Array ( [0] => finanzdienstleist [1] => infogesellschaft [2] => finanzdienstleistungen [3] => infogesellschaft [4] => sicherheit [5] => europakompakt [6] => justiz_und_inneres )

Internetsicherheit [DE]

Sicherheit in der Online-Welt ist unerlässlich, damit das Internet sein ökonomisches Potential ausschöpfen kann – Experten sind sich jedoch einig, dass es keine einfache Lösung für ein Problem gibt, das viele Dimensionen aufweist: technologische, gesellschaftliche, wirtschaftliche und psychologische.

Hintergrund

Die Europäische Agentur für Netz- und Informationssicherheit (ENISA), mit Sitz in Heraklion, Griechenland, klassifiziert Bedrohungen im Internet gemäß dem Moment, in dem Experten meinen, diese Bedrohungen würden in: ‚aktuelle’, ‚entstehende’ und ‚zukünftige’ Risiken münden. ENISA beschreibt sich selbst als ein ‚Exzellenzzentrum für die EU-Mitgliedstaaten und EU-Institutionen im Bereich Netzwerk- und Informationssicherheit, das professionelle Beratung und Empfehlungen liefert’.

Aktuelle Risiken gelten für das kommende Jahr. Ab Sommer 2007 betrifft dies:

SpamBotnetsPhishingIdentitätsdiebstahlBGP Hijacking (die unberechtigte Übernahme von IP-Adressen durch die Manipulation von Route-Servern), Instant Messaging („Internet-Chat“), Peer-to-Peer-SystemeMalware bei Mobiltelefonen, Hacker von Aktienmärkten, Sicherheitslücken bei Software und mangelnder Schutz (z.B. Antivirenprogramme) bei einigen Geräten.

Eine kürzlich von Harris Interactive durchgeführte und von Microsoft finanzierte Umfrage zeigte, dass in den USA fast 20% der Erwachsenen bereits einem Internetbetrug zum Opfer fielen.

Das “Top Ten”-Projekt von OWASP (Open Web Application Security Project; Sicherheitsprojekt für Webanwendung), ein Dokument für die Sicherung von Webanwendungen, das von der Kartellbehörde und dem Verteidigungsministerium der USA unterstützt wird, nennt die folgenden ‚ernsthaftesten Sicherheitslücken bei Webanwendungen’ im Jahr 2007:

Cross-Site Scripting (XSS), SQL-Injektionunerwünschte oder schädliche Dateiausführung, unsichere direkte Referenz auf ein ObjektCross-Site Request Forgery (seitenübergreifende Manipulation eines Webseitenaufrufs), Informationsverlust und unangemessene Fehlerbehandlung, fehlerhafte Authentifizierung und fehlerhaftes Session-Management (Verwaltung der Benutzer-Sessions), unsichere Speicherung von verschlüsselten Daten, unsichere Kommunikation sowie Versagen bei der Beschränkung des URL-Zugangs.

Entstehende und zukünftige Risiken entwickeln sich laut ENISA vermutlich aus der Allgegenwart von IT-Systemen und der uneingeschränkten Abhängigkeit von ihnen. Dies schließt die zunehmende Automatisierung von Haushalten ein sowie die Möglichkeit, Haushaltsgeräte ferngesteuert zu bedienen, wie beispielsweise die Heizung oder die Klimaanlage über das Internet und möglicherweise sogar die Verwendung von Sicherheitslücken bei Haushaltsgeräten, um die öffentlichen Infrastrukturen anzugreifen (z.B. verteilte Denial of Service Attacks (koordinierte Angriffe auf einen Server) von Stromnetzwerken, die internetgesteuerte Heizungen und Klimaanlagen verwenden). 

Die größten Risiken könnten außerdem von der unsichtbaren Datensammlung an öffentlichen Plätzen (z.B. Mautsysteme, Überwachungskameras und Consumer Tracking (Befragung von Verbraucherhaushalten und Einzelpersonen)) ebenso wie in Privaträumen (z.B. Speicherung von Telekommunikationsdaten und Nutzerdaten durch Betreiber von Internet-Suchmaschinen) sowie bei tragbaren Geräten wie Mobiltelefonen entstehen.

