Manfred Kloiber: In vielen Ländern haben Datenschutzbeauftragte Untersuchungen eingeleitet. Das amerikanische Heimatschutzministerium und die Bundespolizei FBI ermitteln schon. Und in einem Punkt sind sich die Experten wohl einig: Die Sicherheitsvorkehrungen beim Playstation-Network ließen zu wünschen übrig. Was wird denn am heftigsten kritisiert, Peter Welchering?
Peter Welchering: Da gibt es glaube ich eine ganze Anzahl von Punkten. Die kanadische Datenschutzbeauftragte Jennifer Stoddart beispielsweise wollte erst gar nicht fassen, dass Passwörter wirklich unverschlüsselt gespeichert worden sind. Aber es gibt einen zweiten Punkt: Vom 17. bis zum 19. April hatten die Hacker Zugriff auf das Datenbanksystem des Playstation Networks. Also wenn man das mal so herunterbricht, waren das irgendwas zwischen 48 oder vielleicht sogar weit über 50 Stunden. Und das ist überhaupt nicht bemerkt worden in den ersten Tagen. Und da sagen die Sicherheitsexperten, das geht überhaupt nicht, denn wenn in Datenbanken etwas ungewöhnliches passiert und sich da jemand herumtreibt, der da eigentlich nichts zu suchen hat, da muss sofort Alarm geschlagen werden, da müssen die Systemadministratoren sofort nachschauen: Was ist da los? Zur Not müssen sie sogar eine solche Datenbank dann eben vom Netz nehmen.
Kloiber: Machen wir mal den Vergleich, gucken wir auf andere Unternehmen mit ihren hochsensiblen Daten, wie zum Beispiel mit ihren Netzwerken und Datenbanksystemen. Wie sichern die ab?
Welchering: Da gibt es zwei ganz grundlegende Methoden, die in der Industrie hier im Einsatz sind: Zum einen läuft in der Regel sogenannte Monitoring-Software mit. Und die schaut sich an: Was passiert denn da, in so einem Datenbanksystem? Gibt es irgendwelche Anomalien, also ungewöhnliche Systemaktivitäten? Das können beispielsweise plötzlich sehr viel Verbrauch von Rechenzeiten sein oder werden plötzlich sehr viele Dateien kopiert oder wird auf Datenfelder zugriffen, auf die für gewöhnlich so gut wie gar nicht zugegriffen wird. Das Ganze nennt man Anomaliendetektion. Und wenn so etwas passiert, dann schlägt diese Monitoring-Software Alarm. Übrigens: In einigen Rechenzentren – vor allen Dingen bei Banken – geht dann tatsächlich auch so ein Rotlicht an, und es geht tatsächlich auch so eine Art Alarmsirene los. Und der zweite Punkt, die zweite Methode: da werden dann in der Regel eben in regelmäßigen Abständen sogenannte Penetrationstests gefahren. Das sind simulierte Angriffe auf das Netzwerk und auf das Datenbanksystem selbst, bei dem probiert wird, in das Netzwerk, in das Datenbanksystem einzudringen, bei denen simuliert wird, ob man tatsächlich Daten in diesem Datenbanksystem verändern kann. Und bei solchen Penetrationstests findet man in der Regel auch die Schwachstellen oder die Sicherheitslücken, über die solche Angriffe gefahren werden können, und kann sie dann, wenn sie erkannt sind, eben auch schließen. Bei Sony muss man feststellen, da hat es nun den wirklich häufig befürchteten, aber häufig auch für unmöglich erklärten vollkommenen Kontrollverlust über die Daten der Kunden gegeben.
Kloiber: Kontrollverlust der Daten ist ja ein Thema, was mehrschichtig diskutiert wird. Auf der einen Seite, wenn solche Dateneinbrüche passieren – in letzter Zeit sind immer mehr davon passiert – auf der anderen Seite wenn Datenschutzverstöße passieren: Stichwort Google Streetview. Welchen Einfluss hat denn dieser Dateneinbruch bei Sony auf diese Diskussion über den Kontrollverlust?
