# taz.de -- Sicherheitsexperte über Sony-Hack: "Es ist noch keiner gestorben"
> War der Datendiebstahl bei Sony der "größte Hack aller Zeiten"?
> Sicherheitsexperte Sandro Gaycken meint: unwichtig. Und spricht mit der
> taz über den laxen Umgang mit dem Thema Sicherheit.
(IMG) Bild: Kein Theater, sondern die Entschuldigung japanischer Sony-Manager.
taz: Herr Gaycken, Hacker haben bei Sony Millionen Nutzerdaten
illegalerweise kopiert - inklusive Kreditkarteninformationen. Eine
Katastrophe?
Sandro Gaycken: Diese Sony-Geschichte wurde in der Presse total
hochgekocht. Der Schaden, der bei diesen Diebstählen bei kommerziellen
Datenbankenbetreibern entsteht, ist aber faktisch nicht sehr groß. Die
Täter sind entweder Kleinkriminelle, die Betrügereien durchziehen wollen,
bei denen aber bislang immer noch jeder Schaden rückerstattet wird. Oder
die Täter sind Werber, die gezielte Werbung platzieren wollen. In beiden
Fällen ist noch niemand gestorben, keine Existenz wurde ruiniert. Nur
Kreditkartenunternehmen und Rückversicherer sind diffus geschädigt. Starke
staatliche Überwachung als anderes Datenschutzthema halte ich da im
Vergleich für wesentlich schwieriger. Da entstehen reale Probleme in
unserem Verhältnis zum Staat. Aber in Fällen wie Sony bin ich eher bei der
Masse der Bevölkerung, die sagt: Da ist nichts Schlimmes passiert, das
juckt mich nicht.
Ist der Datenverlust von Sony ein Einzelfall?
Von der Dimension her ist das natürlich schon eine Riesengeschichte. Aber
eigentlich ist das nichts Neues. Wir haben Einbrüche wie diesen am
laufenden Band. Im Kleinen fast täglich und im Großen auch recht
regelmäßig, mit zwei, drei, vier Events pro Jahr. In der Regel sind die
Unternehmen oft recht lax mit Sicherheit, gerade gegen Innentäter wie
verärgerte Angestellte.
Das heißt: Was jetzt bei Sony passiert ist, kann theoretisch bei jedem
Konzern passieren?
Na klar. Sony hält sich noch mit Details zurück - wahrscheinlich weil sie
nicht in der Lage sind, das Leck schnell zu schließen. Viele Unternehmen
machen bei der IT-Sicherheit nur das Nötigste, das, wozu sie gesetzlich
verpflichtet werden, weil das ein teurer Posten ist. Und sie versuchen oft,
Einbrüche geheim zu halten, um Imageschäden und Klagen zu vermeiden. Dass
dieser Fall ans Licht gekommen ist, ist vielleicht eine
Kommunikationspleite bei Sony.
Sony wird jetzt dafür kritisiert, wie sie die Kreditkarteninformationen
verschlüsselt haben. Zu Recht?
Ein kritischer Sicherheitsaspekt ist sicher, dass diese Millionen Daten
alle zentral vorrätig gehalten waren. Das macht man eigentlich nicht, wegen
des hohen Sicherheitsrisikos: Wenn da einmal einer einbricht - oder eben
ein Insider etwas abzieht -, dann sind die sofort alle weg. Aber es spart
eben viel Geld und Aufwand. Da müsste jetzt der Staat regulierend
eingreifen. Das wird ja aktuell politisch diskutiert. Das sind aber alte
Gedanken. Wenn ein solches Thema in den Medien herumgeistert, wird da immer
mal wieder drüber geredet - und nach ein paar Tagen ebbt die Debatte wieder
ab.
Was wären denn sinnvolle politische Forderungen?
Sicher kann man die Unternehmen, die jetzt von diesen Datenpannen betroffen
sind, dazu auffordern, mehr in Sicherheit zu investieren. Dazu müsste man
Regulierungsbehörden einrichten, die die IT-Sicherheit von Firmen
kontrollieren. Allerdings ist unklar, was man da vorgeben sollte. Es gibt
eine Reihe von sehr harten Sicherheitsmechanismen, aber unter denen leiden
oft Funktionalität, Effizienz und damit Kosten-Nutzen-Verhältnisse. Dagegen
werden sich die Firmen wehren. Und: Sehr gute Sicherheit müsste auf
Forschungsstand operieren, was schwierig ist. Da hat man einen chronischen
Nachteil. Schließlich wird auch die Frage aufkommen: Wie stark muss man
regulieren? Eine mögliche Argumentation ist: Wenn die Unternehmen nicht in
der Lage sind, ihre Daten zu sichern, muss sich der Staat mit
Strafverfolgung einschalten, um abzuschrecken.
