Zauberlehrlinge der Informationsgesellschaft

Die reale Welt wird vollständig virtuell abgebildet: Jedes Blatt Papier in der Verwaltung läßt sich theoretisch mit jeder Schraube aus der Werkstatt vernetzen. Dazu stehen jedem Bundesbürger im künftigen „Internet der Dinge“ rechnerisch 62,5 Trilliarden (also 62.500.000.000. 000.000.000.000) feste IP-Adressen zur Verfügung. Die Möglichkeiten schaffen Wünsche – so sollen Ärzte von ihrer Praxis aus Blutdruck und Puls ihrer Herzpatienten überwachen, Autos sollen sich künftig autonom – also ohne das Zutun eines Fahrers fortbewegen und die Waschmaschine wäscht, sobald der Strom im „intelligenten“ Netz besonders günstig zu haben ist. Alles super! Damit das alles klappt, muss die Übertragungsgeschwindigkeit drastisch steigen – heute würden sich viele Menschen freuen, wenn sie eine stabile Übertragungsgeschwindigkeit von zwei Megabit pro Sekunde hätten. Ab 2018 soll es 500 Megabit pro Sekunde im Festnetz und gar ein Gigabit pro Sekunde mobil geben.

Die Euphorie kennt dabei kaum Grenzen: „700 Milliarden Euro zusätzliches Wachstum“ erwartet die bayerische Wirtschaftsministerin Ilse Aigner in den nächsten zehn Jahren für Deutschland. Das könnte nach Erkenntnis der Unternehmensberatung A.T. Kearney zusätzliche Investitionen in zwei Drittel der Unternehmen nach sich ziehen. 79 Prozent von 1.000 Befragten ab 14 Jahren stimmten in einer Umfrage des Branchenverbands Bitkom der Aussage zu, das Internet sei „einfach toll“.

Nicht alle Beteiligten sind aber den damit verbundenen Herausforderungen gewachsen – Beispiel Politik: Trotz der Bitte seines Parteivorsitzenden Sigmar Gabriel, auf das Bloggen während eines Parteitags zur Frage von Koalitionsverhandlungen mit der CDU zu verzichten, konnte der Hannoveraner Juso-Chef Daniel Brunkhorst dieser Versuchung nicht widerstehen; ein noch jüngerer Parteitagsdelegierter hat das Passwort zu diesem Blog – „Willy“ – noch dazu per Twitter verschickt.

Selbst ohne das Verschicken per Twitter wäre das Passwort fahrlässig gewesen – es lässt den Schluss zu, dass sich nicht alle Parteitagsdelegierten der SPD darüber im Klaren sind, dass es Passwort-Datenbanken mit Zig-Millionen Einträgen gibt, die sich in Sekunden automatisiert durchprobieren lassen. So ließen sich die Ergebnisse der Beratungen nicht lang geheim halten – kurz drauf stand jedenfalls in der „Bild“, dass Gabriel bereits zu diesem Zeitpunkt nicht an Steuererhöhungen mit der Union glaubte. Mit diesem Fauxpas im Kreuz musste Gabriel anschließend mit der CDU-Vorsitzenden Angela Merkel verhandeln.

Der angehende Jurist Brunkhorst könnte womöglich in wenigen Jahren in Gabriels Wirtschaftsministerium Gesetze vorbereiten – doch auch dort wäre Sicherheitsbewusstsein gefordert: Solaranlage, elektrische Geräte und Stromspeicher spiegeln das Leben von Immobilienbewohnern künftig im Detail: Wie viele Personen sind wann im Haus und pflegen welchen Lebensstandard und -gewohnheiten? Alle diese Informationen müssen dem „intelligenten“ Stromzähler entnommen werden können: Nur so ist es möglich, Strompreise permanent an Stromangebot und -nachfrage anzupassen.

Gleichzeitig muss aber der Zugriff von Unbefugten verhindert werden. Außerdem dürfen weder der tatsächliche Stromverbrauch, noch der Zähler manipuliert werden können, nicht vom Eigentümer, nicht vom Stromanbieter und schon gar nicht von Dritten. Seit Januar 2015 sind Bauherren und die, die mehr als 6.000 Kilowattstunden jährlich abnehmen, vom Energiewirtschaftsgesetz verpflichtet, solche Zähler einzubauen. Wenigstens gilt das – so der Gesetzgeber – erst dann, wenn die schlauen Zähler die gesetzlichen Vorgaben erfüllen. Sonst müssten womöglich unsichere Geräte verbaut werden.

