"Ein bisschen Angst schadet nicht" – Seite 1

Hört da wer mit? Sind gelöschte Bilder wirklich weg? Macht mich mein Smartphone süchtig? Welche dieser Sorgen berechtigt sind, welche übertrieben, beantwortet der ZEIT-ONLINE-Schwerpunkt "Digitale Ängste". Dieser Artikel ist Teil davon.

ZEIT ONLINE: Herr Waidner, laut einer Bitkom-Umfrage aus dem Jahr 2018 klebt jeder vierte Nutzer die Kameras seiner Computer und Smartphones ab. Auch Facebook-Chef Mark Zuckerberg und der ehemalige FBI-Chef James Comey machen das. Sie kennen die Sicherheitsbedrohungen als Informatik-Professor und Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) gut. Kleben auch Sie die Kameras ihrer Geräte ab?

Michael Waidner: Ja, das mache ich tatsächlich.

ZEIT ONLINE: Warum?

Waidner: Digitale Geräte, die Kameras oder Mikrofone enthalten, sind die perfekten Wanzen. Das betrifft Mobiltelefone, PCs, intelligente Lautsprecher, smarte Fernseher. Wenn es eine Person darauf anlegt, kann sie mit einem Schadprogramm die Kontrolle über meinen Rechner übernehmen. Das muss man sich vorstellen wie ein trojanisches Pferd: Man merkt gar nicht, dass einen da jemand angreift. Es reicht schon, dass man seinen Laptop ganz normal verwendet, Webseiten besucht, E-Mail-Anhänge öffnet.

Michael Waidner ist Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, Informatik-Professor an der TU Darmstadt und Direktor des Nationalen Forschungszentrums für angewandte Cybersicherheit CRISP. © Fraunhofer-Institut für Sichere Informationstechnologie

ZEIT ONLINE: Habe ich nicht ganz andere Probleme als meine Kamera, wenn jemand in meinen Rechner eindringt?

Waidner: Vielleicht, aber das spricht ja eher dafür, dass man alle Probleme angeht, die auftauchen können. Die negativen Auswirkungen, die es haben kann, wenn Fremde Zugriff auf digitale Daten bekommen, können natürlich sehr vielfältig sein. Dafür kann man sich alle möglichen Szenarien vorstellen. Mein Rechner steht zum Beispiel jeden späten Nachmittag und Abend in meinem Arbeitszimmer. Wer es darauf anlegt, kann mich dort gut überwachen: Er kann über die Kamera sehen, was ich tue, über Mikrofone mithören, was ich sage, und über Keylogger möglicherweise sogar sehen, was ich schreibe. Ein Großteil meines Lebens kann aufgezeichnet werden.

ZEIT ONLINE: Manche würden jetzt argumentieren, dass das ja nicht so schlimm sei, sie hätten sowieso nichts zu verbergen.

Waidner: Ich glaube kaum, dass es jemand okay fände, wenn heimlich aufgezeichnete private Gespräche und abgegriffene Unterlagen veröffentlicht würden. Das Problem ist nicht, dass man etwas Verbotenes tut, sondern dass man nach solchen Angriffen häufig erpresst wird. Hacker könnten zum Beispiel damit drohen, persönliche Videoaufnahmen von Ihnen zu veröffentlichen. Ist die Kamera abgeklebt, könnten solche Aufnahmen gar nicht erst gemacht werden. Und umgekehrt kann es einem auch helfen, falsche Erpressungsversuche zu entlarven.

ZEIT ONLINE: Wie das?

Waidner: Häufig haben Kriminelle gar nichts abgegriffen, sondern behaupten einfach nur, dass sie irgendwelche persönlichen Videoaufnahmen von Ihnen hätten. In einer E-Mail fordern sie dann zum Beispiel 1.000 Euro in Bitcoin von Ihnen, damit sie das vermeintliche Material nicht veröffentlichen. Da kann es beruhigend sein, wenn Sie gar nicht erst darüber nachdenken müssen, was darin zu sehen sein könnte, weil Sie die Kamera ohnehin abgedeckt haben.

Wer sensible Verhandlungen führt, sollte sein Mobiltelefon gar nicht erst mitnehmen.
Michael Waidner, Experte für IT-Sicherheit

ZEIT ONLINE: Sie haben gerade schon angesprochen, dass auch Mikrofone eine Angriffsfläche bieten. Die kann man nicht einfach abkleben. Wie kann man sich gegen Lauschangriffe über das Smartphone oder den Laptop schützen?

Waidner: In manchen Laptops kann man Mikrofone physisch abschalten. Das hilft natürlich. Bei Smartphones würde ich raten: Wer sensible Verhandlungen führt oder über vertrauliche Informationen spricht, sollte sein Mobiltelefon gar nicht erst mitnehmen. Denn dann kann es gar nicht erst als Wanze eingesetzt werden. Tatsächlich ist das Aufzeichnen mit Mikrofonen aber ein Problem, dagegen kann man sich deutlich schlechter schützen als gegen unerwünschte Kameraaufnahmen.

"IT-Sicherheit verteuert ein Produkt"

ZEIT ONLINE: Das ist schon beunruhigend. Wie können wir Nutzerinnen und Nutzer uns denn zumindest ein bisschen absichern?

