Mit höherem Sicherheitsniveau gegen Ausspitzelung wappnen

Heutzutage stehen gigantische Kapazitäten zur Verfügung, um Daten zu speichern und in Windeseile im globalen Dorf zu übertragen. Diese Kapazitäten wollen genutzt werden. Somit ist alles "in", wo sinnvoll ein "e" vorangestellt werden kann: Das "Business" und das "Government", vom "Learning" und der "Health" ganz zu schweigen. "e" ist einfach, kostensparend, bürgerfreundlich, heißt es.

Doch das elektronische Regieren und Geschäftemachen hat einen Pferdefuß: Es ist gegen Dummheit und kriminelle Energie kaum zu sichern. Das Bit des rechtschaffenen Bürgers unterscheidet sich nicht von dem des Verbrechers. Trotzdem gibt es weder beim Staat noch bei den privaten Datensammlern dezidierte Zugangsberechtigungen, die tatsächlichen Zugriffe werden nicht protokolliert und die Daten beliebiger Intimität können kopiert werden, ohne dass überhaupt jemand davon Notiz nimmt. Am Montag wurde bekannt, dass zahlreiche Einwohnermeldeämter ihre Datenlager den Kriminellen förmlich angeboten haben: Ein Mausklick genügte, um sich echte Daten für falsche Pässe zu verschaffen. Wie viele falsche Identitäten auf diese Weise tatsächlich entstanden sind oder noch entstehen, wird wohl nie zu ermitteln sein.

Kein Unterschied zwischen Bits von Rechtschaffenden und Verbrechern

Dennoch legt vor allem der Staat zu unserer "Sicherheit" unablässig weitere Datengebirge an: Vorratsdatenspeicherung, Videoüberwachung, Elektronischer Einkommensnachweis, zentrale Steuernummer. Die Liste ließe sich fortführen. Die Interessenten stehen regelrecht Schlange: "Spaßvögel", vom Sportsgeist getriebene Schüler ("Wer knackt den Server als Erster") geldgierige und rachsüchtige Mitarbeiter, Mafia, Terroristen, Drittstaaten.

Entsprechend hoch sind die Preise: Name, Wohnort, Geburtsdatum und ähnlich statische Daten eines Patienten sind in den USA für 2500 Dollar zu haben. Was wäre dann erst seine komplette Krankenhistorie von der Wiege bis zur Bahre wert? Und womöglich die der gesamten Verwandtschaft? Pech für das Neugeborene, sollte eines schönen Tages bereits bei der Geburt auf Knopfdruck bekannt sein, unter welchen Krankheiten dieses Kind im Alter leiden wird. Das ist keineswegs paranoide Fiktion, denn die Deutsche Versicherungswirtschaft verlangt ab 2011 Zugriff auf Gentestergebnisse und andere Untersuchungen. Die Versicherten sollten über kein "Insiderwissen" verfügen.

Gesetzliche Untiefen bei der Gesundheitskarte

Und der Gesetzgeber unterstützt diese Forderung mehr, als dass er sie bekämpft, etwa mit der juristischen Grundlage der elektronischen Gesundheitskarte (eGK). Unter diesem Titel sollen demnächst die Daten von 82 Millionen Patienten in Deutschland in einer zentralen, Internet-basierten Infrastruktur erfasst werden. Ein Beispiel für die gesetzlichen Untiefen: Zwar ist das Gewähren von Vor- oder Nachteilen illegal, wenn die Versicherten Zugriff auf ihre Daten zulassen. Strafbar ist es aber nicht. Somit ist der Erpressung durch Finanzdienstleister aller Art Tür und Tor geöffnet. Ob es sich da eine Bank leistenkönnte, den Kreditnehmer aus ethischen Gründen nicht vor die Wahl zu stellen: "Wir würden Ihnen den Kredit wohl gerne geben, aber wir bräuchten eine gewisse Sicherheit über Ihre Lebenserwartung. Hätten Sie keine Idee, wie sie die nachweisen können?"

In der Praxis gleicht das "größte IT-Projekt der Welt" einem Drama, dessen Regisseur sich noch nicht sicher ist, wie viel Akte es einmal werden sollen. Zwei Jahre nach dem ursprünglich vorgesehenen Start der Karte sind Protagonisten, Ärzte und Patienten noch immer völlig überfordert und die Betreibergesellschaft hinter der eGK, die Gematik, überlegt allen Ernstes, die Verordnungsdaten nicht zu verschlüsseln. Und das unter Beteiligung der Bundesdatenschützer! Wieso muss denn dann die Diagnose "HIV positiv" verschlüsselt werden, wenn die Verordnung von AIDS-Medikamenten für jeden lesbar sein soll, der sich irgendwie Zugang zur zentralen Infrastruktur verschafft hat?

