Der Hackerangriff „WannaCry“ im Mai dieses Jahres hat eindrucksvoll daran erinnert, wie verwundbar uns die digitale Vernetzung macht. Mit jedem neuen Endgerät werden wir angreifbarer. Im Gespräch mit positionen beschreibt der USAmerikaner Marc Goodman, renommierter Experte und Berater für Cybersecurity, wo akuter Handlungsbedarf besteht und warum sich Unternehmen im Kampf gegen Hacker verbünden müssen.

Mit Marc Goodman sprach Katja Hartert. Fotos von Sebastian Gabsch

positionen: Herr Goodman, Kriminalität im Internet gehört mittlerweile schon fast zum Alltag. Wie würden Sie die Entwicklung von Hackerangriffen in den vergangenen Jahren beschreiben?

Marc Goodman: Seit mehr als zwei Jahrzehnten beschäftige ich mich mit dem Thema. Vor 20 Jahren hat sich bereits abgezeichnet, dass Cybercrime immer häufiger vorkommt. Doch was wir in den vergangenen vier bis fünf Jahren erlebt haben, ist ein exponentielles Wachstum von Cybercrime-Fällen. Die Zahl der Betroffenen eines Hackerangriffs hat ebenfalls stark zugenommen. Ganz am Anfang waren nur 200 Personen betroffen. Daraus wurden dann später eine Million Menschen. Der jüngste Hackerangriff auf Yahoo zielte auf eine Milliarde Kundenkonten. Mit anderen Worten: Ein Siebtel der Weltbevölkerung wurde also Opfer dieser Attacke. Dieses Ausmaß ist bislang beispiellos in der Geschichte der Menschheit.

positionen: In einer globalisierten Welt, in der alles virtuell miteinander verbunden ist, ergeben sich so immer mehr Gefahren. Was fürchten Sie besonders?

Marc Goodman: Die ganz große Gefahr geht davon aus, dass wir Hackern eine immer größere Angriffsfläche bieten, da die Anzahl der elektronischen, virtuell vernetzten Endgeräte stetig steigt. Ganz früher mussten wir uns nur Sorgen machen, dass unser Computer an der Arbeit gehackt wird. Dann kam der Desktop-PC zu Hause dazu, wenig später Laptop und Smartphone. Mittlerweile können Autos, Flughäfen und Kinderspielzeug Ziele von Cyber-Angriffen werden. Gleichzeitig nimmt das Sicherheitsniveau ab. Während der Computer noch einigermaßen gesichert ist, hat der digital vernetzte Kühlschrank nur einen geringen Hackerschutz.

positionen: Sie sprachen von einer immer größeren Angriffsfläche. Können Sie dazu Zahlen nennen?

Marc Goodman: Wir leben in einer Welt, in der jedes physische Objekt zu einem digitalen Endgerät wird. Autos sind nichts anderes als ein Computer auf Rädern. Alles kann gehackt werden. Zumal es für uns keine Priorität hat, die Sicherheitsstandards so weiterzuentwickeln, dass sie mit dem technologischen Fortschritt Schritt halten. Bis 2020 werden 50 Milliarden weitere digitale Geräte im Internet der Dinge dazukommen.

positionen: Würden Sie sagen, dass sowohl die Unternehmen als auch private Nutzer zu sorglos mit dem Internet und digitalen Risiken umgehen?

Marc Goodman: Jeder möchte gern die Annehmlichkeiten nutzen, die neue digitale Endgeräte bieten. Doch keiner will sich mit dem Thema Sicherheit auseinandersetzen. Beide – Unternehmen und private Nutzer – sind zu sorglos im Umgang, doch machen beide unterschiedliche Fehler. Der Fehler, den private Nutzer machen, ist, dass sie keine Fragen stellen, wenn sie ein neues Spielzeug sehen. Nehmen wir das Beispiel von Amazons digitaler Assistentin „Alexa“. Keiner der Käufer fragt sich, wer sonst noch mithört und welche Mikrofone er damit in seinem Haus installiert.

positionen: Wie können sich private Nutzer gegen Hacker schützen?

Marc Goodman: Indem sie genauso vorsichtig sind wie im richtigen Leben. Wenn man morgens zur Arbeit geht, zieht man ja auch seine Wohnungstür zu und schließt sie ab. Auch in der digitalen Welt helfen bereits kleine Schritte. Beispielsweise indem man möglichst zeitnah seine Software aktualisiert und spezielle Programme für die Verwaltung von Passwörtern verwendet. Wenn man auf Reisen ist, sollte man als Netzwerk eher das Virtual Private Network (VPN) verwenden. Allein damit kann man schon das Angriffsrisiko um 85 Prozent senken.

positionen: Und welchen Fehler machen die Unternehmen?

