Cebit Datendiebe gesucht

Digitale Sicherheit ist das Topthema auf der weltweit größten IT-Messe. Das Geschäft damit boomt. Doch dass man sie braucht, kann keiner der Aussteller so recht beweisen

Frank Gebert hat sich warmgehackt. Der erste Server ist geknackt, nun klettert Gebert Stufe für Stufe in der Zugriffs-Hierarchie der gekaperten Firma höher. Am Ende ist er Superuser: "Meins!" Jetzt gehört ihm das gesamte Computernetz der Firma. Das Publikum ist fasziniert. Unglaublich, wie einfach das ging!

Der "Showhack" am Stand von F-Secure, einem Unternehmen, das auf der Cebit Sicherheitssoftware präsentiert, ist ein Publikumsmagnet. Nichts ist real, nichts böse: Die Firma ist fiktiv, und Gebert ist ein Guter. Der gelernte Kaufmann und IT-Security-Experte lebt von solchen unterhaltsamen Demonstrationen, die User in die Arme von Antivirenprogrammierern treiben sollen. Möglichst seiner eigenen Firma.

"In zehn Minuten habe ich Ihnen das beigebracht", sagt Gebert. Server-Attacken über anfällige Websites - das sei eigentlich "Arbeit für Script-Kiddies", lästert der Kenner. Für Anfänger also, die lesen und eine Maus bewegen können und "nach Rezept" hacken. Aber nichts verstehen. Schaden können sie aber allemal anrichten. Und sei es nur, dass sie eine eingeführte Website umbenennen in "www.hacked.com". Und für eine Weile lahmlegen. Weil sie so gern groß rauskommen.

Passwörter in Windows knacken, im Internet Webseiten finden, auf denen die Live-Aufzeichnungen von Überwachungskameras laufen (ohne dass Betroffene oder Überwacher etwas davon ahnen) - das ist der Spaß des Stuttgarters Gebert. Seine Botschaft: Leute, legt euch eine Firewall und ein anständiges Schutzprogramm zu – wenn ihr ein Haus habt, versichert ihr es doch auch gegen Blitz und Wasserschaden!

Dass die Sicherheitsbranche wenigstens einen Mann präsentieren kann, der ihre Existenzberechtigung belegt, ist einiges wert. Ansonsten geraten die meisten befragten Aussteller ins Stocken oder ins Geschwafel, wenn man sie konkret nach "dem Bösen" fragt, das bekämpft werden muss. Das gilt besonders für Datenschützer. Regelmäßig fällt ihnen auf die Frage nach einem Beispiel für Datenmissbrauch nur eine Antwort ein: Es gebe doch das Datenschutzgesetz. Und deshalb den Datenschutz!

Und natürlich müssen Unternehmen auch eine personelle Institution dafür haben. Die Hannoveraner Firma s-con TK & IT hat ein Geschäft daraus gemacht. Sie zertifiziert Datenschützer insbesondere in kleineren Firmen, die, wenn bei ihnen mehr als acht Mitarbeiter mit "sensiblen" Daten umgehen, einen Angestellten haben müssen, der über deren Sicherheit wacht. Wofür aber Datenschutz gut ist - Ratlosigkeit.

Gleichwohl klingen die Schutzmaßnahmen wichtig und professionell. Zum Beispiel: "USB-Management". Es soll dem Datenklau mit USB-Sticks einen Riegel vorschieben. Die Troisdorfer Firma tetragard hat daraus ein veritables Geschäft aufgebaut. Ihre Lösung: Was auf den Stick gezogen wird, kann nur innerhalb der Firma und von Berechtigten gelesen werden. Denn alles auf dem Stick wird beim Kopieren verschlüsselt. Der Datendieb findet daheim nur eine Buchstabensuppe vor.

Zum Anfüttern verschenkt tatraguard auf der Cebit eine Software, die dem User die Namen der USB-Sticks verrät, die schon mal an einem Gerät "gesaugt" haben. Wer da was Fremdes entdeckt, ist schon fast als Kunde gewonnen. Zum Beispiel der Ingenieur Verus Grond aus Hagen, der ein paar Mal Ausschreibungen verlor und eine undichte Stelle in seinem Büro vermutete. Der Konstrukteur von Automobilfelgen schaffte sich die tetraguard-Lösung an. Immerhin fühlt er sich jetzt sicherer.