Waidner: Bei einem Feld-Wald-Wiesen-Trojaner kann man das Risiko schon durch die typischen Empfehlungen reduzieren: Antivirenprogramme und Firewalls installieren und Betriebssysteme und andere Software regelmäßig updaten. Hundertprozentige Sicherheit gibt es aber nicht.

ZEIT ONLINE: Wir müssen also akzeptieren, dass wir im Digitalen nie komplett geschützt sind?

Waidner: Ja. Wehren kann man sich nur innerhalb bestimmter Grenzen. Die weiten sich aber immerhin. Programme, mit denen sich PDF-Dateien öffnen lassen, waren früher relativ anfällig für Hackerangriffe. Die Hersteller haben da deutlich nachgebessert. Genauso Browserhersteller: Bestimmte Aktionen kann man mittlerweile in einer sogenannten sandbox ausführen, einem vom restlichen System isolierten Bereich. Dadurch verhindert man, dass bei einem Angriff gleich der ganze Computer lahmgelegt wird.

ZEIT ONLINE: Sollten die Unternehmen nicht noch stärker Verantwortung für die Sicherheit ihrer Software übernehmen? Den Schutz vor Angriffen kann man doch nicht den Nutzerinnen und Nutzern überlassen.

Waidner:IT-Sicherheit basiert auf einer kombinierten Verantwortung. Jeder Nutzer, privat oder nicht, ist dafür verantwortlich, was in seiner Umgebung passiert. Und gleichzeitig sind die Anbieter natürlich zuständig für die Sicherheit ihrer Produkte und Dienste. Es wäre sinnvoll, Labels einzuführen, die Software mit hoher IT-Sicherheit kennzeichnen, oder Mindestkriterien, über einen wie langen Zeitraum ein Gerät mit Updates versorgt werden muss.

ZEIT ONLINE: Das könnte der Gesetzgeber ja vorschreiben.

Waidner: Das sollte er auch tun, und tatsächlich gibt es dazu auch eine ganze Reihe von Aktivitäten. Überlässt man IT-Sicherheit und Datenschutz den Kräften des Marktes, wird beides keine besonders hohe Priorität haben. Schließlich verteuern Schutzmaßnahmen ein Produkt. Es gibt also wenig Anreiz für die Hersteller, ständig nachzubessern.

ZEIT ONLINE: Spätestens seit den Enthüllungen von Edward Snowden wissen wir ja, dass sich auch Staaten in digitale Geräte hacken, dass sie zum Beispiel Webkameras und Mikrofone ohne das Wissen einer Person anschalten können. Muss uns dieses Vorgehen nicht größere Sorgen machen als das einzelner Hacker?

Waidner: Die meisten Menschen werden nicht von der NSA angegriffen, sondern von Cyberkriminellen. Die sind vielleicht nicht die Superexperten, die alle möglichen Angriffstechniken kennen, aber sie sind schon ziemlich gut. Trotzdem sollten uns die Veröffentlichungen von Edward Snowden natürlich sorgen. Immerhin ist das Sicherheitsbewusstsein seit den Enthüllungen gewaltig gestiegen. Politiker und Unternehmen hören uns Experten jetzt eher zu, wenn wir Vorschläge machen oder auf Probleme hinweisen.

ZEIT ONLINE: Jetzt merkt man als Nutzerin oder Nutzer ja nicht sofort, wenn man Opfer eines Trojaners geworden ist. Auf welche Indizien sollte man achten?

Waidner: Schadsoftware bringt oft unerwünschte Nebeneffekte bezüglich der Leistung und des Verhaltens des Rechners oder des Mobiltelefons mit sich – sei es, dass die Batterien schnell leer sind, die Geräte ungewöhnlich häufig abstürzen oder dass sie außergewöhnliche Funktionsweisen zeigen. Wer ein größeres technisches Verständnis hat, kann sich anschauen, wie das Gerät kommuniziert. Findet plötzlich sehr viel Kommunikation mit anderen Servern statt, die man vorher noch nie bemerkt hat? Das kann auch ein Anzeichen sein. Ein bisschen Angst schadet also nicht.

Obwohl alles digitalisiert wird, ist noch nicht furchtbar viel passiert – die Welt ist noch nicht untergegangen.
Michael Waidner, Experte für IT-Sicherheit

ZEIT ONLINE: Gibt es auch so etwas wie zu viel Sorge?

Waidner: Das ist schwer zu sagen – denn IT-Sicherheit ist ja ein Bereich, der permanent in Bewegung ist. Was vor einem Jahr noch sicher war, ist heute hoffnungslos unsicher. Aber man kann es zumindest so sehen: Obwohl alles digitalisiert wird, ist noch nicht furchtbar viel passiert – die Welt ist noch nicht untergegangen. Aber man darf natürlich nie stehenbleiben und den Kopf in den Sand stecken, die IT-Sicherheit muss laufend weiterentwickelt werden.

Haben Sie manchmal den Eindruck, dass Technologieunternehmen etwas über Sie wissen, was sie eigentlich gar nicht wissen können? Erzählen Sie uns von Ihren gruseligsten digitalen Erfahrungen, die Sie sich nicht erklären können.