Welchering: Also man hat in den vergangenen drei Tagen schon feststellen können: Das sorgt auf jeden Fall für sehr, sehr viel mehr Sensibilität. So ein Beispiel: TomTom, ein Hersteller von Navigationsgeräten, hat ja seine Verkehrsdaten weiterverkauft, unter anderem eben an die Niederländische Polizei. Und vor dem Hack auf das Playstation Network wäre dieser Verkauf gar nicht so breit diskutiert worden. Jetzt stellt TomTom sogar dieses Geschäft ein, will es nicht weiterführen, wenn die Kunden da nicht mitmachen. Oder Apple beispielsweise will seine Pläne für das Traffic-Management, das sind Daten, die mit den Ortungsdaten für das iPhone direkt mit erhoben werden, sogar noch einmal überdenken – das hätte es so vorher bestimmt nicht in dieser schnellen Reaktion gegeben.
Kloiber: Der Fall ist ja brandaktuell: Vielleicht erklären Sie uns nochmal, welche Daten denn dieser Navigationsdienstleister TomTom weitergegeben hat.
Welchering: Es waren zwei Arten von Daten, zum einen Staudaten. Da hat TomTom einfach die Daten mit einem Programm, das nennt sich Traffic HD Daten, gesammelt, bei denen es sehr oft auf bestimmten Strecken einfach zu Staus kommt. Und das ist ja auch sehr sinnvoll, denn dann kann man sich verkehrslenkerische Maßnahmen überlegen, um solche Staus aufzulösen. TomTom verkauft diese Daten an unterschiedliche Kommunen, wollte das auch in Deutschland machen, verkauft sie eben aber auch an Ministerien, die dann für die Planung von solchen Verkehrswegen zuständig sind. Und das Zweite, was da mitaufgesattelt wurde, zunächst eben an eine Behörde ging und danach an die Polizei, das waren die bei diesen Staudaten anfallenden Durchschnittsgeschwindigkeiten, die gemessen wurden. Und mit diesen durchschnittlichen Geschwindigkeiten konnte dann eben die niederländische Polizei ausrechnen, an welchen Strecken, auf welchen Strecken es besonders häufig zu Verkehrsverstößen kam. Und da haben sie sich überlegt: Mensch, tolle Idee. Dann stellen wir doch an genau diesen Stellen, wo es ganz häufig zu Geschwindigkeitsüberschreitungen kommt, einfach einmal Radarfallen auf, dann werden die sich schnell innerhalb sehr kurzer Zeit auch vermutlich amortisiert haben.
Peter Welchering: Da gibt es glaube ich eine ganze Anzahl von Punkten. Die kanadische Datenschutzbeauftragte Jennifer Stoddart beispielsweise wollte erst gar nicht fassen, dass Passwörter wirklich unverschlüsselt gespeichert worden sind. Aber es gibt einen zweiten Punkt: Vom 17. bis zum 19. April hatten die Hacker Zugriff auf das Datenbanksystem des Playstation Networks. Also wenn man das mal so herunterbricht, waren das irgendwas zwischen 48 oder vielleicht sogar weit über 50 Stunden. Und das ist überhaupt nicht bemerkt worden in den ersten Tagen. Und da sagen die Sicherheitsexperten, das geht überhaupt nicht, denn wenn in Datenbanken etwas ungewöhnliches passiert und sich da jemand herumtreibt, der da eigentlich nichts zu suchen hat, da muss sofort Alarm geschlagen werden, da müssen die Systemadministratoren sofort nachschauen: Was ist da los? Zur Not müssen sie sogar eine solche Datenbank dann eben vom Netz nehmen.
Kloiber: Machen wir mal den Vergleich, gucken wir auf andere Unternehmen mit ihren hochsensiblen Daten, wie zum Beispiel mit ihren Netzwerken und Datenbanksystemen. Wie sichern die ab?
