Kaufleute und Techniker müssen wissen, wie sie ein sicheres Passwort bilden und wie sie mit USB-Speichern umgehen, die sie zufällig irgendwo gefunden haben. Und die Geschäftsleitung muss durch organisatorische und technische Maßnahmen die Verwendung sicherer Passwörter erzwingen und das Einstöpseln von Speichern in „Ubiquitous Security Backdoors“ (USB) verhindern.

Das Konzept umfasst auch den physikalischem Einbruchschutz, elektronische Signaturen, kryptographische Verschlüsselungen und herstellerunabhängige Zertifikate für Produkte, Dienstleistungen und „Apps“, die bei Dritten eingekauft werden: Das bezieht sich nicht nur auf das Redaktionssystem, sondern auch auf „intelligente“ TV-Kameras/-geräte und Übertragungswagen. Das Ziel dieses flächendeckenden, systematischen und pro-aktiv betriebenen Prozesses ist ein ‚System vernetzter Sicherheit‘. Der Lohn der Mühen kommt Schwarz auf Weiß in Form eines Zertifikats daher: Die ISO 27001 eignet sich für einen globalen Medienkonzern, ISIS12 und VdS 3473 richten sich an Mittelständler.

Änderung der europäischen Datenschutzgrundverordnung

Die Angriffsqualität sollte das eine, die geänderte Rechtslage das andere Motiv für den Medienunternehmer sein: Ab Mai 2018 droht die Europäische Datenschutzgrundverordnung mit einem Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes, wenn ein Unternehmen mehr Daten sammelt, als es letztlich beaufsichtigen kann. So Mancher würde sich wohl schon freuen, wenn er eine Umsatzrendite in dieser Höhe erzielen würde. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat mit seinem Bußgeld fürs Ignorieren eines Urteils des Europäischen Gerichtshofs vergangenes Jahr deutlich gemacht, dass die Aufsichtsbehörden nicht länger auf ihre verbale Überzeugungskraft vertrauen. Der Chef haftet dem Eigentümer dabei mit seinem privaten Geld. Und wer immer eine (bezahlbare!) Cyberversicherung abschließen möchte oder Geld von Anlegern und Kreditgebern holen will, muss den Nachweis erbringen, dass sie/er das eigene Handeln unter Kontrolle hat.

Es wird jede Chefredakteurin und jeden Blattmacher beeindrucken, selbst zu erleben, wie Menschen, Organisation und Technik systematisch auf Sicherheit getrimmt werden. Anschließend werden die Medienmacher das Bedürfnis haben, ihren Zuschauern und Lesern von diesem Prozess und dem damit verbundenen Schweiß, den Tränen zu berichten. Und die haben ähnlichen Bedarf an sicherheitsrelevanten Informationen wie die Medienwirtschaft selbst: Das gilt für das Publikum von Nachrichtensendern und Info-Radioprogrammen genauso wie für die Redaktionen in Tageszeitungen und Fachzeitschriften – interessante Angriffsziele gibt es in Arztpraxen und Zeitarbeitsfirmen genauso wie beim Anwalt und der Zulassungsstelle. Im Internet der Dinge ist Alles mit Allem verbunden und per Breitbandautobahn angreifbar.

Über den Autor: Joachim Jakobs hat das Buch „Vernetzte Gesellschaft. Vernetzte Bedrohungen – Wie uns die künstliche Intelligenz herausfordert“ verfasst. Es ist im September 2015 im Berliner Cividale-Verlag erschienen.