DE 
Professor Backes, handelt es sich bei dem jüngsten Datendiebstahl wirklich um einen Hackerangriff oder hat der Schüler einfach die Sorglosigkeit prominenter Politiker im Umgang mit ihren Daten ausgenutzt?
Nach dem, was ich aus den Medien weiß, handelt es sich nicht um einen klassischen Hackerangriff. Ein klassischer Hackerangriff geht wirklich nur gegen ein oder wenige Unternehmen, nutzt dort eine Schwachstelle aus und Millionen von Daten werden frei. Beim aktuellen Fall handelt es sich dagegen um ein langes Sammeln von Daten über die Zeit hinweg aus vielen verschiedenen Quellen – viele davon öffentlich zugänglich, andere schwach geschützt. Das war nichts Neues, auch kein echter Hackerangriff. Es war moderates Hineinfinden in schwach geschützte Profile und Informationsquellen.
Was sagt dieser Vorfall aus über die Cybersicherheit in Deutschland?
Der Vorfall zeigt, dass die Mechanismen, die es schon gibt, nicht sauber benutzt werden. Oder das die Mechanismen zu kompliziert sind, als dass man sie sinnvoll einsetzen kann. Immer noch sind sehr viele Menschen unvorsichtig im Netz unterwegs, weil sie nicht wissen, wie sie sich schützen können oder weil sie die Gefahren nicht erkennen. Es muss leichter benutzbare Konzepte zum Schutz der eigenen Informationen geben. Da ist auch unsere Forschung gefragt.
Müssen alle Internetnutzer davon ausgehen, dass ihre Daten ausspioniert werden, nicht nur Prominente und Politiker? Und geschieht das auch?
Natürlich müssen sie davon ausgehen. Alle verfügbaren Daten werden seit langer Zeit zur Profilbildung durch Anbieter Sozialer Medien aber auch durch Dritte wie zum Beispiel Werbenetzwerke benutzt. Je mehr Daten, desto besser das Profil das erstellt werden kann.
Was sind die Mindeststandards, die Internetnutzer zum Schutz ihrer Daten erfüllen müssen?
Das sind die gleichen Dinge, zu denen seit Jahren gemahnt wird: Darauf achten, dass die Updates eingepflegt sind, sichere Passwörter zu wählen und nicht dasselbe Passwort mehrfach zu nutzen sowie eine Firewall zu installieren. Wenn sich Internetnutzer irgendwo einloggen müssen, sollten sie das über eine Zwei-Faktor-Authentisierung tun. Das bedeutet, sich nicht nur mit dem Passwort einzuloggen, sondern z.B. auch noch einen Code zum Einloggen auf das Handy zu bekommen. Wenn jemand ihren Account bei einem sozialen Netzwerk oder Emailanbieter knacken will, braucht er in dem Fall dann nicht nur ihr Passwort, sondern auch ihr Handy. Bereits durch diese Maßnahmen haben Sie den Schutz Ihrer Daten erhöht. Ich muss jedoch betonen, auch wenn man all diese Standards erfüllt, kann nicht garantiert werden, dass die Daten komplett sicher sind, denn natürlich müssen auch die Anbieter für entsprechende Sicherheitsmaßnahmen ihrer Systeme sorgen.
Bundesjustizministerin Katarina Barley schlägt ein europaweites Gütesiegel für IT-Sicherheit vor ? Reicht das aus als Schutzmaßnahme?
Ein Gütesiegel kann dabei helfen, Plattformbetreiber zum Einsatz von Sicherheitsmaßnahmen nach dem Stand der Technik zu motivieren, ohne verpflichtet zu werden. Im Endeffekt wird es darauf ankommen, sinnvolle Mindeststandards für bestimmte Geräte und Dienste zu setzen. Ein Kriterium sollte auch die langfristige Sicherstellung von IT-Sicherheit sein zum Beispiel durch garantierte Sicherheitsupdates über einen bestimmten Zeitraum. Auf diese Weise könnte ein solches Gütesiegel für Verbraucher auch ein relevanter Faktor für die Kauf- oder Nutzungsentscheidung sein.
Wie können die Bürger nicht nur sensibilisiert, sondern auch motiviert werden, ihre Daten besser zu schützen?
Das ist ein Prozess, den sie auf mehreren Ebenen anpacken müssen. Die erste Ebene sind technische Lösungen. Da sind wir gar nicht so schlecht. Für viele Dinge gibt es technische Schutzmechanismen schon. Wo wir nicht so gut sind, und das zeigt dieser Fall, sind Lösungen, die nicht nur Experten, sondern auch IT-Laien intuitiv richtig benutzen können. Da sehe ich noch Nachhol- und auch Forschungsbedarf.
Und was ist die zweite Ebene?