Begehrte Daten, so scheint es, finden immer einen Weg nach draußen. Davon könnte Gerhard Friedrichs ein Lied singen – wenn er denn dürfte. Seine Fälle aus dem wirklichen Leben müssen geheim bleiben, das hängt mit seiner Klientel zusammen: Die Firma GBS aus dem niedersächsischen Diepholz arbeitet fürs Militär und für Behörden. Da ist man, was Datensicherheit angeht, eher heikel. Friedrichs Thema: Das Abhorchen von Computernetze via Funk. Jeder Rechner, jeder Drucker, jeder Router und Scanner strahlt, und diese elektromagnetische Strahlung lässt sich mit Antennen einfangen und mittels geeigneter Software analysieren. Interesse an dem Bildschirminhalt haben sogenannte "Spiogenten".

Auf der letzten Cebit hatte Friedrich zufällig das Programm eines russischen Standnachbarn auf dem eigenen Schirm. Der saß immerhin 25 Meter weit weg. Und wie kann man sich schützen? Indem man seine Geräte einpackt. Und wie? Geheim. Friedrichs murmelt etwas vom Faraday-Käfig und von leitenden Lacken. Schließlich verrät er sogar einen Fall von "wirklich passiert": In Holland, wo E-Voting sehr verbreitet ist, also das Wählen über das Internet, haben Hacker des Chaos Computer Clubs die Wahlcomputer durch Funkscannen geknackt. Dazu gibt es auf YouTube ein Filmchen .

Überhaupt nichts von Datenmissbrauch und Datenschutzsorgen wollen die cleveren Mitarbeiter der SVA aus Meerbusch-Büderich bei Düsseldorf wissen. Aus gutem Grund: Ihre "SVA Health Care Lösungen" erinnern stark an die umstrittene elektronische Gesundheitskarte. Patientendaten, Daten von Kliniken und mit ihnen vernetzter Arztpraxen und Palliativstationen werden aufs Schönste und Sinnvollste zusammengeführt und machen das Leben leichter. Ein Klick - und der Chefarzt hat Bettenbelegung, anstehende OPs, die verfügbaren Kollegen und alle Details der Krankengeschichte seiner Patienten vor Augen, einschließlich Röntgenaufnahmen.

Knifflig und heikel ist die Organisation dieser Datenmassen aus den unterschiedlichsten Quellen. Der springende Punkt: Wer kriegt Zugriffsrechte auf welche Inhalte? Gehaltslisten soll schließlich nur die Geschäftsführung sehen. Wer dann noch mäkelt und nach dem Datenschutz fragt, wird auf ein Zertifikat der ZTG verwiesen - des Zentrums für Telematik im Gesundheitswesen, das auch bei der Einführung der elektronischen Gesundheitskarte ganz vorne mitspielt.

Ähnlich umstritten: der elektronische Personalausweis mit biometrischen Daten und am besten gleich auch noch einer digitalen Unterschrift. Hier spielt eine gute alte, hoheitlich tätige Geld-, Führerschein- und Ausweisdruckerei eine tragende Rolle: die Bundesdruckerei. Längst privatisiert, darf sie das "Bundes" trotzdem noch im Namen tragen und im Logo eine halbe Staatsflagge. Der Behördennimbus wirkt wahrscheinlich vertrauensbildend, und es ist kein Zufall, dass man auf der Cebit auch ihren ehemaligen Oberaufseher, Otto Schily, antrifft. Der Ex-Staatsbetrieb nennt sich heute "weltweit führender Anbieter von Hochsicherheitstechnologien" und "Systemanbieter".

Am Stand der Bundesdruckerei kann man schon mal aus Spaß mit digitaler Unterschrift ein Handy im Internet kaufen – wenn man es nicht gerade eilig hat. Auf der Seite des Kaufvertrags muss man den Verweis "digitale Signatur" finden, die Hochsicherheitskarte in ein Spezial-Lesegerät einlegen, das keine Fernerkundung der übertragenen Daten zulässt, den PIN-Code eingeben, klicken, klicken, klicken, dann noch einen zweiten PIN-Code eingeben - fertig. Das Verfahren ist zwar sehr sicher, aber noch aufwendiger als Online-Banking.

Dem Cebit-Besucher kommen leise Zweifel: Könnte der digitale Sicherheitsboom vielleicht ein wenig übertrieben sein? Oder zumindest teilweise gar unnötig? Zumindest die digitale Unterschrift ist ein Beispiel dafür, dass nicht alle Geschäfte im Internet besser laufen als in der guten alten analogen Welt. Ein Stift auf Papier, mit seinem guten Namen unterschreiben — leichter geht es einfach nicht.