Bedingt abwehrbereit!
Die Assistentin der „Rosenheim Cops“, Miriam Stockl, benutzt das Passwort „POLIZEI123“. Der Kriminalkommissar Overbeck im „Wilsberg“ hat zwar keinen Vornamen, dafür aber immerhin eine vom Bundesamt für Sicherheit in der Informationstechnik als starke Sicherheitsmaßnahme eingestufte Zwei-Faktor-Authentisierung, bei der nach der Eingabe eines (geheimen) Passworts ein Bestätigungscode aufs Smartphone gesendet wird, mit dem erst der Zugang freigeschaltet werden kann. Allerdings vergisst Overbeck in einer Wilsberg-Episode das Smartphone auf dem Schreibtisch…
Und da sind wir beim Problem. Die größte Gefahr für unsere informationelle Infrastruktur – vom Smartphone bis zur Kraftwerksteuerung – sitzt vor dem Bildschirm und ist fehleranfällig, vergesslich, nachlässig oder auch einfach nur dumm. Daran ändert weder der alljährliche Welt-Passwort-Tag am jeweils ersten Donnerstag im Mai etwas, noch der „Ändere-Dein-Passwort“-Tag am 1. Februar. Noch immer kleben einfache „123..“-Passworte unter der Tastatur, wird auf Zwei- oder gar Multi-Faktor-Authentisierung verzichtet, werden Endgeräte unbeaufsichtigt zurückgelassen und Phishing-Mails unbedarft geöffnet. Weil das so ist, sind Organisationen und Privatpersonen gegenüber Cyberkriminalität nur bedingt abwehrbereit. Um zu prüfen, ob die eigenen Zugangsdaten schon Teil von solchen Datenlecks waren und damit stärker gefährdet sind, lohnt sich eine Prüfung etwa beim „Have I been pwned“-Projekt [sprich: poned wie in owned] des Startups Apollo oder beim Identity-Leak Check des Hasso-Plattner-Instituts.
In seiner jüngsten Studie zu Cyberkriminalität schätzt der Hightech-Verband Bitkom den in deutschen Unternehmen entstandenen Schaden auf mehr als 200 Milliarden Euro für das Jahr 2023. Und gerade bei Dienstleistungsunternehmen, die ihre Services über das Internet anbieten und eigentlich eine erhöhte Sensibilität gegenüber den Gefahren aus dem Web aufweisen sollten, häufen sich in letzter Zeit Vorfälle, bei denen Zugangsdaten abhandenkommen. Die Daten landen dann nicht selten im Darknet oder werden von Cybercrime-Clans für weitere Aktionen verwendet – zum Beispiel, um Kasse zu machen.
Diese sogenannten „Credential Stuffings“ gab es Anfang des letzten Jahres beim Zahlungsdienstleister Paypal, bei dem rund 35.000 Konten geleakt wurden. Bei der amerikanischen Telefongesellschaft AT&T wurden ebenfalls Konten gehackt, über die schließlich Wallets für Krypto-Währungen geleert wurden. Und die jüngsten Vorfälle bei Microsoft machen deutlich, dass auch bei einem weltumspannenden und marktbeherrschenden Anbieter für Cloud- und KI-Computing eine Sicherheitskultur kontinuierlich nachgeschärft werden muss. Weil also auch Microsoft offensichtlich nur bedingt abwehrbereit zu sein scheint, hat CEO Satya Nadella jetzt die „Security First“-Initiative ausgerufen, die Sicherheit vor Schnelligkeit bei der Weiterentwicklung von Microsoft-Produkten stellen soll.
