Stellt die hochdigitale, vernetzte Gesellschaft eine Bedrohung dar, Herr Jakobs?

Die Patientendatenbank eines Arztes mit 50 Gigabyte passt auf einen daumennagel-großen Chip und kann per Funk in einer Stunde übertragen werden. Im künftigen "5G"-Mobilfunknetz, dem leistungsstärkeren Nachfolger des aktuellen LTE-Netzes, dauert das noch 40 Sekunden. Auch die Anzahl kommunikationsfähiger Datenquellen explodiert regelrecht: Im kommenden "Internet der Dinge", in dem der Computer nach und nach von "intelligenten Gegenständen" ersetzt wird, verfügt jeder der 80 Millionen Bundesbürger rechnerisch über 62,5 Trilliarden (eine Zahl mit 21 Nullen) Internetadressen.

Telekom-Chef Timotheus Höttges formuliert den Wunsch der Entscheider in Politik und Wirtschaft wie folgt: "Alles, was digitalisiert werden kann, wird digitalisiert." Das soll die Kosten in Wirtschaft und Verwaltung senken, steht in der "Digitalen Agenda" der Bundesregierung.

Das (über-)fordert die Beteiligten - neben den Entscheidern auch die, die auf Basis der Entscheidungen Software entwickeln, implementieren, administrieren oder nutzen, um vernetzte Geräte zu steuern oder personenbezogene Daten damit zu verarbeiten: Dem Bundestag wurde vor drei Jahren empfohlen, ein "Informationssicherheitskonzept" zu entwickeln. Die Verwaltung will sich nicht dazu äußern, ob das geschehen ist. 2015 wurden dort jedenfalls 16 Gigabyte Daten gestohlen. Und wenn schon die IT-Sicherheit der 20 000 Parlamentsrechner nicht ausreicht, wie steht es dann um die Daten der 80 Millionen Bürger?

Ähnliches in der Wirtschaft: Ludger Arnoldussen, Vorstand der Rückversicherungs-Gesellschaft "Munich Re", stellt fest: "Noch immer denken kleine und mittlere Unternehmen, sie seien zu unbedeutend, um angegriffen zu werden. Großkonzerne hingegen glauben, gut genug geschützt zu sein. Beides ist in der Regel falsch."

Die Mitarbeiter aller Ebenen imitieren ihre Chefs: Nach Erkenntnis des Marktforschungsunternehmens "Forrester Research" werden weniger als 50 Prozent der gekauften Software sicherheitsgeprüft. 70 Prozent der von Banken und Einzelhändlern eingesetzten Software sollen angreifbar sein. Das Gleiche in den Rechenzentren: Im Konflikt zwischen IT-Sicherheit und Geschwindigkeit würden Systemadministratoren häufig der Geschwindigkeit den Vorzug geben, wie der IT-Dienstleister "Easy Software AG" berichtet. Hinzu kommt, dass das IT-Personal nicht immer beaufsichtigt wird, behauptet der IT-Konzern "Hewlett-Packard" (HP). 86 Prozent aller Internetdienste sollen zudem über "suboptimale" Passwortregeln verfügen.

Und schließlich die Anwender: Ihre "umfassenden Zugriffsrechte [...] bringen sensible Daten in Gefahr", behauptet der Sicherheitsdienstleister "Varonis". Unnötige Zugänge zu Daten würden geschaffen und die Mitarbeiter wüssten nicht, wie sie sich sicher zu verhalten hätten. Das wäre aber wichtig, denn oft nützten Angreifer die Schwächen der Anwender aus und spannten so das Personal im Zielunternehmen für ihre Attacken ein.

Daraus zieht aber offenbar nicht einmal ein Drittel des deutschen Mittelstands die Konsequenz, die Mitarbeiter entsprechend zu schulen, berichtet der "DsiN-Sicherheitsmonitor Mittelstand" von 2014, der die IT-Sicherheit bei kleinen und mittelständischen Unternehmen beschreibt. Der Verein "Deutschland sicher im Netz" hat weiter festgestellt, dass 55 Prozent der Deutschen zu nachlässig mit dem Thema Sicherheit umgehen. Vernichtend fällt der "DsiN-Sicherheitsmonitor" von 2015 aus - zwar werde in Digitalisierung investiert, die IT-Sicherheit sei aber nicht im gleichen Maße mitgewachsen, sondern stagniere oder sei sogar rückläufig, heißt es dort.

Schon heute sollen 70 Prozent der vernetzten Geräte nach Erkenntnis des IT-Konzerns "Hewlett Packard" verwundbar sein. Und die Vernetzung in Branchen (Maschinenbau, Versicherungen) und Funktionen (Einkauf, Marketing) steigt weiter.

Und die Angreifer? Die zahlen für personenbezogene Daten und technische Schwächen: Der Antiviren-Programm-Hersteller "McAfee" beziffert die Kosten für eine gestohlene europäische Kreditkartennummer auf 25 bis 30 US-Dollar. Kartendaten mit vollständigen Profilen - also zusätzlich mit Geburtsdatum, Rechnungsadresse, PIN, gegebenenfalls Mädchenname sowie Benutzername und Passwort bei Online-Konten - sind für 45 Dollar zu haben.