Marc Goodman: Zum einen blenden sie die Risiken einfach aus und vertrauen auf das Prinzip Hoffnung, dass kein Hacker sie als Ziel auswählt. Zum anderen denken sie, dass sie das Thema Cyber-Sicherheit abhaken können, wenn sie einen Chief Information Officer (CIO) und einen Chief Security Officer (CSO) im Haus haben. Doch das ist ein Irrglaube. Das Thema Cyber-Sicherheit fällt in die Verantwortung von allen Führungskräften und Mitarbeitern – nicht nur von einer Person. Eine der besten Schutzmaßnahmen gegen Hackerangriffe ist eine entsprechende, möglichst kreative Schulung von Mitarbeitern, die an vorderster Front tätig sind. Unternehmen führen zwar Schulungen durch. Doch dienen diese meist nur dazu, regulatorische Neuerungen und die Konsequenzen bei Nichteinhaltung zu vermitteln.

positionen: Was sollten Unternehmen stattdessen tun?

Marc Goodman: Internetsicherheit sollte Teil der strategischen Weiterentwicklung eines Unternehmens sein. Ganz wichtig ist auch, dass Firmen und Konzerne den Ernstfall regelmäßig üben und die Vorgehensweise dokumentiert ist. Es sollte im Vorfeld geklärt sein, wie sich ein Unternehmen im Fall eines Hackerangriffs mit Erpressersoftware verhält. Wird es zahlen oder nicht? Der Ernstfall ist wahrscheinlich, wie jüngste Ransomware-Fälle wie etwa bei Netflix und die „WannaCry“-Attacke zeigen.

positionen: Gibt es Statistiken dazu, wie gut Unternehmen für den Ernstfall vorbereitet sind?

Marc Goodman: Vor Kurzem wurde eine Statistik zu den Fortune-500-Unternehmen veröffentlicht. Demnach verfügen mittlerweile 50 Prozent von ihnen über ein Bitcoin-Konto. Und genau diese im Darknet übliche Währung brauchen sie, wenn sie Opfer einer Ransomware-Attacke werden. Letztlich könnte man die Probe aufs Exempel machen und die großen Konzerne fragen, wer bei ihnen für das Bitcoin-Konto verantwortlich ist und was im Fall eines Missbrauchs zu tun ist. Ich gehe davon aus, dass selbst der CIO oder Chief Operating Officer (COO) keine Antwort parat hätte, weil über diese Eventualität einfach noch nicht nachgedacht wurde. Allerdings ist es keine Eventualität mehr, sondern ereignet sich fast jeden Tag.

positionen: Vorhin sagten Sie, dass die Weiterentwicklung von Sicherheitsstandards keine Priorität habe. Was genau meinen Sie damit?

Marc Goodman: Die meisten Unternehmen machen sich darüber keine Gedanken und sehen keinen Handlungsbedarf. Diese Einschätzung ist zutreffend, wenn man das Sicherheitsbewusstsein der Verbraucher als Maßstab nimmt. Diese sind nur an „cool“ und nicht an „sicher“ interessiert. Folglich fokussieren sich die Unternehmen darauf, coole Produkte auf den Markt zu bringen und verschieben den Sicherheitsaspekt auf später, wenn sie ein Problem zum Handeln zwingt.

positionen: Sollten also die Verbraucher mehr Druck machen?

Marc Goodman: Ja, der Druck könnte von den Verbrauchern kommen, aber auch von Regulierern. In den meisten Ländern gibt es Gesetze zur Produkthaftung, die Verbrauchern rechtliche Handhabe gegenüber den Unternehmen geben. Allerdings gibt es keine Produkthaftungsgesetze, die schlechtes Programmieren und minderwertige Software-Codes einschließen. Kein Unternehmen wird deswegen verklagt.

positionen: Wie können wir das ändern?

Marc Goodman: Ich mag zwar keine Regulierung, weil sie ein sehr stumpfes und meist auch nicht sehr effektives Werkzeug ist. Doch müssen wir diese Diskussion führen, da die Handelnden hier keine Anstalten machen. Eine Diskussion darüber, wie Regulierung eingreifen kann und wie wir Unternehmen verantwortlich machen können, um unsere Gesellschaft zu schützen.

positionen: Würden Sie sagen, dass es Branchen gibt, die anfälliger für Cyber-Attacken sind als andere?

