Interview: Wenn die Beatmungsmaschine am Internet hängt – Sicherheit im digitalen Zeitalter

Gepostet von

Das Internet prägt das 21. Jahrhundert wie keine andere Technologie. Wir kommunizieren, informieren uns, shoppen und lassen uns unterhalten. Unter der Oberfläche steuern sich zum Teil auch Krankenhäuser und Kraftwerke über das Netz. Wie gefährlich das sein kann, haben wir vor drei Wochen in einem Artikel aufgezeigt. Nun spricht Spotlight mit zwei Internetexperten über internationalen Datenschutz und angreifbare Beatmungsgeräte während der Corona-Krise.

Prof. Dr. Hannes Federrath ist Professor an der Universität Hamburg. Als Gutachter begleitete er Gesetzgebungsverfahren, unter anderem im Urheberrecht. Der Datenschutzexperte entwickelte Verfahren zum Schutz vor Überwachung und Zensur im Internet. Seit 2018 ist er Präsident der Gesellschaft für Informatik.

Prof. Dr. Mathias Fischer ist Assistenzprofessor an der Universität Hamburg und Experte für kritische IT-Infrastruktur. Andere Forschungsschwerpunkte setzt er in der Angriffserkennung und in der Überwachung von Botnetzwerken. Zudem ist der Informatiker eng mit der Netzaktivistenszene verknüpft.

Spotlight: Daten und Datenschutz spielen in einer digitalen Welt eine immer größere Rolle. Seit 2016 gilt in Europa die Datenschutzgrundverordnung (DSGVO). Was hat sich seitdem getan und welche Neuerungen sind lange überfällig? 

Federrath: Bis 2016 hatten wir in Europa eine sehr heterogene Datenschutzgesetzgebung und es wurde dringend Zeit, dass man diese angleicht. Deutschland hatte aber schon vorher eine   Gesetzgebung, die Persönlichkeitsrechte und Daten im europäischen Vergleich am stärksten geschützt hat. Deswegen gab es zunächst Befürchtungen, die hohen deutschen Standards könnten durch eine europäische Regelung abgeschwächt werden. Das hat sich aber nicht bestätigt. Europäische Datenschützer haben schon immer neidisch auf Deutschland geschaut und deutsche Datenschützer konnten ihren Einfluss geltend machen. Die DSGVO ist dadurch sehr deutsch geprägt. Kritisiert werden kann jedoch, dass die Regelungen sehr allgemein, wenig technisch formuliert sind und zukünftige Technologien nicht ausreichend berücksichtigt werden. Hier muss die Verordnung bei Bedarf in einigen Formulierungen ergänzt werden, aber grundsätzlich habe ich keine Kritik an der DSGVO.  Das Datenschutzniveau ist nicht nur ausreichend, es ist vorbildlich – europaweit. 

Sind denn Regelungen auf nationaler oder auf Bündnisebene zeitgemäß, wenn im Internet Ländergrenzen keine Rolle mehr spielen? 

Fischer: Das kann auch ein Standortvorteil sein. Wenn amerikanische Firmen ihre Daten mit den US-Behörden teilen müssen, speichern sie diese vielleicht zukünftig lieber auf europäischen Servern.  Aber auch die Amerikaner wünschen sich mittlerweile modernere Regelungen. Dort herrscht in Sachen Datenschutz bisher Wilder Westen. Was wir in Europa geleistet haben, hat ordentlich Eindruck hinterlassen.  

Federrath: Die Kritik, man bräuchte aufgrund der Internationalität des Internets auch internationale Gesetze, ist berechtigt und Bestrebungen in die Richtung sind notwendig. Es gibt bereits Vorbilder für internationalen Rahmenwerke aus anderen Bereichen, wie beispielsweise das Kriegswaffenkontrollgesetz. Aber auch da halten sich einige Länder zum Teil raus, die USA zum Beispiel von der Ächtung von Landminen. Hier erkennt man die Grenzen der internationalen Gesetzgebung, dennoch könnten solche internationalen Abkommen ein Vorbild für den globalen Datenschutz sein.  