Zu den technischen Schwächen: Pro tausend Zeilen eines Computerprogramms finden sich zwischen 0,21 und 0,71 Lücken, also Fehler. Da der Quellcode eines Programms - in der Informatik der für Menschen lesbare, in einer Programmiersprache geschriebene Text eines Computerprogrammes - aus Millionen von Zeilen besteht, läppert sich das auf - die Programme sind angreifbar.

Die Informationen über solche Lücken lassen sich Unternehmen etwas kosten: Microsoft zahlt bis zu 100 000, Apple bis zu einer Million Dollar für "zero day exploits" (bislang selbst den Entwicklern unbekannte Schwachstellen). Damit verfügen sie über das Wissen, mit dem sich Angriffe unternehmen lassen. 8100 Dollar kosten solche Werkzeuge zur Übernahme industrieller Steuerung - vergleichsweise so viel wie für uns ein Kaffee beim Bäcker.

Dafür gibt's dann aber gleich ein ganzes Jahres-Abonnement mit Informationen zu den Systemen großer Unternehmen - wie etwa Siemens, SAP und IBM: Nie wurde an einen Betrieb über ein öffentliches Netz gedacht - Löcher in veralteten Systemen gelten als besonders tückisch.

Geheimdienste, Kriminelle und Terroristen wollen auch an "frische" Lücken herankommen. Eine ganze Industrie wuchert im Verborgenen. 2010 warf eine Schadsoftware namens "Stuxnet" - mutmaßlich von den USA und Israel entwickelt - das iranische Atomprogramm um zwei Jahre zurück. Doch "Stuxnet" hat sein Ziel weit überdauert: Tausende Siemens-Kunden sollen mit dem Schädling gekämpft haben. Und wieder können die Täter auf die Nachlässigkeit ihrer Opfer vertrauen. Sueddeutsche.de titelte 2015: "Deutscher Student entdeckt offene ,Stuxnet'-Lücke". Demnach soll Microsoft eine kritische Lücke jahrelang nicht richtig gestopft haben. "Hewlett Peckard" ist überzeugt, dass alle Windows-Maschinen bis zu diesem Zeitpunkt angreifbar waren. Ein Betriebssystem, mit dem die Produktion fast aller großen Branchen (Energie, Automobil, Chemie) gesteuert wird.

Die Ambitionen der Geheimdienste gehen jedoch darüber hinaus. Vor drei Jahren hat Ira Hunt, damals Chief Technology Officer des US-Geheimdienstes CIA, erklärt: "Mehr ist immer besser [...], da man Punkte nicht verknüpfen kann, die man nicht hat, versuchen wir alles zu sammeln, was wir sammeln können, und behalten es für immer." Als Beispiel seien Fitness-Armbänder genannt, die Menschen zu "wandelnden Sensorplattformen" machen.

Am 9. Juni 2013 entpuppte sich Edward Snowden als Quelle für den Geheimdienstskandal. Tags darauf prahlte Hunt damit, dass die Dienste in der Lage seien, nahezu "jede von Menschen generierte Information zu verarbeiten".

Verschlüsselungsexperte Bruce Schneier weiß von einem Geheimdienstler, der wüsste "wie tief wir in den Netzen unserer Gegner drinstecken". Und zitiert seine Quelle weiter: "Ich fürchte, dass die umgekehrt genauso tief bei uns drinstecken." Die Gesellschaft für Informatik vermutet, dass die Geheimdienste auch in Deutschland bereits Zugang zu 10 000 Servern haben.

Auch politische Aktivisten wie die Hacker-Gruppe "LulzSec" zählen zu den Feinden der Dienste - sie sollen nach Angaben des britischen "Telegraph" die CIA um riesige Mengen an Daten erleichtert haben. Und die Terrororganisation "Islamischer Staat" soll versucht haben, das US-amerikanische Stromnetz anzugreifen. Im vergangenen September wiesen US-amerikanische Studenten - angeblich ohne Hacker-Erfahrung - nach, dass Herzschrittmacher kabellos zu manipulieren sind.

Zwei Monate später kündigte "Forrester Research" für 2016 an: "Träger medizinischer Geräte werden erpresst werden!" Die Masche funktioniert wie die Erpressung mit verschlüsselten Handys. Der Nutzer kann das Gerät erst nach Zahlung eines Lösegelds wieder gebrauchen. Technisch funktioniert der Angriff einwandfrei - selbst die US-Polizei (und die Telekom) rät, zu zahlen.

Die "Cyber Threat Alliance", eine Vereinigung für Internetsicherheit, der unter anderem der Chiphersteller "Intel" angehört, traut dem Verschlüsselungstrojaner "CryptoWall" zu, seinen Herren in elf Monaten 325 Millionen US-Dollar eingebracht zu haben. Gut möglich, dass mit dem Kapern von Herzschrittmachern und Insulinpumpen noch mehr Geld gemacht werden kann. Wir sollten gut darüber nachdenken, ob wir tatsächlich alles digitalisieren, was digitalisierbar ist. Sonst spielen wir Russisch Roulette mit unserer Zivilisation. Bearbeitet von Julian Eistetter