Welchering: Da gibt es zwei ganz grundlegende Methoden, die in der Industrie hier im Einsatz sind: Zum einen läuft in der Regel sogenannte Monitoring-Software mit. Und die schaut sich an: Was passiert denn da, in so einem Datenbanksystem? Gibt es irgendwelche Anomalien, also ungewöhnliche Systemaktivitäten? Das können beispielsweise plötzlich sehr viel Verbrauch von Rechenzeiten sein oder werden plötzlich sehr viele Dateien kopiert oder wird auf Datenfelder zugriffen, auf die für gewöhnlich so gut wie gar nicht zugegriffen wird. Das Ganze nennt man Anomaliendetektion. Und wenn so etwas passiert, dann schlägt diese Monitoring-Software Alarm. Übrigens: In einigen Rechenzentren – vor allen Dingen bei Banken – geht dann tatsächlich auch so ein Rotlicht an, und es geht tatsächlich auch so eine Art Alarmsirene los. Und der zweite Punkt, die zweite Methode: da werden dann in der Regel eben in regelmäßigen Abständen sogenannte Penetrationstests gefahren. Das sind simulierte Angriffe auf das Netzwerk und auf das Datenbanksystem selbst, bei dem probiert wird, in das Netzwerk, in das Datenbanksystem einzudringen, bei denen simuliert wird, ob man tatsächlich Daten in diesem Datenbanksystem verändern kann. Und bei solchen Penetrationstests findet man in der Regel auch die Schwachstellen oder die Sicherheitslücken, über die solche Angriffe gefahren werden können, und kann sie dann, wenn sie erkannt sind, eben auch schließen. Bei Sony muss man feststellen, da hat es nun den wirklich häufig befürchteten, aber häufig auch für unmöglich erklärten vollkommenen Kontrollverlust über die Daten der Kunden gegeben.
Kloiber: Kontrollverlust der Daten ist ja ein Thema, was mehrschichtig diskutiert wird. Auf der einen Seite, wenn solche Dateneinbrüche passieren – in letzter Zeit sind immer mehr davon passiert – auf der anderen Seite wenn Datenschutzverstöße passieren: Stichwort Google Streetview. Welchen Einfluss hat denn dieser Dateneinbruch bei Sony auf diese Diskussion über den Kontrollverlust?
Welchering: Also man hat in den vergangenen drei Tagen schon feststellen können: Das sorgt auf jeden Fall für sehr, sehr viel mehr Sensibilität. So ein Beispiel: TomTom, ein Hersteller von Navigationsgeräten, hat ja seine Verkehrsdaten weiterverkauft, unter anderem eben an die Niederländische Polizei. Und vor dem Hack auf das Playstation Network wäre dieser Verkauf gar nicht so breit diskutiert worden. Jetzt stellt TomTom sogar dieses Geschäft ein, will es nicht weiterführen, wenn die Kunden da nicht mitmachen. Oder Apple beispielsweise will seine Pläne für das Traffic-Management, das sind Daten, die mit den Ortungsdaten für das iPhone direkt mit erhoben werden, sogar noch einmal überdenken – das hätte es so vorher bestimmt nicht in dieser schnellen Reaktion gegeben.
Kloiber: Der Fall ist ja brandaktuell: Vielleicht erklären Sie uns nochmal, welche Daten denn dieser Navigationsdienstleister TomTom weitergegeben hat.
Welchering: Es waren zwei Arten von Daten, zum einen Staudaten. Da hat TomTom einfach die Daten mit einem Programm, das nennt sich Traffic HD Daten, gesammelt, bei denen es sehr oft auf bestimmten Strecken einfach zu Staus kommt. Und das ist ja auch sehr sinnvoll, denn dann kann man sich verkehrslenkerische Maßnahmen überlegen, um solche Staus aufzulösen. TomTom verkauft diese Daten an unterschiedliche Kommunen, wollte das auch in Deutschland machen, verkauft sie eben aber auch an Ministerien, die dann für die Planung von solchen Verkehrswegen zuständig sind. Und das Zweite, was da mitaufgesattelt wurde, zunächst eben an eine Behörde ging und danach an die Polizei, das waren die bei diesen Staudaten anfallenden Durchschnittsgeschwindigkeiten, die gemessen wurden. Und mit diesen durchschnittlichen Geschwindigkeiten konnte dann eben die niederländische Polizei ausrechnen, an welchen Strecken, auf welchen Strecken es besonders häufig zu Verkehrsverstößen kam. Und da haben sie sich überlegt: Mensch, tolle Idee. Dann stellen wir doch an genau diesen Stellen, wo es ganz häufig zu Geschwindigkeitsüberschreitungen kommt, einfach einmal Radarfallen auf, dann werden die sich schnell innerhalb sehr kurzer Zeit auch vermutlich amortisiert haben.