SMS mit seltsamen Links, Cyberattacken, nicht oder nicht ganz gelöschte Daten und das Problem mit der Cloud: In Zeiten von Home Office und immer stärkerer Digitalisierung nehmen auch die Betrugsversuche und Datenleaks immer weiter zu. Wir haben mit dem Linzer Online-Spezialisten Günter Weixlbaumer über die aktuelle Situation geplaudert.
Die klassische Kriminalität und die Aufklärungsraten hat Österreich mehr oder weniger im Griff, bei der Internetkriminalität sind die Anstiege jedoch enorm, Innenminister Karl Nehammer bezeichnet die Entwicklung als „besorgniserregend und herausfordernd“. Für 2021 und 2022 wurden vom Finanzministerium darum ein Budget von zusätzlichen 20 Millionen Euro für den Bereich Cybersicherheit freigegeben.
Betroffen sind aber nicht nur Unternehmen oder staatliche Institutionen. Aktuell werden zum Beispiel tausende Landsleute teilweise mehrmals pro Woche per SMS angeschrieben, dass ein Paket oder eine Lieferung nicht zugestellt werden konnte. Wer den Link aufruft und den Anweisungen folgt, installiert eine Schadsoftware, mit der die Daten abgefischt werden. Ein weiteres großes Problem ist der Boom in Sachen Home Office – während am Firmen-Arbeitsplatz meist sehr passable Sicherheitsvorkehrungen in Form von Firewalls und sicheren Passwörtern zur Anwendung kommen, ist beim PC daheim meist Tür und Tor geöffnet, weiß Szenekenner Günter Weixlbaumer, Inhaber der renommierten Internetagentur chilischarf aus Linz:
Günter Weixlbaumer, haben Sie in der Coronakrise eine Steigerung des Unsicherheitsgefühls oder der Bedrohung in Sachen Daten und Datenklau bemerkt?
Ich würde es nicht als gestiegenes Unsicherheitsgefühl bezeichnen, aber in der Pandemie ist natürlich eines passiert: Sehr viele arbeiten plötzlich im Home Office von zuhause aus, wo man bei weitem nicht die hohen Sicherheitsstandards wie im Büro hat. Das ist natürlich schon ein Riesenproblem.
Bei Zoom & Co. etwa wurden zu Beginn der Pandemie einige Sicherheitslücken bekannt.Wie weit hat man das in den Griff bekommen – oder gibt es hier noch die Gefahr des Mitlauschens?
Ja, Zoom hatte letztes Jahr eine Sicherheitslücke, aber das dürfte jetzt behoben sein, da ist alles abhörsicher verschlüsselt. Obwohl auch klar ist, dass es für einen Profi-Hacker fast keine Grenzen gibt. Im Worst Case hört jemand bei einem belanglosen Firmenmeeting mit, aber da geht‘s ja meist um keine Kreditkartendaten oder ähnlich sensible Bereiche. Hier sehe ich nur ein geringes Bedrohungsszenario. Zoom & Co. standen stark in der Kritik und hatten genug Zeit, ihre Sicherheitslücken zu schließen. Es wurden danach medial auch keine großen Fälle mehr bekannt
Die hohe Politik stolperte kürzlich über angeblich „gelöschte WhatsApp- uns SMS-Verläufe. Wie ist das denn nun: Wenn man Daten vom Handy oder vom Computer ganz klassisch löscht – wie sicher kann man sein, dass diese tatsächlich „für immer“ weg sind?
Das Problem: Auf der Cloud ist nach wie vor vieles auffindbar – etwa in Form von Backups.Bei der Computer-Festplatte ist es relativ einfach: Wenn man die Daten darauf löscht, sind sie trotzdem noch da. Die Daten wurden nur als „Gelöscht“ markiert.
Und herkömmliches Formatieren hilft nix?
Nein, nur bedingt. Bei einer normalen Formatierung bleiben die Daten auf der Platte. Es wird quasi nur das Inhaltsverzeichnis, in dem steht, wo sich was befindet, gelöscht. Die restlichen Seiten sind aber noch da. Es gibt aber jede Menge Programme, mit denen man ein „Sicheres Formatieren“ durchführen kann. Dabei wird jeder Part der Festplatte mit einem Nuller oder Einser überschrieben. Damit sind alle Daten weg, da kann selbst ein Spezialist nichts mehr machen.
Warum haben Sebastian Kurz & Co. dann damals überhaupt ihre Festplatten geschreddert?
Schreddern ist natürlich wesentlich einfacher, schneller und es sind weniger Leute eingebunden. Eine 2 Terrabyte-Festplatte zu überschreiben dauert, jeder Sektor muss überschrieben werden, man muss das entsprechende Programm kaufen, braucht einen Mitarbeiter, der sich auskennt und natürlich auch viel Zeit. Das alles hinterlässt auch Spuren wie Rechnungen, Arbeitszeit und involvierte Personen. Beim Schreddern wirft man vorne die Festplatte rein und hinten kommt das Granulat heraus. Ein „Sicheres Formatieren“ macht man ja auch nur, wenn man die Festplatte oder den Computer weiter verwenden will, was hier offensichtlich nicht der Fall war.
Hat Sie das eigentlich verwundert, dass selbst führende Politiker auf WhatsApp und anderen Online-Kanälen so sorglos miteinander kommunizieren?