In den USA gab es Diskussionen über eine externe Einflussnahme über soziale Medien auf die letzte Präsidentschaftswahl. 2017 erreichte das Thema auch Deutschland, als die AfD Russlanddeutschen Wahlwerbung auf Russisch, zum Teil mit anderem Inhalt als im Wahlprogramm, über Facebook anzeigen lies.  

Fischer: Die Versuche der Einflussnahme auf Wahlen, ob in den USA, in Deutschland oder überall sonst auf der Welt, werden wir in den nächsten Jahren verstärkt beobachten. Aber auch die Sozialen Netzwerke haben daran kein Interesse und versuchen jetzt schon dagegen anzukommen. Natürlich ist die Möglichkeit, Botschaften nur an eine sehr eng eingegrenzte Zielgruppe auszuspielen ideal für böswillige Unternehmungen. Mit solchen Tools verdienen Konzerne wie Facebook aber eben auch ihr Geld. Es ist dabei schwer, legitime Anfragen von illegitimen zu unterscheiden.  

 Federrath: Technologien können ganz unterschiedlich eingesetzt werden. Daten sind Macht und Macht wird früher oder später zu den falschen Zwecken verwendet. Mit einem Messer kann ich Brot schneiden oder jemanden erstechen. Aber das Messer bleibt ein Messer. In unserer Gesellschaft hat es jeder verstanden, dass gegen den missbräuchlichen Einsatz solcher Daten entschieden vorgegangen werden muss. Aber das gilt leider nicht einmal für alle demokratischen Staaten.   

Die Bundesregierung plant, eine App herauszubringen, die bei der Eindämmung des Coronavirus helfen soll. Gesundheitsminister Spahn brachte sogar eine Standortüberwachung ins Gespräch. Wie ist das aus datenschutzrechtlicher Sicht zu bewerten? 

Federrath: Damit habe ich mich in den letzten Tagen viel beschäftigt. Netzpolitik.org hat dazu einen Vorschlag veröffentlicht, der gute Ergebnisse bei erträglichen Eingriffen in die Persönlichkeitsrechte sichern könnte. Herr Spahns Idee, Funkzellen-, und damit Standortdaten sammeln und auszuwerten, geht dabei in die falsche Richtung. Es ist technisch nicht möglich, mit diesen Daten zu ermitteln, wer wann mit welchen Personen direkt in Kontakt stand. Stattdessen wären solche Daten für Geheimdienste geeignet, um einzelne Personen zu verfolgen. Spahns Plan ist somit nicht zielgerichtet und ihm ist deshalb eine klare Absage zu erteilen. Andere Technologien sind da erfolgsversprechender. Manche Kaufhäuser nutzen beispielsweise seit einiger Zeit Bluetooth-Empfänger, die messen, wie lange sich Kunden an bestimmten Regalen aufhalten. Das würde auch zwischen Mobiltelefonen funktionieren. Ein Programm könnte so über anonymisierte Gerätenummern ermitteln, welche Geräte sich wann in unmittelbarer Nähe befunden haben. Hat sich ein Nutzer mit dem Virus infiziert und teilt sie oder er das der App mit, könnte diese eine Warnmeldung an Kontaktgeräte herausgeben. In Singapur funktioniert das bereits, dort können Nutzer allerdings konkret identifiziert werden. Deutsche Netzaktivisten sprechen sich für eine anonyme Alternative aus. Das ist ziemlich clever und ist äußerst sinnvoll. Wir wollen alle wieder raus und Ausgangsbeschränkungen stellen für mich über die nächsten drei Wochen hinaus keine Option dar. Ein Sicherheitsabstand ist natürlich trotzdem notwendig. 

In einem unserer letzten Artikel, ging es um kritische Infrastruktur in Deutschland und wie leicht diese aus dem Internet anzugreifen ist. Auch die Beatmungsgeräte, die zurzeit an Coronapatienten verwenden werden, sind häufig mit dem Internet verbunden. Wie groß ist das Risiko eines Angriffs auf solche Geräte oder auf Infrastruktur grundsätzlich? 

