Bei Sorgen um Daten-Sicherheit...

...bitte zu Stift und Papier greifen!

Der TÜV Rheinland will bei Verbrauchern, Versicherern und Ordnungshütern um Vertrauen werben. Die Botschaft: Unter diesem Siegel befindet sich Sicherheit. In einer Pressemitteilung schreibt der Konzern: "Die umfassende Analyse eines unabhängigen Prüfunternehmens gibt den Verbrauchern Orientierung und sendet ein eindeutiges Signal: Dieses Unternehmen zeigt Verantwortung gegenüber seinen Kunden." Ein hehrer Anspruch. Halten die Siegel das, was der Konzern verspricht?

Zumindest nicht immer. So zählt der Konzern auch die Fiducia IT AG zu seinen Kunden. In ihrer Pressemitteilung schreiben die Kölner Prüfer über ihren Prüfling, den "größten IT-Dienstleister der Volks- und Raiffeisenbanken":

Die komplette Infrastruktur ist doppelt vorhanden, der Leitstand räumlich getrennt vom Rechenzentrum. Weitere Sicherheitsmaßnahmen sind eine synchrone Spiegelung aller Daten, eine redundante IT-Infrastruktur und Telefon-Datennetz-Zuführung, eine kontinuierliche Notstromversorgung durch acht Dieselaggregate sowie sichere und laufend geprobte Prozesse für den Wiederanlauf des Rechenzentrums. Der ausfallsichere Leitstand, der weltweiten Standards entspricht, steuert den Normalbetrieb und den Wiederanlauf aller Services im Krisenfall.

Deshalb "bescheinigen die Prüfer dem größten IT-Dienstleister der Volksbanken und Raiffeisenbanken in Karlsruhe sehr hohe Sicherheitsstandards" und haben dem Rechenzentrum der Fiducia IT AG das Zertifikat "Secure Data Center" vergeben. Wow, das ist wohl 'ne 1 mit Sternchen, der Laden steht wie ein Fels in der Brandung. Sollte man meinen.

… hat Macken abbekommen...

Mitte September war es im Südwesten der Republik ein bischen windig. Und schwupps, wars vorbei mit der Ausfallsicherheit. Der Südwestrundfunk (SWR) meldete

Die Geldautomaten und Computer in mehreren Filialen der Volks- und Raiffeisenbank (VR-Bank) sind am Donnerstagmorgen wegen einer Rechnerstörung ausgefallen.

Eine überlastete Datenleitung im Sicherheitssystem des Rechenzentrums habe "Computerstörungen und Totalausfälle" verursacht. Der SWR schreibt weiter:

Nach Angaben der zuständigen Daten-Sicherheits-Firma waren bis zu 70 Prozent aller (11.000 - Anm. d. Autors) Filialen im süddeutschen Raum betroffen.

Bemerkenswert ist der Schluß der Meldung: "Die Ursache ist noch unklar. Einen Hacker-Angriff schließt das Daten-Unternehmen Fiducia aus." Aha: Der SWR berichtet um 15.24 Uhr von einer Störung am "Morgen". Die Ursache ist noch unklar, aber einzelne Möglichkeiten werden bereits selektiv nach wenigen Stunden ausgeschlossen? Das klingt so wie nach Fukushima: "Radioaktivität ist nicht ausgetreten; eine Gesundheitsgefährdung der Bevölkerung ist ausgeschlossen."

Thomas Nusche, Pressesprecher der Fiducia, beschreibt den Vorgang so:

Die Störung in der vergangenen Woche lag an einer fehlerhaften Anwendung eines externen Software-Herstellers.

Was jetzt - eine überlastete Leitung? Oder eine fehlerhafte Anwendung? Im günstigsten Fall sind nur die Verlautbarungen der Fiducia so konfus. Leider will Thomas Nusche den Namen des externen Softwareentwicklers nicht preisgeben.

Überlastete Datenleistung oder fehlerhafte Anwendung, was auch immer es war, Nusche weist darauf hin:

Das hatte starke Auswirkungen auf die Geschwindigkeit der Kommunikation zwischen Rechenzentrum und Anwendungen in den Banken wie Bankarbeitsplätze, SB-Geräte oder Online-Banking zur Folge. Dies war jedoch nicht bei allen Instituten der Fall. Das hatte also nichts mit der (zertifizierten) Sicherheit oder der Verfügbarkeit unseres Rechenzentrums zu tun.