Marc Goodman: Die Finanzdienstleister haben die höchsten Sicherheitsstandards, weil sie wissen, dass sie ein bevorzugtes Ziel von Hackern sind. Am wenigsten geschützt sind Schulen und Krankenhäuser. Die Zahl der Fälle von Datenmissbrauch in Krankenhäusern hat weltweit extrem zugenommen.

positionen: Wie wirksam und zeitgemäß ist unsere Gesetzgebung? Sind die Europäer den Amerikanern bei dem Thema einen Schritt voraus?

Marc Goodman: Ja, die Europäische Union ist hier deutlich weiter. Beispielsweise gibt es spezielle Datenschutzbeauftragte – Privacy Commissioners – und eine entsprechende Richtlinie. Beides bietet privaten Nutzern einen guten rechtlichen Schutz. In den USA gibt es so etwas nicht, weil dort das Prinzip des freien Marktes und des eigenverantwortlichen Handelns von Verbrauchern vorherrscht. Unter dem neuen Präsidenten Donald Trump wurden Regelungen zum Datenschutz sogar noch zurückgedreht. Jetzt ist es Telekomanbietern in den USA erlaubt, Suchabfragen-Profile ihrer Kunden weiterzuverkaufen.

positionen: In Deutschland haben vier DAXUnternehmen – Allianz SE, BASF SE, Bayer AG, Volkswagen AG – die Deutsche Cyber-Sicherheitsorganisation DCSO gegründet, um sich bei dem Thema stärker auszutauschen und zu kooperieren. Was halten Sie davon?

Marc Goodman: Das ist eine tolle Idee, die schon längst überfällig ist. In den USA haben wir Information Sharing Consortia – also Gremien, in denen Unternehmen einzelner Branchen regelmäßig zum Informations- und Erfahrungsaustausch zusammenkommen. Nehmen wir einmal an, VW wird auf einen Fehler in der Verriegelungssoftware der Autos aufmerksam. Dann wäre es doch ziemlich dumm, wenn VW diese Information nicht mit der Konkurrenz teilen würde. Denn letztlich kämpfen doch alle Unternehmen gegen denselben Feind: den Hacker. Dieser Informations- und Erfahrungsaustausch findet unter Hackern schon lange statt. Den Schulterschluss zu üben im Informationsaustausch ist die einzige Chance, die Unternehmen haben, um sich gegen Hacker zu schützen und zu verteidigen.

positionen: Bislang sieht es nicht so aus, als gäbe es bald auch auf internationaler Ebene eine Cyber Defense Group. Wieso nicht?

Marc Goodman: Es gibt Initiativen auf europäischer Ebene, im UN-Sicherheitsrat und beim Roten Kreuz. Doch sind die Institutionen viel zu langsam unterwegs. Im Vergleich zu den Entwicklungen im Cyberspace bewegen sie sich im Schneckentempo. Und die Kluft wird immer größer. Das Problem müssen wir angehen. Beispielsweise sollten unsere Politiker technologisch besser gebildet sein. In den USA sind die meisten Politiker Anwälte. In China verfügen die Top-15-Mitglieder des Politbüros der Kommunistischen Partei über einen höheren Studienabschluss in den Naturwissenschaften wie Mathematik und Ingenieurwissenschaften. Sie haben also das Fachwissen, um Gesetze zu entwerfen.

positionen: Das Darknet ist zu einem Begriff geworden, den viele einfach so benutzen. Was versteckt sich genau dahinter und welche Risiken gehen davon aus?

Marc Goodman: Fangen wir erst einmal mit dem Deep Web an, von dem das Darknet nur ein Teil ist. Das Deep Web sind Teile des Internets, die mit gewöhnlicher Browser-Software nicht zugänglich sind. Dort befinden sich firmeneigene Daten oder auch Researchdaten. Dieses tiefe Internet ist 70 Mal größer als das Web, in dem sich der normale Internetnutzer bewegt. Wenn man mit Google sucht, greift man nur auf drei Prozent der digitalen Daten zu, die weltweit verfügbar sind.

positionen: Wie kommt man dann ins Darknet?