Fischer: In der Hacker- und Ransomwareszene gibt es aktuell das Moratorium, keine Krankenhäuser anzugreifen. Ob das am Ende eingehalten wird, muss man sehen. Viele Geräte in Krankenhäusern sind häufig veraltet, schlecht gewartet und bieten nur unzureichende IT-Sicherheit. Es gab in der Vergangenheit schon Angriffe auf Krankenhäuser, die zu einem Totalausfall der Krankenhaus-IT geführt haben. Wenn so ein Beatmungsgerät mit dem Internet verbunden ist, ist das extrem gefährlich.  

Federrath: Hersteller medizinischer Geräte sind früher davon ausgegangen, dass Krankenhäuser ein geschlossenes System darstellen. Deswegen sind diese Geräte innerhalb eines Klinikums häufig sogar ohne Passwort zu erreichen, sie sind offen im Intranet. Dieses Sicherheitsmodell ist natürlich veraltet. Es ist insbesondere dann angreifbar, wenn sich der Angreifer im Gebäude befindet und eigene Geräte in das System eingliedern kann. Diese Risiken hat man sich bisher nicht ausreichend bewusst gemacht. Heutzutage muss ich nicht mehr in ein Patientenzimmer, um den möglicherweise lebenswichtigen Stecker zu ziehen.  

Fischer: Allgemein sind Remote-Wartungssysteme natürlich komfortabel. Aber alles an das Internet anzuschließen, ist keine gute Idee. Andere Systeme der Infrastruktur sind während der Coronakrise aber so angreifbar, wie sonst auch. Sie mögen zwar weniger stark besetzt sein, aber sichere Systeme sind so sicher wie vor der Krise und umgekehrt.  

Zurzeit arbeiten viele Menschen in Home-Office. Ist das genau so sicher, wie aus dem Büro? 

Fischer: Grundsätzlich ja. Die meisten verbinden sich zu ihrem Unternehmen mit einem VPN, ein Virtual Private Network. Wenn das richtig aufgesetzt ist, macht es keinen Unterschied im Vergleich zum herkömmlichen Arbeitsplatz. 

Federrath: Es ist aber trotzdem notwendig, jetzt besonders vorsichtig zu sein. Tools, zum Beispiel für Videokonferenzen, müssen auf ihre Sicherheit überprüft werden, damit sichergestellt werden kann, dass sie auch für vertrauenswürdige Gespräche genutzt werden können. Auch in der Mailkommunikation müssen wir aufpassen. Absenderadressen können beispielsweise gefälscht werden. So kann eine gefälschte Mail vom angeblichen Chef zu Chaos führen. Firmen sollten deshalb Mails digital signieren lassen, verschlüsseln und wichtige Dokumente auf internen Servern zur Überprüfung speichern. IT-Sicherheit ist ein Dreiklang aus Vertraulichkeit, Integrität und Verfügbarkeit. 

Müssen wir uns Sorgen machen, dass das Netz durch Home-Office und dem erhöhten Unterhaltungsbedarf überlastet werden könnte? 

Fischer: Derzeit ist die Datenrate in Deutschland deutlich erhöht. Anbieter wie Netflix haben bereits ihre Übertragungsrate gedrosselt, Netflix überträgt nur noch in HD, statt in 4k. Von den Kollegen bei DE-CIX, dem größten Internetknotenpunkt der Welt in Frankfurt am Main, hören wir, dass wir noch nicht an dem Punkt angekommen sind, an dem es anfangen würde, weh zu tun. In der Hinsicht sind wir gut vorbereitet.  

Wie hat sich denn Ihr Arbeitsalltag verändert? 

Federrath: Am Anfang hatte ich das Gefühl, alles wäre etwas entspannter, ich könnte von zu Hause aus arbeiten und hätte mehr Zeit. Das hat sich in den letzten Tagen geändert, eine Telefonkonferenz jagt die nächste.  

Fischer: Das kann ich so nur bestätigen. Nebenbei muss ich noch meine Lehre vorbereiten, damit meine Studenten, die sich bestimmt alle langweilen, auch etwas zu tun haben.  

Interviewführung: Franziska und Valentin

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.