Ok, nehmen wir an, das Rechenzentrum lief wie geschmiert - ob das aber ein Trost für die Kunden und Mitarbeiter in den von "Totalausfällen" betroffenen 70 Prozent der 11.000 Volksbanken ist?

Es könnte aber sein, dass der Schaden größer ist, als es die bisherige Schilderung vermuten läßt: Eine Kundin der Volksbank-Niederlassung Harthausen behauptet, dass eine Mitarbeiterin bereits am vorhergehenden Montag ihr Geld "im Keller holen musste".

Der Geschäftsstellenleiter in Harthausen will sich dazu nicht äußern und verweist an die Speyerer Zentrale. Der dort zuständige Marketing-Mitarbeiter war bis Redaktionsschluß beschäftigt. Thomas Nusche sagt zum Vorgang in Harthausen: Das "verschließt sich meinem Kenntnisstand. Ein Zusammenhang zur Meldung vom Donnerstag besteht jedenfalls nicht."

Banken sind nicht nur geizig sondern noch dazu gierig

Wie knickrig die Finanzdienstleister in die Sicherheits-Bildung und -Technik investieren, läßt sich einigen Schlagzeilen der letzten 12 Monate entnehmen: "Datendiebe erbeuten 2,7 Millionen US-Dollar von Citibank-Kunden", "Datenklau bei der Citibank gelang durch simple URL-Manipulation", "16-jähriger demonstriert Sicherheitslücken bei 17 Banken", "Banken-Seiten weiterhin unsicher".

Die hartnäckige Weigerung der Banken, für Sicherheit zu sorgen, ist das Eine. Das Andere ist der bedrohlich harte Kampf um Marktanteile - so jubelte geldinstitute.de im Herbst 2010:

Seit kurzem stellt die Fiducia IT AG als einer der ersten Anbieter ihr iPhone-Banking-App "vr.de" auch für das iPad zur Verfügung.

Das iPhone! Ausgerechnet! Das Teil ist löchrig wie ein Schweizer Käse! Kein Wunder, dass der "eco Verband der Deutschen Internetwirtschaft eV" vor einer neuen "Kriminalitätswelle" warnt, wenn die Hosentaschen-Computer zu Geldbeuteln werden. Genauso wenig wundert mich, dass der Sparkassen- und Giroverband diese Bedenken für unbegründet hält.

Das komplexe Mosaik des elektronischen Regierens und -Wirtschaftens

Die Banken sind aber nur ein Steinchen im komplexen Mosaik des elektronischen Regierens und -Wirtschaftens: Weiterhin wollen wir ja auch rechtsverbindliche Briefe (E-Postbrief verschafft 1 Million Anwendern "gefühlte" Rechtssicherheit) nur noch virtuell austauschen, Rechnungen müssen dabei nicht einmal mehr elektronisch signiert werden, die Ärzte sollen eine Kopie ihrer Patientendaten einer zentralen Infrastruktur anvertrauen (Unwürdige Bauernfängerei mit der Gesundheitskarte), das Stromnetz soll per Internet gesteuert werden (Eigentore sind blöd!), der "intelligente Kühlschrank" bestellt die Milch automatisch nach, wenn der letzte Beutel angebrochen wird und die "intelligenten Autos" am Stauanfang warnen die Fahrzeuge am Stauende.

Ich höre schon die Rechtfertigung vom TÜV nach der e-Massenkarambolage: "Wir hatten den Auftrag, die Signalisierung zwischen den Fahrzeugen zu prüfen. Die funktioniert auch. Wir wurden nicht gebeten, die Funktionstüchtigkeit elektronisch vernetzter Bremsen zu untersuchen. Dazu wäre ein neuerliches Gutachten notwendig." Hätte sich der doofe Fahrer ja nur mal den tatsächlichen Prüfumfang durchlesen müssen, bevor er in den Stau reinfährt!

Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität!

In jedem Fall ist die Verfügbarkeit elektronischer Dienste für die Anwender von enormer Bedeutung. Insbesondere, wenn dies von einem Dritten auch noch ausdrücklich bescheinigt wird. Außerdem muss sich der Kunde darauf verlassen können, dass kein Anderer den Datenstrom abgehört oder gar manipuliert hat. Ganz wesentlich gehört zur IT-Sicherheit aber auch die "Authentizität": Liese Müller muss nachweisen, dass sie tatsächlich Liese Müller ist.