Der Sony-Hack könnte Überwachungsfans Auftrieb geben?
Wenn die Unternehmen keine Datensicherheit leisten, werden im Staat schnell
Stimmen laut, die eine erhöhte Internetüberwachung wie die
Vorratsdatenspeicherung einfordern, weil man da - mit viel Glück - sehen
könnte, wer bei Sony eingestiegen ist. Dann stellt sich allerdings die
Frage nach der Verhältnismäßigkeit - denn mit einer solchen Maßnahme sind
Bürgerrechte und Freiheitsempfinden in einem großen Maße beschränkt und
gefährdet. Plötzlich hat man also auf beiden Seiten ein Datenschutzproblem.
Und staatliche Überwachung wiegt da sehr viel schwerer als die für den
Nutzer banalen und kaum folgenreichen kommerziellen Datenpannen.
Sie sind nicht geschockt - weniger erfahrene Nutzer vielleicht schon. Steht
uns eine Vertrauenskrise des Internets bevor?
Mich würde es schwer wundern, wenn diese Sony-Geschichte eine
Vertrauenskrise in das Internet auslösen würde. Ältere sehen das alles
skeptisch - aber die hatten sowieso nie Vertrauen in die Technologie.
Jüngere, die auch bei Facebook und anderswo im Netz umtriebig sind, die
schreckt das gar nicht ab. Meiner Meinung nach ist das keine ganz
unberechtigte Haltung.
5 May 2011
## AUTOREN
(DIR) Meike Laaff
## TAGS
(DIR) Schwerpunkt Überwachung
## ARTIKEL ZUM THEMA
(DIR) Nächste Sony-Panne: Ein Skandal jagt den anderen
Sony kommt nicht zur Ruhe: Am Mittwoch musste der Konzern sein Netzwerk
wieder abstellen. Nun versuchten Unbekannte über einen Firmenserver an
Kreditkartendaten zu gelangen.
(DIR) Hacker entdecken Vorteil der Cloud: Angriff aus der Wolke
Früher war es aufwendig, große Systeme zu knacken, wenn sie keine bekannten
Sicherheitslücken aufwiesen. Mittlerweile nutzen böse wie gute Hacker die
Power der Cloud.
(DIR) Nach Datendiebstahl: Sony schaltet Onlinedienste wieder frei
Endlich wieder online daddeln: Sony hat nach dem gigantischen Datenklau
begonnen, seine Onlinedienste für die Playstation wieder freizuschalten.
Und verspricht bessere Sicherheitsvorkehrungen.
(DIR) Datendiebstahl bei Sony: Ein spätes Sorry
Die Konzernspitze entschuldigt sich bei Nutzern für die gestohlenen Daten
und erhebt erste Vorwürfe. Angeblich soll die Hacker-Gruppe Anonymouse
verantwortlich sein. Doch die wehren sich.
(DIR) Mehr als 100 Millionen Kundenkonten: Nutzerwut nach neuem Sony-Datenleck
Jetzt auch das Computerspiele-Netzwerk SOE: Während der Ermittlungen zum
Playstation-Hack ist ein weiteres Datenleck bei Sony entdeckt worden. In
Foren lassen die Nutzer ihren Frust raus.
(DIR) CCC-Sprecher über Datenschutzskandale: "Keine freundliche SciFi-Intelligenz"
Apple, Sony oder TomTom: In den letzten Tagen und Wochen häufen sich erneut
die Datenschutzskandale. Sicherheitsexperte und Internet-Aktivist Frank
Rieger hofft auf einen Lernprozess.
(DIR) Datenpanne bei der Unesco: Unesco ist zu transparent
Wer sich in den vergangenen Jahren bei der UN-Organisation in Paris
beworben hat, muss damit rechnen, dass Dritte seine Daten eingesehen haben.
Sie waren im Netz frei verfügbar.
(DIR) Sonys gehackte Datenbank: Alles Peanuts außer Sony
Eine Online-Plattform für die Playstation des Sony-Konzerns wurde gehackt.
Aber muss es denn gleich der "größte Hack aller Zeiten" sein?
(DIR) Hackerangriff auf Sony: Die Playstation wird politisch
Der Hackerangriff auf Sony heizt die Debatte um Datenschutz neu an. Die
Opposition und Datenschützer werfen der Bundesregierung Versäumnisse vor.
Eine erste Sammelklage wurde eingereicht.