Da der Kunde kaum beurteilen kann, welches Gerät diese Vorgaben erfüllt, hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) dazu die Technische Richtlinie TR-03109 veröffentlicht. Die hat es in sich: Das Dokument ist so komplex, dass es in acht Teile zerlegt werden muss. Einer davon, die TR-03109- 1, umfasst 146 Seiten und glänzt durch Unverständlichkeit. Unter „Zielgruppe“ heißt es etwa: „Die Technische Richtlinie richtet sich in erster Linie an Hersteller von Kommunikationseinheiten intelligenter Messsysteme […]“ Aha! Seit Februar 2015 gibt es nun ein Betriebssystem der Telekom, das den Segen des BSI erhalten hat. So ist etwa die Dr. Neuhaus Telekommunikation GmbH dabei, entsprechende Hardware mit diesem Betriebssystem zu bauen. Mal sehen, ob die künftig genau das (und einesfalls mehr) tut, was sie soll.

Ähnlich in der Wirtschaft – der Arbeitgeberverband Südwestmetall verlangt eine „flächendeckend bessere digitale Infrastruktur“: Wenn die „Bits und Bytes aus der Leitung nur tröpfeln, kann dies ein K.O.- Kritierium für einen Standort sein“, droht der Verbandsvorsitzende Stefan Wolf. Nun bringt aber der Wechsel vom Trampelpfad auf die Datenautobahn neue Risiken mit sich. Wissen das die Mitarbeiter der Verbandsmitglieder?

Um das zu klären, wollte der Autor Peer Michael Dick den Hauptgeschäftsführer des Verbands zu einer Podiumsdiskussion an eine Stuttgarter Hochschule einladen. In seiner Absage schreibt Dick: „Wir sind ein sozialpolitischer Arbeitgeberverband und beschäftigen uns weit überwiegend mit sozialpolitischen Fragestellungen“ […] – „Bildungsfragen etc“ – und kommt zu dem Ergebnis: „Um die Technik kümmern wir uns dabei nicht, dies überlassen wir den Fachleuten.“ Es scheint, als ob der Industrieverband den Menschen als entscheidende Schwachstelle der Informationssicherheit noch nicht einmal wahrgenommen hat. Wenn dieses Bewusstsein aber in den Verbänden fehlt – wie sieht es dann erst bei den Mitgliedern und deren Mitarbeitern aus?

Mit einem Wort: Schlecht! Trotz der steigenden Risiken und der Erkenntnis, dass die eigene Existenz durch ungewünschten Datenabfluss gefährdet werden kann, glauben Intel Security zufolge 95 Prozent der Deutschen IT-Verantwortlichen, sie seien gut geschützt; sie sähen keinen Anlass, die eigene Sicherheitsstrategie zu hinterfragen und in die Bildung des Personals zu investieren. Tatsächlich wünschen sich aber 80 Prozent der Mitarbeiter ein solches Sicherheitstraining, behauptet der Sicherheitsanbieter McAfee. Hätten die Verantwortlichen mehr Sicherheitsbewusstsein, würde Software vor dem Einsatz im Unternehmen geprüft. Aktuell soll das – so Forrester Research – nicht einmal bei jeder zweiten Anwendung der Fall sein. Das Ergebnis: 70 Prozent der von Banken und Einzelhändlern eingesetzten Software soll angreifbar sein. Genauso die Administratoren: Im Konflikt zwischen Geschwindigkeit und Sicherheit der Systeme entscheiden sie sich offenbar häufig für mehr Leistung. Und 86 Prozent aller Internetdienste verfügen nur über schwache Passwortregeln. Die Folge: Jedes dritte Anwender-Passwort lautet nach Erkenntnis des Sicherheitsberaters Trustwave „Password1“ – gefolgt von „Hello123“ und „Password“. Soweit zur Abwehrbereitschaft der Angegriffenen.

Jetzt die Angreifer: 2012 sollen Kriminelle rund 1.000 „intelligente“ Stromzähler geknackt und zehn Prozent von Maltas Strom gestohlen haben. Schaden: 30 Millionen Euro. Der US-Geheimdienst CIA erhebt den Anspruch „jede von Menschen generierte Information“ verarbeiten zu können – wozu auch der Gebrauch von Spülmaschinen und das Anschalten des Lichts im Wohnzimmer gehören. Zusammen mit der automatisierten Erkennung von Text, Sprache und bewegten Bildern sowie der lebenslangen Papierspur (von der Geburts- bis zur Sterbeurkunde) wollen die Geheimdienste herausbekommen, was X über Y denkt. Anschließend könnte die technikbasierte Kommunikation manipuliert werden. Die größere Gefahr hat der Spiegel vor Jahren getitelt: „Hacker könnten USA den Strom ausknipsen“.