Der Nachweis ist wichtig, denn mit missbrauchten Identitäten läßt sich ein Heidengeld machen: "IdentityTheft.info" behauptet, dass jährlich Identitäten von 7 Prozent aller erwachsenen US-Amerikaner missbraucht werden. Im Durchschnitt entstünden dabei Schäden in Höhe von 3.500 Dollar.

Und auch die Identitäten von Unternehmen werden gefälscht. Nun ist die Wahrscheinlichkeit tatsächlich eine Volksbank zu betreten, wenn vor der Tür ein entsprechendes Schild hängt, vergleichsweise hoch. Die Anwender der genannten "iPhone-Banking-App" können da nicht ganz so sicher sein, an wen die Daten übertragen werden.

Da der Mensch für seine mobilen Geldgeschäfte eben nicht mehr "in die Bank" geht, sondern alles von seinem (mobilen) Endgerät aus erledigt, ist ein elektronischer Identitätsnachweis notwendig. Elektronisch wird die Identität der Bank durch ein "Zertifikat" nachgewiesen. Dieses Zertifikat bescheinigt dem Volksbank-Kunden, dass er es tatsächlich mit der Volksbank zu tun hat. Diese Zertifikate werden - für gutes Geld - von speziellen Diensten "herausgegeben".

Einer der Herausgeber solcher Zertifikate ist die Niederländische Firma DigiNotar. Dem Unternehmen sind im Juli über 500 Zertifikate abhanden gekommen - es wurden dabei auch Zertifikate für Unternehmen wie Microsoft und Facebook oder Regierungsstellen und sogar Geheimdienste geknackt.

Iran steht im Verdacht, hinter den Angriffen zu stecken. Das hat nicht nur wirtschaftliche und politische Konsequenzen. Betroffen könnten auch iranische Regimekritiker sein, wenn deren Post - etwa über googlemail.com - vom iranischen Geheimdienst mitgelesen wird.

Besonders heftig wurde die Informationspolitik des Unternehmens nach dem Gau kritisiert: "Die Statements, die DigiNotar und der Mutterkonzern VASCO über das Ausmaß und die Auswirkungen der Kompromittierung gemacht haben, waren bestenfalls unvollständig und schlimmstenfalls bewusst irreführend", heißt es etwa von Firefox-Entwickler Mozilla. Dass DigiNotar seinen Sitz in den Niederlanden hat, ist kein Zufall. Die Holländer sind besonders "fortschrittlich", was elektronische Transaktionen in Wirtschaft und Verwaltung angeht.

Wem können sie noch trauen?

Im "e-Government Readiness Index" der Vereinten Nationen rangiert ([PDF]) das Land auf Platz fünf. Zum Vergleich: Deutschland kam auf Platz 15. IBM stellte in einer Pressemitteilung ebenfalls für 2010 fest:

Bei der allgemeinen Akzeptanz, wozu unter anderem die Verbreitung von e-Business, die generelle Nutzung des Internets sowie die privaten Ausgaben für ITK gehören, liegen die Niederlande, Dänemark und Norwegen vorne.

Eine der Ursachen für den digitalen GAU war wohl die unzureichende Sicherung der kritischen Infrastruktur des Unternehmens: Die speziellen "Certificate Authority" (CA) Server waren übers Management-LAN von außen erreichbar, das notwendige Passwort sei "schwach" gewesen und hätte sich leicht erraten lassen, wie Heise Security berichtete.

Auf kritischen Servern sei Schadsoftware gefunden worden, die von gängiger Antivirensoftware mühelos hätte erkannt werden können. Die aber war nicht einmal installiert. Die Webserver von DigiNotar liefen unter veralteter Software. Die Einbrecher hinterließen nicht nur jede Menge digitaler Werkzeuge, sondern prahlten auch noch mit ihrem Können.

Jetzt haben die fortschrittlichen Holländer ein Problem: Wem können sie noch trauen? Wohin gehen die Daten tatsächlich, wenn der Einwohner scheinbar auf der Seite des Einwohnermeldeamts, des Arztes oder der Müllabfuhr ist?

Innenminister Piet Hein hat das Problem erkannt. Seine Empfehlung: Wer Sicherheitsbedenken habe, solle zu Papier und Stift zurückkehren. Papier und Bleistift ließen sich notfalls noch im Ausland kaufen. Schwierig könnte es für die Menschen werden, wenn das Personal in Behörden und Unternehmen im dem Maß gekürzt worden wäre, in dem die elektronischen Innovationen bei unserem Nachbarn Einzug gehalten haben.