Probleme

  • Vertrauen der Verbraucher

Es herrscht die allgemeine Übereinkunft, dass es fast unmöglich sei, den Schaden durch Internetkriminalität zu messen - vor einigen Jahren war dieser, Schätzungen zu Folge, vergleichbar mit den gesamten Einkommen des weltweiten elektronischen Handels (E-Business). Experten sind sich einig, dass das mangelnde Vertrauen der Verbraucher, das daraus resultiert, dass Risiken von Internettransaktionen kompromittiert würden, besonders nachteilig für E-Business sei und beachtliche Sachschäden nach sich ziehe. Untersuchungen von 2007 ergaben, dass ein Drittel der Verbraucher eher einen Einkauf auf einer Seite mit dem Zertifikat „Hacker Safe“ tätigen würde, als auf einer Seite ohne diese Angabe. Dies zieht nicht die Ausweitung des E-Commerce in Betracht, die herbeigeführt werden könnte, wenn das Internet allgemein als sichere Handelsumgebung erachtet werden würde.

In seiner Resolution vom 6. September 2007 zu dem Grünbuch der Kommission zum gemeinschaftlichen Besitzstand im Verbraucherschutz stellte das Europaparlament fest, „dass es angezeigt erscheint, die Fragen zum Verbraucherschutz zu prüfen, wenn der Verbraucher (…) einen Vertrag über die Lieferung von digitalen Inhalten, Software und Daten abschließt“.

  • Kritische Infrastruktur

Das Grünbuch der Kommission über ein „Europäisches Programm für den Schutz kritischer Infrastrukturen“ (2005) definiert IKT-Systeme als „Critical Information Infrastructure (CII)“ (kritische Informationsinfrastruktur). Weiterhin erklärt es, dass solche Systeme wesentlich für den Betrieb anderer kritischer Infrastrukturen seien, so wie Telekommunikation, Computer/Software, Internet, Satelliten etc.

Laut dem Grünbuch sollte der Schutz kritischer Informationsinfrastruktur (Critical Information Infrastructure Protection; CIIP) als ein ‚sektorenübergreifendes Phänomen’ betrachtet und nicht auf bestimmte Sektoren beschränkt werden. Das Programm zielt darauf ab, das Leistungsvermögen kritischer Infrastruktur bei Ausfällen, Angriffen oder Unfällen für ein festgelegtes Minimum an Diensten aufrecht zu erhalten und die Zeit der Behebung und des Schadens zu minimieren. Der Schutz kritischer Informationsinfrastruktur soll mit dem Schutz kritischer Infrastruktur anderer als Informations- und Kommunikationstechnologien in engem Zusammenhang stehen.

  • Cyberkriminalität

Mit einer Konvention von 2001 hat der Europarat für eine Reihe von Angriffen offiziell den Begriff „Cyberkriminalität“ eingeführt. Einige der Angriffe machen lediglich Gebrauch von Computern für Verbrechen, die bereits in der „echten Welt“ strafbar sind, andere sind jedoch Fälle reiner Computerkriminalität. Dies schließe ‚Angriffe auf die Vertraulichkeit, Sicherheit und Verfügbarkeit von Computerdaten und –systemen, wie beispielsweise illegaler Zugang und illegale Unterbrechung, Störung von Daten und Systemen und Missbrauch von Geräten zu diesem Zweck, ebenso wie Betrug und Fälschung, die mit Computern in Zusammenhang stehen’, ein. Seitdem hat die EU diese Terminologie gebilligt und nutzt sie nun ebenfalls (siehe LinksDossier über Cyberkriminalität). 

Die Konvention des Europarats verpflichtet ihre Parteien, ‚eine solche Gesetzgebung und andere Maßnahmen anzunehmen, um sicher zu stellen, dass bestehende kriminelle Handlungen durch effektive und angemessene Sanktionen zu bestrafen sind, die Freiheitsentzug einschließen’.