Der Microsoft-Mitarbeiter, der anhand von einer halben Sekunde Verzögerungszeit in Entwicklungsumgebung auf einen erfolgreichen Angriffsversuch geschlossen hat und sofort die Reißleine zog, ist inzwischen ebenso legendär, wie der Mitarbeiter, der vor zu großen Gefahren warnte und dafür entlassen wurde. Beides spiegelt unser schwieriges Verhältnis zur Sicherheit wider. Wer bei Gefahren eingreift und hilft, wird als Held gefeiert. Wer vor Gefahren warnt, gilt als Kassandra, deren Warnungen vor dem Untergang Trojas niemand Gehör schenken wollte. Auch Troja war insofern nur bedingt abwehrbereit.
Wir schätzen Fahrzeuge mit hoher passiver Sicherheit, sind aber selten selbst bereit, aktiv etwas für unsere Sicherheit zu tun – etwa durch Einhaltung des Sicherheitsabstands. Seit Januar 1974 ist der Sicherheitsgurt im Auto Pflicht – und während dieser erzwungene Einbau von den Autofahrern positiv gesehen wurde, brauchte es noch zwei Jahre, bis die Anschnallpflicht auch die letzten murrenden Gurtmuffel dazu zwang, den Gurt auch tatsächlich anzulegen. In den achtziger Jahren gingen die Deutschen auf die Straße, weil sie ihre Sicherheit durch die Stationierung von Atomwaffen im Rahmen des Nato-Doppelbeschlusses gefährdet sahen. Heute flammt die Diskussion um Bewaffnung mit Atomwaffen und anderem Kriegsgerät zur Verteidigung wieder auf, weil wir uns ohne diese Militärausgaben unsicher fühlen und offensichtlich wieder einmal nur bedingt abwehrbereit sind.
Mit „Bedingt abwehrbereit“ betitelte die Spiegelredaktion vor 62 Jahren ihren Beitrag um die Grenzen der Wehrfähigkeit in der Bundeswehr und der Nato im Falle eines dritten Weltkriegs. Damit begann die sogenannte Spiegel-Affäre, die mit Durchsuchungen des Redaktionsgebäudes, Verhaftung von Rudolf Augstein unter dem Vorwurf des Landesverrats und später mit dem Rücktritt des damaligen Bundesverteidigungsministers Franz-Josef Strauß ihren historischen Verlauf nahm.
Zwar waren die Informationen über die Nato-Übung Fallex, die im Spiegel veröffentlicht wurden, durchaus zutreffend, doch hinter der Aktion stand offensichtlich eine Desinformationskampagne des russischen KGBs, die das Ziel hatte, den erklärten Antikommunisten Strauß zu desavouieren. Der Spiegel hätte sich, wie man heute annimmt, nicht wissentlich zum Spielball der kommunistischen Spionagetätigkeit machen lassen, weil die Redaktion wohl selbst nur bedingt abwehrbereit gewesen sein wird. Allzu viel hat sich im Vergleich zu heute also nicht geändert.
Heute wird für diesen – erneut zutreffenden – Vorwurf der bedingten Abwehrbereitschaft niemand mehr des Landesverrats bezichtigt. Landesverrat begehen hingegen jene, die sich für ausländische Mächte einspannen lassen, Wirtschaftsgeheimnisse an internationale Wettbewerber weitergeben und Einzelheiten aus der politischen Arbeit ausplaudern. Die aktuellen Beispiele, in denen für Russland und China spioniert wurde, nennen zwar die üblichen Verdächtigen. Doch auf dem Höhepunkt der NSA-Abhöraktion prägte die damalige Bundeskanzlerin Angela Merkel den Satz über unsere US-amerikanischen Verbündeten: „Ausspähen unter Freunden – das geht gar nicht.“
Doch das geht. Wie sich zeigt, sind wir auch gegenüber Spionage nur bedingt abwehrbereit. Wir müssen auf allen Ebenen unser Sicherheitsbedürfnis, unser Sicherheitsverhalten und unsere Sicherheitsvorsorge überdenken. Denn Sicherheit ist noch lange nicht sicher. Wir müssen paranoider werden. Jeder Einzelne muss unbedingt abwehrbereit werden. Mit Sicherheit.