Fachleute attestieren der Gematik denn auch "eine hohe Risikobereitschaft und kein Betreiberkonzept", halten die Vorstellung des Unternehmens für "naiv", dass etwa eine Krankenhausärztin die Zeit hätte, sich bei jedem Schreib-Lese-Vorgang bei jedem Patienten neu per PIN zu autorisieren. Doch es kommt noch toller: Da viele Patienten in Schleswig Holstein mit der Eingabe der PIN überfordert waren, soll die ohnehin schon überlastete Ärztin auch noch die Patienten-PIN eingeben. Vermutlich werden dann eines Tages die PINs von Ärzten und Patienten am Schwarzen Brett auf Station ausgehängt und die Pflegeschüler sind um eine lästige Beschäftigung reicher.

Für Spiros Simitis – früher Datenschutzbeauftragter in Hessen, langjähriges Mitglied im Nationalen Ethikrat und emeritierter Professor der juristischen Fakultät der Universität Frankfurt – ist die eGK "für einen offenen Kreis von potenziellen Interessenten" konzipiert. Das ist hier in der Tat wörtlich zu nehmen: Russische und chinesische Kriminelle interessieren sich zunehmend für die Versichertendaten der US-Militärkrankenkasse Tricare. Und Viren wurde ebenfalls bereits hinterlassen. Das World Privacy Forum titelt denn auch einen Bericht plakativ: "Medical Identity Theft – The Information Crime That Can Kill You."

Manipulationsgefahr bei Patientendaten

Ist die Manipulation von Patientendaten nur eine paranoide Fiktion? Schön wäre es! Die Telekom-Tochter T-Systems soll den Backbone der eGK betreiben. Von einem solchen Unternehmen wird man doch sicher erwarten können, dass es Kundendaten sicher aufbewahren kann. Zumindest von T-Mobile, einer anderen Tochter der Telekom, kann man es nicht. Konzerninterne Prüfer berichten über "ernst zu nehmende Schwächen". Angreifer hätten auf finanzielle oder kundenbezogene Daten zugreifen und diese manipulieren können.

Die Manipulation von Daten ist keineswegs neu. Ein Jugendlicher erweckte kürzlich mit der manipulierten Internetseite des nationalen Seismologischen Instituts in China den Eindruck, ein neues, schweres Erdbeben stünde bevor. Bereits vor einem Jahr veröffentlichte der Sicherheitsspezialist Sophos seine Sorge um manipulierte Aktienkurse.

Die Internet-Kriminalität "professionalisiert" sich zunehmend. Früher wollten die Angreifer ihr Können beweisen, heute wollen sie immer häufiger Bargeld sehen. Warum sollte sich ein Terrorist in die Luft sprengen, wenn er womöglich aus dem Beduinenzelt heraus viel mehr Chaos anrichten kann? Professionalität signalisieren auch Preislisten für Trojaner, Bankdaten und Spam. Warum sollte niemand auf die Idee kommen, Patientendaten zu manipulieren? Damit ließe sich Chaos verbreiten oder auch der Patient, sein Arbeitgeber oder die ganze Bundesrepublik erpressen. Könnte der Staat die mutwillige Veränderung einer beliebigen Anzahl von Patientendaten riskieren?

Viel Phantasie ist nicht nötig, um sich dieses Bild auszumalen: Die Daten sind überall, nur nicht dort verfügbar, wo sie eigentlich sein sollen, nämlich im Behandlungszimmer des Arztes. Und zwar zu der Zeit, zu der sich der Patient dort befindet. Stattdessen bilden sich in Arztpraxen und Krankenhäusern lange Schlangen, weil die zentrale Infrastruktur grade mal nicht funktioniert.

Bedrohungen für Infrastrukturen

Die Gesundheitstelematik ist ein besonders plakatives Beispiel, weil dadurch die Betroffenen an Leib und Leben bedroht werden können. Im Prinzip bestehen die Gefahren aber auch in anderen Bereichen, in denen Daten auf Vorrat gespeichert werden: Industriespionage ist Alltag und wenn dieses Gewerbe die Chance hätte, die komplette Telekommunikation eines Unternehmens auszuforschen, würden sie es sicher tun. Ähnlich interessant dürften die Daten aus der Onlinedurchsuchung oder anderen "Datengebirgen" sein.

Auch die Internet-basierten Infrastrukturen von Unternehmen und Staaten sind bedroht. Einerseits können Dritte in die Netze eindringen und die Kontrolle übernehmen oder – nicht weniger schlimm – die Netze mit beliebig vielen Anfragen überfluten, bis die Infrastruktur letztlich den Dienst verweigert. Dazu werden die Rechner ahnungsloser Anwender per Spam-Mails "gekapert" und dienen fortan als "Drohnen" in "Botnetzen" mit tausenden anderer Computersklaven.