Bis August 2007 haben nur 13 der 27 EU-Mitgliedstaaten die Konvention zu Internetkriminalität ratifiziert, obwohl sie alle EU-Staaten unterzeichnet haben. Innerhalb der ‚alten’ Staaten der EU-15 ist die Konvention bisher nur in Dänemark, Frankreich, den Niederlanden und Finnland in Kraft getreten.

Positionen

Die Kommissarin für die Informationsgesellschaft, Viviane Reding, sagte während einer Konferenz in Helsinki am 28. September 2006, besonders in Hinblick auf Sicherheit müsse man vom Reden zum Handeln übergehen. Die Kommission schlafe nicht, aber sie könne den Kampf nicht allein gewinnen. Man brauche eine Kultur der Sicherheit, in der jeder seine Rolle spiele. Diese bedeute, so Reding, dass nationale Regierungen Best-Practice-Methoden der Politik nicht nur festlegen, sondern auch umsetzen müssten. Sicherheitsbedrohungen seien jedoch grundsätzlich grenzüberschreitend. Die internationale Koordinierung der Überwachung von Risiken und der Reaktionen auf diese sei eine der wichtigsten Aufgaben der ENISA (Europäische Agentur für Netz- und Informationssicherheit).

Ein zweiter Bereich, in dem Handlungsbedarf bestehe, sei die Beschaffung zuverlässiger und unabhängiger Informationen über Sicherheitsfehler und das Vertrauen der Verbraucher. Dies sei auch der Grund, so Reding, warum man ENISA aufgefordert habe, gemeinsam mit Mitgliedstaaten und Stakeholdern dringend weiterhin an der Entwicklung eines Rechtsrahmens zur Datensammlung zu arbeiten, womit die Sammlung und Analyse europaweiter Daten sichergestellt werden solle. Die Wirtschaft müsse hier ebenfalls einen Teil übernehmen: Software-Hersteller und Anbieter von Internetdiensten müssten einen angemessenen und überprüfbaren Grad an Sicherheit gewährleisten. Reding erklärte, in ihren Augen seien Anzeichen von Fortschritt im Softwaresektor erkennbar. Sie verfolge dies mit Interesse.

Die Leitlinien der ENISA, der Europäischen Agentur für Netz- und Informationssicherheit, besagen unter der Überschrift ‚Europas Informationsgesellschaft – Ist die Zukunft gefährdet?’ („Europe’s Information Society – the future at risk?“), dass die wachsende Zahl an Sicherheitslücken bereits zu bedeutendem finanziellen Schaden geführt und das Vertrauen der Verbraucher untergraben habe. Gleichzeitig sei die Informationsgesellschaft in allen Lebensbereichen unabdingbar. Einzelpersonen, EU-Institutionen, die öffentlichen Verwaltungen in den Mitgliedstaaten und Unternehmen hätten Sicherheitstechnologien, Verfahren zum Sicherheitsmanagement und Informationskampagnen sowie Forschungsprojekte entwickelt, um die Netzwerk- und Informationssicherheit zu stärken. Die technische Komplexität von Netzwerken und Informationssystemen, die Vielzahl miteinander verbundener Produkte und Dienste und die große Zahl an privaten und öffentlichen Akteuren, die ihre eigene Verantwortung trügen, gefährdeten das reibungslose Funktionieren des Binnenmarktes. Die modernisierte Informationsgesellschaft in Europa und dessen Wirtschaft, die auf einer digitalen Wirtschaft basiere, seien daher möglicherweise gefährdet.

Jean-Philippe Courtois, Vorstandsvorsitzender bei Microsoft für die Region Europa, Naher Osten und Afrika sagte, als Branchenführer habe Microsoft die Verantwortung, sicherzustellen, dass die Nutzer von einem sicheren Dienst profitierten. Wenn das wahre Potential von Online-Technologien realisiert werden solle, hätten alle, sowohl Regierungen als auch Unternehmen, ein Interesse daran, sicherzustellen, dass das Internet ein funktionsfähiges Instrument für Verbraucher bleibe.

