Editorial: Wenn Firmen Daten "verlieren"

Wer hat alles meine Daten?
Tomasz Trojanowski - Fotolia.com Der Datenklau geht um. Nicht nur die Geheimdienste wie BND und NSA sammeln mit PRISM, Tempora und Co. immer mehr und immer genauere persönliche Daten. Auch Hacker und Cracker greifen ab, was sie finden können. Mal dient das Hacking einer fremden Website rein zur Stärkung des persönlichen Egos ("ich komm da rein"), mal wird aus Rache an einer Firma deren Datenbanken gecrackt und eine Kopie der Daten auszugsweise oder gar vollständig in Untergrundforen veröffentlicht, mal werden erbeutete Daten gezielt auf einem betrügerischen Schwarzmarkt weiterverkauft.

Alle gängigen Server-Betriebssysteme und Server-Prozessoren können bei der Herkunft von Programmen nicht zwischen "innen" und "außen" unterscheiden. Computer-Prozessoren sind vor allem darauf optimiert, den Code, den sie vorfinden, mit rasender Geschwindigkeit auszuführen, und weniger darauf, zu prüfen, ob sie das überhaupt dürfen. Gelingt es einem Angreifer, durch einen Fehler in einem der auf einem Server laufenden Programme, auch nur ein kurzes Code-Segment einzuschmuggeln, kann er die Kontrolle über den Server übernehmen, oder sich zumindest zusätzlich zu den legitimen Nutzern Zugriff verschaffen.

Selbst das lange Zeit als Schutz gegen die Ausnutzung von Programmfehlern hochgejubelte "NX-Bit", mit dem erstmalig sauber zwischen Codebereichen (für normale Programme und damit auch für einen Angreifer nicht änderbar!) und Datenbereichen (in dem zwar Änderungen erlaubt sind, aber nun kein Code mehr sein kann) getrennt wurde, gilt inzwischen via "Return Oriented Programming" (kurz ROP) als ausgehebelt. Statt eigenem Code liefert der Angreifer dabei eine Liste von Code-Abschnitten aus dem Original-Programm, die zusammengesetzt genau das tun, was der Angreifer will.

Selbstverständlich haben die Betriebssystem-Entwickler auf ROP auch ihrerseits reagiert, mit "Address Space Layout Randomization" (kurz ASLR), das die Daten im Hauptspeicher bei jedem Programmstart woanders ablegt. So kann der Angreifer die Adressen seiner Code-Fetzen nicht mehr so leicht erraten. In (zu) vielen Fällen, insbesondere, wenn der Angreifer weitere Fehler einer Anwendung ausnutzen kann, lässt sich aber auch das Duo aus ASLR und NX-Bit aushebeln. Am Ende liefern sich die "good guys" (Systemhersteller) und "bad guys" (Eindringlinge) ein Katz-und-Maus-Spiel, bei dem mal der eine, mal der andere die Nase vorn hat.

Kein garantierter Schutz

Wer hat alles meine Daten?
Tomasz Trojanowski - Fotolia.com Angesichts der Situation ist es wenig verwunderlich, dass mit schöner Regelmäßigkeit Meldungen zu Datendiebstählen die Runde machen. Vor wenigen Wochen wurde bekannt, dass 2 Millionen Kontodaten von Vodafone kopiert worden sind, jetzt kommen 2,9 Millionen Kreditkartendaten bei Adobe hinzu. Dabei sind diese Meldungen nur die berüchtigte "Spitze des Eisbergs". Die meisten Datendiebstähle werden nie bekannt.

Selbst Firewalls verhindern nicht zuverlässig einen Einbruch. Sie erhöhen lediglich die Zahl der Systeme, die bis zum Erfolg überwunden werden müssen. Intrusion-Detection-Systeme helfen zwar, einen Einbruch zu erkennen. Wie eine Alarmanlage ist aber auch ein IDS wertlos, wenn nicht schnell genug jemand zur Stelle ist, der die Eindringlinge verscheucht.

Aber selbst, wenn es einen perfekten Server ohne Sicherheitslücke geben würde, wären die Daten darauf dennoch nicht sicher. Denn gegen den Angriff von innen, bei dem Mitarbeiter oder Administratoren unerlaubt Daten kopieren oder verändern, ist kaum ein Kraut gewachsen. Insbesondere die berühmt-berüchtigten "Steuer-CDs" zu Kontenverbindungen zahlreicher Steuerflüchtlinge sind auf diesem Weg entstanden. Auch die zahlreichen Enthüllungen Edward Snowdens über die Machenschaften der NSA wären ohne ein solches Datenleck nach innen kaum möglich gewesen.

Daten im Internet als "öffentlich" ansehen

Was kann man als Nutzer tun? Nun, leider nicht viel. Klar kann man Unternehmen meiden, die durch Datenlecks ins Gerede gekommen sind. Andererseits bedeutet der Wechsel zu einem anderen Unternehmen nicht, dass dieses zwangsläufig seine Server besser unter Kontrolle hat. Möglicherweise verwendet das zweite Unternehmen einfach weniger Intrusion Detection Systeme, erkennt den Datenklau also noch nicht einmal, oder verfolgt eine Informationspolitik, die Datenklau verheimlicht.

Der beste Schutz besteht darin, möglichst wenig Daten zu erzeugen. Je weniger Kreditkartendaten und Zahlungsdienste man verwendet, desto weniger Konten muss man regelmäßig auf fragwürdige Transaktionen kontrollieren. Was man niemals öffentlich auf Facebook posten würde, sollte man besser auch nicht in einem privaten Bereich posten, und auch nicht in einer Cloud. Man weiß einfach nicht, wie sicher diese sind, vor allem langfristig. Es wäre nicht das erste Mal, dass ein privater Bereich bei Facebook oder einem anderen Plattform-Betreiber plötzlich doch öffentlich wird, oder, dass ein Cloud-Anbieter gehackt wird. Leider erschwert der Trend der Gerätehersteller, Datenabgleich vor allem via "Cloud" zu ermöglichen, und nicht mehr via Datenkabel, den aktiven Daten-Selbstschutz.

Politisch sollte man sich weiter gegen die Vorratsdatenspeicherung engagieren. Die FDP, die seit dem Verbot der Vorratsdatenspeicherung durch das Bundesverfassungsgericht unter Justizministerin Sabine Leutheusser-Schnarrenberger deren Wiedereinführung auch in einer abgeschwächten Form erfolgreich blockiert hat, ist nicht mehr im Bundestag. Bildet sich erneut eine große Koalition, gräbt diese möglicherweise die alten Pläne zur Überwachung und Kontrolle von Telekommunikation und Internet wieder aus. Dabei gilt mit Sicherheit: Zusätzliche per Vorratsdatenspeicherung angehäufte Datenberge bewirken zusätzliche Datenlecks.