Manfred Kloiber: Herr Koch, ist denn die Gefahr durch die Vermischung von privatem und geschäftlichem Gebrauch dieser Anmeldedaten wie der Windows Live ID wirklich so groß?
Wolfram Koch: Die Gefahr ist genau so groß. Wenn ich also meine Passwörter zu Hause wie auch in der Firma verwende, kann ich die Systeme nicht vernünftig sichern, weil zu Hause habe ich natürlich ganz andere Anforderungen an die Sicherheit. BKA wie auch Verfassungsschutz haben mir persönlich bestätigt, dass Deutschland im Fadenkreuz internationaler Geheimdienste steht. Das sind alle möglichen Geheimdienste der Welt, die wirklich die Deutschen im Fadenkreuz haben.
Kloiber: Wie viele Angriffe dieser Art gibt es denn?
Koch: Man kann nur schätzen. Experten sagen, dass, weil ja Deutschland wirklich ein Land ist, das auszuspähen gilt, eigentlich jeden Tag häufig angegriffen wird. Und deshalb vermutet man, dass wirklich alle großen Behörden, Konzerne und auch mittelständische Unternehmen häufiger Angriffe zu erleiden haben.
Kloiber: Was tun die Regierungen, beziehungsweise die Sicherheitsorgane hier in Deutschland, also Verfassungsschutz, Bundesnachrichtendienst, aber auch das Bundesamt für die Sicherheit in der Informationstechnik, dagegen?
Koch: Das Bundesamt für Verfassungsschutz wie auch das BSI machen Sensibilisierungsgespräche – hört sich erstmal gut an, aber das ist eine reine Prävention. Das heißt, die Behörden gehen her und informieren Untenehmen: Wie kann ich in meinem Unternehmen Sicherheit wirklich darstellen? Und das geht ganz konkret so: Man trennt wichtige Informationen ganz hart vom Internet. Beim BSI hat man mir erzählt, das Sicherheit sehr, sehr, sehr unbequem sein muss, weil sonst ist Sicherheit nicht sicher. Das heißt wirklich, das Entwicklungsnetz muss hart vom Internet abgetrennt sein. Wie man dann die Daten transportiert, ist natürlich sehr schwierig.
Kloiber: Herr Koch, eigentlich geht es ja darum, das man mit der Windows Live ID den IT-Verantwortlichen komfortable Management-Tools anbieten wollte, wo man eben halt auch die Volumen-Lizenzen, zum Beispiel im Unternehmen, mit Namen hinterlegen kann. Dieser Komfort stellt sich jetzt aber als Schuss nach hinten dar, weil dadurch eine Sicherheitslücke aufgetreten ist. Was sagt denn Microsoft dazu?
Koch: Microsoft sagt an dieser Stelle, dass sie diese Sicherheitslücke schon erkannt haben. Ich habe mit den Geheimdiensten gesprochen und die sagen, alle Geheimnisse streben immer nach jeder Art von Namenslisten, weil sie dadurch klare Angriffsziele bekommen. Nun kann Microsoft nicht einfach hergehen und diese wunderbaren Namenslisten einfach wegschließen oder gar eliminieren, weil sie erleichtern ja den Administratoren im Unternehmen die Arbeit. Sie schaffen Transparenz, sie schaffen Kostenkontrolle. Und deshalb möchte man in der Zukunft einfach diesen Zugang sichern. Wie das genau geschehen soll, dazu hat sich Microsoft noch nicht geäußert. Ich gehe davon aus, das man vermutlich ein ähnliches Verfahren wie bei Microsoft Sourcecodes einführen wird. Hier geht es so, dass man neben der Windows Live ID noch eine Smartcard zur Authentifizierung am Server hat.
Kloiber: Wolfram Koch erklärte uns, wie in deutschen Unternehmen wertvolle Informationen abgefischt werden. Vielen Dank.
Wolfram Koch: Die Gefahr ist genau so groß. Wenn ich also meine Passwörter zu Hause wie auch in der Firma verwende, kann ich die Systeme nicht vernünftig sichern, weil zu Hause habe ich natürlich ganz andere Anforderungen an die Sicherheit. BKA wie auch Verfassungsschutz haben mir persönlich bestätigt, dass Deutschland im Fadenkreuz internationaler Geheimdienste steht. Das sind alle möglichen Geheimdienste der Welt, die wirklich die Deutschen im Fadenkreuz haben.
Kloiber: Wie viele Angriffe dieser Art gibt es denn?
Koch: Man kann nur schätzen. Experten sagen, dass, weil ja Deutschland wirklich ein Land ist, das auszuspähen gilt, eigentlich jeden Tag häufig angegriffen wird. Und deshalb vermutet man, dass wirklich alle großen Behörden, Konzerne und auch mittelständische Unternehmen häufiger Angriffe zu erleiden haben.
Kloiber: Was tun die Regierungen, beziehungsweise die Sicherheitsorgane hier in Deutschland, also Verfassungsschutz, Bundesnachrichtendienst, aber auch das Bundesamt für die Sicherheit in der Informationstechnik, dagegen?
Koch: Das Bundesamt für Verfassungsschutz wie auch das BSI machen Sensibilisierungsgespräche – hört sich erstmal gut an, aber das ist eine reine Prävention. Das heißt, die Behörden gehen her und informieren Untenehmen: Wie kann ich in meinem Unternehmen Sicherheit wirklich darstellen? Und das geht ganz konkret so: Man trennt wichtige Informationen ganz hart vom Internet. Beim BSI hat man mir erzählt, das Sicherheit sehr, sehr, sehr unbequem sein muss, weil sonst ist Sicherheit nicht sicher. Das heißt wirklich, das Entwicklungsnetz muss hart vom Internet abgetrennt sein. Wie man dann die Daten transportiert, ist natürlich sehr schwierig.
Kloiber: Herr Koch, eigentlich geht es ja darum, das man mit der Windows Live ID den IT-Verantwortlichen komfortable Management-Tools anbieten wollte, wo man eben halt auch die Volumen-Lizenzen, zum Beispiel im Unternehmen, mit Namen hinterlegen kann. Dieser Komfort stellt sich jetzt aber als Schuss nach hinten dar, weil dadurch eine Sicherheitslücke aufgetreten ist. Was sagt denn Microsoft dazu?
Koch: Microsoft sagt an dieser Stelle, dass sie diese Sicherheitslücke schon erkannt haben. Ich habe mit den Geheimdiensten gesprochen und die sagen, alle Geheimnisse streben immer nach jeder Art von Namenslisten, weil sie dadurch klare Angriffsziele bekommen. Nun kann Microsoft nicht einfach hergehen und diese wunderbaren Namenslisten einfach wegschließen oder gar eliminieren, weil sie erleichtern ja den Administratoren im Unternehmen die Arbeit. Sie schaffen Transparenz, sie schaffen Kostenkontrolle. Und deshalb möchte man in der Zukunft einfach diesen Zugang sichern. Wie das genau geschehen soll, dazu hat sich Microsoft noch nicht geäußert. Ich gehe davon aus, das man vermutlich ein ähnliches Verfahren wie bei Microsoft Sourcecodes einführen wird. Hier geht es so, dass man neben der Windows Live ID noch eine Smartcard zur Authentifizierung am Server hat.
Kloiber: Wolfram Koch erklärte uns, wie in deutschen Unternehmen wertvolle Informationen abgefischt werden. Vielen Dank.