Marc Goodman: Um Zugang zum Darknet zu bekommen, benötigt man spezielle Software wie etwa den „Tor-Browser“, der an sich ein legitimes Werkzeug ist. Beispielsweise nutzen ihn Menschen in Ländern mit einem staatlich zensierten Internet, um die Firewall zu umgehen und westliche Medien online zu lesen. Aber auch Menschen mit kriminellen Absichten setzen Tor ein. Eine Funktion von Tor, die „Hidden Surfaces“, bietet ihnen die Möglichkeit, jede erdenkliche kriminelle Dienstleistung im Darknet einzukaufen und mit der Kryptowährung Bitcoins zu bezahlen. Das fängt bei Kinderpornografie an und hört beim Heuern eines Auftragskillers auf. „Silk Road“ war der prominenteste Fall, bei dem ein krimineller 27-jähriger Onlinehändler in zweieinhalb Jahren laut FBI einen Umsatz von 1,2 Milliarden Dollar erzielte und selbst 120 Millionen Dollar an Provisionen verdiente.

positionen: Wie wird Cyber-Sicherheit den Arbeitsmarkt verändern? Welche neuen Jobprofile werden entstehen?

Marc Goodman: Daten-Ethiker wird ein neues Anforderungsprofil sein. Denn in unserer heutigen Welt ist immer mehr die Frage, wie wir als Privatperson sicherstellen können, dass unsere Daten vor Angriffen und vor Spionage geschützt sind. Denken wir weiter in die Zukunft, wird der Neuro-Ethiker als neues Berufsbild entstehen. Forscher arbeiten derzeit daran, wie wir unser Gehirn mit dem Internet verbinden. Beispielsweise indem wir Kopfhörer aufziehen, um dann mit unseren Gehirnströmen ein Videospiel zu spielen.

positionen: Sind auch Anwendungen in der Strafverfolgung denkbar?

Marc Goodman: Ganz sicher. Das hat ein Fall in Indien kürzlich gezeigt. Dort war eine Frau angeklagt, ihren Verlobten ermordet zu haben. Sie musste dann während des Prozesses eine Art Live-MRT machen, sodass man die Gehirnaktivität direkt verfolgen konnte. Die Polizei zeigte der Frau, während diese in dem MRT-Gerät war, Fotos vom Tatort. Der anwesende Neurologe konnte dann anhand der Gehirnaktivität feststellen, dass sie sich an dem Tatort aufgehalten hatte. Das reichte, um die Frau wegen Mordes zu verurteilen. Auch das wäre ein Fall für einen Neuro-Ethiker.

positionen: Herr Goodman, wir danken Ihnen für das Gespräch.

Marc Goodman
Marc Goodman ist mit dem Thema Cyber- Sicherheit groß geworden. Als er in den 1990er-Jahren in Los Angeles als Streifenpolizist unterwegs war, waren Computer nur bessere Schreibmaschinen. Sein erster Cyber-Sicherheitsfall war eine interne Untersuchung wegen Datenmissbrauchs im Jahr 1995. Seine berufliche Tätigkeit forderte den US-Amerikaner, der seinen MBA in Harvard und einen „Master of Science in the Management of Information Systems“ an der London School of Economics erworben hat, immer wieder heraus. Während seiner Beratungstätigkeit u. a. für Interpol , UN, NATO und die US-Regierung wurde ihm bewusst, wie sehr Kriminelle und Terroristen der Polizei immer einen oder mehrere Innovationsschritte voraus sind. Im Silicon Valley tauchte Goodman für einige Zeit in die Welt der Entwickler ein, um zu verstehen, welche Implikationen die neuesten wissenschaftlichen Errungenschaften für den Durchschnittsbürger haben. 2011 gründete er das Future Crimes Institute, um erfahrene Experten zusammenzubringen und um zu verhindern, dass Produkte und Dienstleistungen im Netz missbraucht werden. Ein ähnliches Ziel verfolgt die Singularity University nahe San Francisco, an der Goodman unterrichtet.

Insights

Insight

Schluss mit Glasschränken: LGBTQ+ und die Chefetage

Weltweit identifizieren sich Millionen Menschen als LGBTQ+, jedoch sind Top-Führungskräfte, die s...

Insight

Ein Chef, der seine Nachfolge nicht regeln kann, ist fehl am Platz

Kolumne von Klaus Hansen für den Handelsblatt-Expertenrat 17. Oktober 2018

Insight

Was Bayern von einem "CEO" Söder erwarten darf

Kolumne von Klaus Hansen für den Handelsblatt-Expertenrat 3. Oktober 2018