Ich würde das schon ein bisschen grundnaiv nennen – obwohl die Kommunikation via WhatsApp relativ sicher ist, weil sie Punkt-zu-Punkt-verschlüsselt ist. Das Problem war, dass die Handydaten nicht ordentlich gelöscht wurden bzw. auf die Backups vergaßen, die irgendwo auf einer Festplatte lagen.
Die Backups und Daten liegen meist in irgendeiner Cloud, deren Server und Festplatten irgendwo in den USA oder sonstwo auf der Welt stehen. Wenn ich meine Daten aus dieser Cloud lösche, wie sicher kann ich sein, dass diese tatsächlich weg sind?
Die Problematik ist ganz einfach gesagt, dass ein Cloudespace mit allen Daten nichts anderes als eine Festplatte ist, die bei einer Firma irgendwo auf der Welt steht. In den jeweiligen seitenlangen Nutzungsbedingungen, die kaum wer versteht, halten sich die Anbieter sehr allgemein und bedeckt. Worin sich alle Anbieter allerdings einig sind: dass keiner von ihnen am Ende des Tages eine Verantwortung oder Haftung übernimmt. Wenn man seine Bilder zu Apple oder sonstwohin legt, gibt es etwa keine Garantie, dass diese Daten nicht verloren gehen. Das Problem ist oft auch, dass zwar die Daten selbst verschlüsselt werden, nicht aber die Backups. Da wird von den großen Anbietern momentan gerade dran gearbeitet. Der allergrößte Unsicherheitsfaktor ist und bleibt aber der sorglose Umgang mit dem Passwort.
Sie meinen klassische Passwörter wie 12345678 oder Schatzi69?
Ja, dabei ginge das ganz einfach mit einem Passwortgenerator mit 16 Stellen, Zahlen und Sonderzeichen. Die immer stärker angewandte Zwei-Faktor-Authentifizierung – also mit Passwort und einem zweiten Gerät wie dem Handy beim Telebanking – macht den Zahlungsverkehr zusätzlich sicherer.
Warum ist ein Passwort mit einem Hundenamen und dessen Geburtsdatum wie Mimi131215 für einen Hacker aus Russland leichter zu knacken als 12XY33uioKax? Der Hacker kennt ja weder meinen Hund noch sein Geburtsdatum?
Das Problem an der Sache ist, dass viele dieses Passwort auf allen möglichen unsicheren Single-Seiten oder Foto-Communitys verwenden, von denen manche grobe Sicherheitslücken haben. Knackt ein Hacker eine dieser Seiten, versucht er es mit diesem Passwort sofort bei den großen Anbietern wie Facebook, Amazon & Co., meist mit Erfolg. Die meisten verwenden ja immer dieselbe Mailadresse und dasselbe Passwort. Wichtige Faustregel: Je mehr Zeichen, desto schwieriger wird ein Passwort gehackt. Bei vier Zahlen etwa hat man nur 9.999 Möglichkeiten.
Kommen weitere Stellen, Zahlen, Groß/Kleinbuchstaben und Sonderzeichen dazu, wird‘s immer schwieriger. Generell sollte man nicht dasselbe Passwort für überall verwenden, auch wenn das sehr bequem ist. Und natürlich sollte man regelmäßig ein neues, von der Zahlen- und Buchstabenfolge „unlogisches“ Passwort generieren – am besten mit 16 Stellen. Eine Idee dazu: Einfach die Anfangsbuchstaben und Zahlen aus einem langen Satz, den man leicht auswendig merken kann. Etwa Mein kleiner Hund heißt Mimi und ist 16 Jahre alt – das ergäbe dann „MkHhMui16Ja“.
Macht es in Sachen Datenschutz einen Unterschied, ob meine Cloud bei einem US-amerikanischen oder einem europäischen Anbieter liegt?
Ja natürlich. Auch wenn die Amerikaner Rechenzentren in Deutschland oder sonstwo in Europa haben: Am Ende des Tages kann die US-Regierung einen Zugriff auf alle Daten fordern, auch auf Server, die in Europa liegen. In der EU ist die Privatsphäre nach wie vor ein relativ hohes Gut – anders als in den USA. Wenn allerdings Daten verschlampt werden oder verloren gehen, sind die europäischen Anbieter in ihrem „Kleingedruckten“ um nichts besser als die amerikanischen Kollegen.
Welche Lösung gibt es für Unternehmen mit sensiblen Daten?
Das ist relativ einfach: Wir etwa haben uns eine eigene Cloud gebaut, das geht problemlos und kostet nicht die Welt. Die Daten sind damit immer in unserer Obhut.
Ein anderes Problem ist das Kundenservice. Habe ich als Unternehmen zum Beispiel ein Problem mit meiner Facebook- oder Instagram-Seite, gibt es schlichtweg keinen Ansprechparter. Wird meine Seite gesperrt oder gar gelöscht, besteht keinerlei Möglichkeit, rechtlich dagegen vorzugehen...
Da ist unser Gesetzgeber gefordert. Facebook ist da schon sehr extrem, als Google-Kunde hat man aber mehr Möglichkeiten der Kontaktaufnahme – etwa wenn man Agenturpartner ist. Aber man muss auch sagen: Wenn man die Nutzungsbedingungen von Facebook & Co. akzeptiert, weiß man eigentlich sehr genau, worauf man sich einlässt.