In einem Aufsatz mit dem Titel „The psychology of security“ (deutsch: ‚Die Psychologie der Sicherheit’) erklärt der Experte für Internetsicherheit Bruce Schneier, Sicherheit sei sowohl ein Gefühl als auch eine Realität; dies sei nicht das gleiche. Schneier fährt fort, das Gefühl und die Realität der Sicherheit seien verschieden, sie seien jedoch eng miteinander verbunden. Man mache den besten Sicherheitsausgleich – und damit meine er einen Ausgleich, der wahre Sicherheit zu angemessenen Kosten bringe – wenn das Sicherheitsgefühl mit der Sicherheitsrealität übereinstimme. Wenn die beiden Komponenten jedoch nicht mehr aufeinander ausgerichtet seien, verstehe man Sicherheit falsch.

Er fügt hinzu, in der Vergangenheit habe er ‚lindernde Sicherheitsmaßnahmen’ kritisiert, die den Menschen nur als ein „Sicherheitstheater“ ein Gefühl von Sicherheit gegeben haben. Würden sie jedoch richtig verwendet, könnten sie dazu beitragen, das Sicherheitsgefühl zu steigern, sodass dieses sich der Sicherheitsrealität annähere. Natürlich habe ‚Sicherheitstheater’ seinen Preis, ebenso wie wahre Sicherheit. Es könne Geld, Zeit, Fähigkeiten, Freiheiten usw. kosten; meistens überträfen die Kosten die Nutzen. ‚Sicherheitstheater’ sei kein Ersatz für wahre Sicherheit. Weiterhin würde ein zu starkes ‚Sicherheitstheater’ das Sicherheitsgefühl der Menschen auf ein Niveau heben, das die Wirklichkeit überträfe, was ebenfalls nicht gut sei. Aber verwendet in Verbindung mit wahrer Sicherheit könne gut platziertes ‚Sicherheitstheater’ genau das sein, was man benötige, um sowohl sicherer zu sein als auch sich sicherer zu fühlen.

Der angesehene, auf die Informationstechnologie spezialisierte Ökonom Hal Varian schrieb folgendes in einem Aufsatz für die New York Times: Ein Grund, warum Computersicherheit in der Praxis so mangelhaft sei, bestehe in der diffusen Verantwortlichkeit. Man müsse beispielsweise die Angriffe vor ein paar Monaten betrachten, bei denen Computervandalen sich den Zugang zu Computern in relativ ungesicherten Universitätsnetzwerken verschafft und diese genutzt hätten, um Yahoo und andere große Internetseiten zum Zusammenbruch zu bringen. Obwohl die Universitäten die Übernahme ihrer Computer als störend empfunden hätten, trugen sie nicht den Großteil der Kosten der Angriffe auf Yahoo. Aber wenn Universitäten einen Teil der Haftung für die Schäden an Dritten trügen, hätten sie einen stärkeren Anreiz, ihre Netzwerke sicherer zu gestalten.

Das gleiche Problem entstehe bei der Bereitstellung von Breitband-Hochgeschwindigkeitsdiensten für Privathäuser. Diese Netzwerke seien automatisch stets mit dem Internet verbunden, was sie anfällig mache, für Angriffe im Cyberspace verwendet zu werden. Wenn sich der Computer eines einzelnen Nutzers zu Eigen gemacht worden sei, solle er dann Haftung für die Kosten des Angriffs auf jemand anderen übernehmen? Der durchschnittliche Nutzer sei weitgehend ahnungslos, wie er seinen Computer vor Übergriffen schützen könne, daher sei es sinnlos, ihn haftbar zu machen. Dem Anbieter von Internetdiensten Haftung zu übertragen mache mehr Sinn.

Zeitstrahl

Weitere Informationen

Subscribe to our newsletters

Subscribe