Zweitens müssen auch der Gesetzgeber und die Aufsichtsbehörden aktiv werden. Wie bereits erwähnt, müssen Plattformbetreiber zum Einsatz von Sicherheitsmaßnahmen nach dem Stand der Technik verpflichtet werden. Dort, wo sie es schon sind, zum Beispiel aufgrund der Datenschutzgrundverordnung, muss dies besser kontrolliert und durchgesetzt werden. Die dritte und oftmals entscheidende Ebene ist Sensibilisierung und Grundwissen. Die Leute müssen besser an die digitale Welt herangeführt werden. Das ist ein Prozess, den man lange Zeit begleiten muss. Zu einem gewissen Maß wächst er sich heraus, weil die Generation nach uns, so hoffe ich zumindest, einen viel konkreteren Umgang mit diesem Phänomen hat, während die ältere Generation im Sinne von lebenslangem Lernen gefordert ist. Ihr muss man beibringen, wie man mit einfachsten Techniken die Sicherheit wirklich signifikant erhöhen kann.
Haben Sie ein Beispiel, wie sich das umsetzen lässt?
Da helfen zum Beispiel Informationsveranstaltungen. Wir haben in Saarbrücken im vergangenen Sommer eine Großveranstaltung für die Bürger gemacht, wo wir ihnen gezeigt haben, wie man wirklich Emails absichert, was gute Passwörter sind, was ein Passwortmanager ist. Ich gehe davon aus, dass es ähnliche Veranstaltungen auch in anderen Städten gibt, aber wohl nicht in dieser Dimension, dass sich Spitzenforscher vornehmen: Wir verlassen jetzt mal unsere Forschungsarbeit, und wenden uns stattdessen – inzwischen zum zweiten Mal – dem Problem zu, wie man die Probleme normaler Internetnutzer in ihren täglichen Anwendungen löst. Das ist eigentlich nicht unsere Aufgabe, aber es ist Teil unseres Selbstverständnisses, dass wir hier auch helfen möchten. Wir haben die Veranstaltungen sogar mit unseren Forschungsgeldern bezahlt.
Und waren Sie mit dem Zuspruch zufrieden?
Die Bilanz ist überwältigend. Da kommen bis zu 800 Menschen an einem Samstagvormittag in die Kongresshalle, ohne dass es groß beworben ist, und arbeiten aktiv vier Stunden mit. Das größte Lob, was wir bekommen haben, war: „Ich traue mich jetzt, diese Dinge zu tun und fühle mich sicher dabei.“ Und immer wieder ist zu hören: Wir finden es fantastisch, dass endlich mal jemand ernst nimmt, dass wir etwas machen wollen, wir nur nicht wissen wie.
Wie beurteilen Sie die Digitalstrategie der Bundesregierung bezüglich Cybersicherheit und fehlendes Grundwissen in der Bevölkerung aufbauen. Sind da die richtigen Ziele festgeschrieben worden?
Zum ersten Punkt Cybersicherheit. Die Bundesregierung hat sich entschlossen, ein Helmholtz-Zentrum für Cybersicherheit zu gründen als die größte derartige Forschungsinitiative der Welt. In den USA wird diese Entscheidung mit Erstaunen und auch Bewunderung aufgenommen. Wir stehen damit in der Spitzenforschung bezüglich der Zukunftstechnologie in puncto Datensicherheit ganz oben an der Weltspitze.
Wenn es darum geht, ob wir genügend in elementares Grundwissen investieren, bin ich ein Verfechter davon, das Thema viel tiefer in den Schulen zu verankern. Ich glaube, dass wir das, was andere Länder wie Großbritannien, oder auch die Schweiz schon seit Jahren tun, auch machen sollten – Computing, also konzeptionelle, algorithmische Lösungskompetenz muss ein Schulfach werden. Hier soll es nicht primär um Medienkompetenz oder die Benutzung bestehender Technologien gehen, sondern um das vertiefte Verständnis, wie die digitale Welt tickt, wie sie eigentlich gesteuert wird, wie Entscheidungen getroffen werden und vieles mehr. Wenn Menschen dies nicht verstehen und richtig anwenden können, wie wollen sie mündig urteilen. Aus Verständnis wird Mündigkeit. Ich meine damit gerade nicht, dass Lehrer und Eltern ihren Kindern beibringen sollen wie sie ein soziales Netzwerk nutzen. Das können die Kinder meist besser als ihre Lehrer. Aber den Schülern zu erklären, was mit ihren Daten geschieht, wie diese benutzt werden können und welche Risiken damit einhergehen, wie algorithmische Prozesse einzuordnen sind und wie sie sich grundsätzlich souverän in einer digitalisierten Welt bewegen können, darauf kommt es an. Diese grundlegenden Konzepte zu verstehen wissen, wird genauso wichtig werden wie Lesen, Schreiben und Rechnen. Es ist an der Zeit, diesem Thema im Schulsystem den Platz einzuräumen, den es verdient.
Aber dafür müssen auch erst einmal die Lehrer ausgebildet werden, oder?
Ja, aber das ist ein gordischer Knoten, den wir durchschlagen müssen. England hat ihn z.B. durchschlagen, in dem sie die notwendige Expertise am Anfang für Unterrichtsmaterialien eingekauft und an die Lehrer aus den mathematisch-naturwissenschaftlichen Fächern gegeben haben. Inzwischen ist dies ein lebendiges System geworden. Meiner Meinung nach sollten wir das auch tun, wenn wir ein IT-Land sein wollen.
Das Gespräch führte Nora Miethke.