Diese Botnetze breiten sich dank der Naivität vieler Anwender seuchenartig aus und kaum ein Kraut scheint gegen sie gewachsen. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hält zwar große Stücke auf die eigene Leistung, konnte aber doch nicht verhindern, dass hierzulande mit die meisten Drohnen stehen. Werden ausreichend Drohnen für einen Angriff genutzt, kann das die Handlungsfähigkeit eines Weltkonzerns oder auch eines ganzen Staates massiv einschränken. Die Europäische Union warnt vor einem "digitalen 11. September".

Forderungen an die Politik

Was aber kann getan werden? Wichtig wäre zunächst ein Bewusstseinswandel in der Politik. In der Informationsgesellschaft lassen sich sicher viele Prozesse erheblich beschleunigen und verbessern. Politiker sollten nicht die Kosten wahllos bestimmen, stattdessen sollten die Techniker sollten ein Pflichtenheft erstellen und dafür die Kosten von den Kaufleuten kalkulieren lassen. Denn sonst sind Daten und Prozesse in größter Gefahr. Und bei der elektronischen Gesundheitsverwaltung etwa bedeutet das "Russisches Roulette" für die wirtschaftliche und physische Existenz der Versicherten.

Weiter sollten die mit der Umsetzung politischer Entscheidungen Betrauten ihre Wagenburg-Mentalität ablegen und aktiv nach externer Unterstützung suchen, wenn es schon an eigenem Wissen mangelt. So wie etwa die Gematik, die Interviews zum Thema Sicherheit ablehnt. Die Fragen hätten einen "hypothetischen Charakter". Was für ein dramatischer Zuwachs an Sicherheit für 82 Millionen Versicherte, wenn sich die Herrschaften aus Berlin bequemten, die zahlreichen und kostenlosen Hilfs- und Wissensangebote der ENISA, des BSI, des Deutschen Forschungsnetzes oder der Universität Stuttgart in Anspruch zu nehmen! Das BSI widmet dem Thema "Gesundheit" ausdrückliche Aufmerksamkeit unter den "kritischen Infrastrukturen".

Forderungen an Anwender und Unternehmen

Und schließlich braucht das ganze Land einen Bewusstseinswandel. Wenn wir Anwender nur den Mails vertrauen würden, die mit einer gültigen elektronischen Signatur daherkommen, würde das "Phishing"-Problem erheblich dezimiert und Milliarden an Kosten eingespart. Dazu müssten wir aber erst einmal in der Lage sein, unsere elektronische Post selbst zu signieren und zu verschlüsseln. Weiterhin benötigen wir ein Gespür dafür, welchen Webseiten wir vertrauen und welche angehängten Dateien in unserem Mailprogramm wir unbesorgt öffnen können. Und selbstverständlich müssen wir in der Lage sein, unsere Festplatten sicher zu verschließen.

Der Bundesverband Deutscher Banken steht auf dem Standpunkt, "die Kunden unserer Mitgliedsinstitute haben die elektronische Signatur nicht angenommen! Da können wir nichts machen". Das ist Drückebergerei. Was haben denn die Geldhäuser unternommen, um den Kunden den Gewinn an Sicherheit zu verkaufen? Sind denn die eigenen Mitarbeiter mit den entsprechenden Werkzeugen ausgerüstet und können sie die auch noch bedienen? Mitnichten! Es gibt Banker, für die erst einmal die nötige Software angeschafft werden musste, nachdem sie reklamiert hatten.

In der IT-Industrie ist das nur wenig besser. IBM teilte im Januar 2008 mit, dass die 355.000 Notebooks der Mitarbeiter mit der Verschlüsselungssoftware PGP ausgerüstet werden sollen. Die Software ist seit 17 Jahren am Markt und jetzt erst entschließt sich der weltgrößte IT-Konzern dazu, etwas für die Sicherheit seiner Daten zu tun! Wie sieht es denn dann erst bei dem kleinen Krauter um die Ecke oder bei den Kunden des Weltkonzerns aus?

Die Entscheider in der Politik, den Unternehmen und der öffentlichen Verwaltung haben den Schlüssel zu einem deutlich höheren Sicherheitsniveau der Informationsgesellschaft in der Hand. Sie müssen in nur noch nutzen. Sollten wir dieses Sicherheitsniveau allerdings jemals erreichen, guckt Wolfgang Schäuble in die Röhre: Denn dann werden die Menschen in der Lage sein, auch den Bundesspitzelminister auszuschließen und dessen "Onlinedurchsuchung" zu verhindern. Entweder Freiheit für alle oder für keinen!

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!/c't)