Digitalbeauftragter des Kaufbeurer Stadtrats warnt

Lecks im Netz: Wenn das Kassensystem eines Händlers aus Kaufbeuren viral geht

Sicherheit im Internet: Alexander Uhrle mahnt zur Vorsicht.

Sicherheit im Internet: Alexander Uhrle mahnt zur Vorsicht.

Bild: picture alliance-dpa/Wild

Sicherheit im Internet: Alexander Uhrle mahnt zur Vorsicht.

Bild: picture alliance-dpa/Wild

Der Digitalbeauftragte des Stadtrats in Kaufbeuren warnt vor Sicherheitslücken im Internet. Alexander Uhrle über falsche Sparsamkeit, verheerende Datenlecks und Hacker-Kompetenz.
24.04.2021 | Stand: 19:00 Uhr

Als Beauftragter des Stadtrats für „Digitale Stadt“ fordern Sie immer wieder mehr Tempo und Ausstattung auf der Datenautobahn. Dabei tut sich doch gerade jetzt während der Pandemie in Schulen, Unternehmen und Behörden sehr viel. Nicht genug?

Alexander Uhrle: Die Digitalisierung kommt im Land der Ingenieure endlich voran, das stimmt. Das besonders in Deutschland bei vielen Geschäftsführern verpönte Homeoffice setzt sich, ob gewollt oder nicht, durch. Schüler arbeiten zunehmend mit Laptops und Tablets. Dienstreisen werden durch Videocalls ersetzt. Politiker merken, dass die Digitalisierung über eine elektrische Steuerung der Modelleisenbahn hinaus geht. Und IT-Abteilungsleiter finden mehr Gehör, wenn es um innovative Projekte geht. Traurig dabei ist nur, dass es einer globalen Pandemie bedarf, damit es im Land der Innovationen und Erfindergeistes zu einer Bewegung kommt.

Halbherzigkeit beklagt

Also, woran hakt es dann?

Uhrle: Es werden viele Themen eher halbherzig angegangen. Denn der Digitalisierung bedarf es besonders zwei Dinge: Geld und Know-how. Und Know-how ist nur durch mehr Geld ersetzbar, wenn man dieses extern einkaufen muss. Das ist natürlich vielen Verantwortlichen ein Dorn im Auge. Daher werden Systeme zu oft nur soweit eingerichtet, dass sie irgendwie funktionieren. Die Sicherheit und auch die Wartung werden häufig aufgrund fehlender Ressourcen oder falscher Sparsamkeit ausgeblendet. Dies kann zu existenziellen Problemen führen.

Welche zum Beispiel?

Uhrle: Solange es funktioniert – das hört man oft. Aber das ist nicht unbedingt ein Maßstab, denn eine Tür würde man auch nicht unbedingt mit einem Kabelbinder sichern, auch wenn es zu funktionieren scheint. Das klappt nur solange, bis der erste mit etwas mehr Kraft oder einer Schere kommt. Leider haben viele, besonders kleinere Unternehmen, ihre IT katastrophal abgesichert. Da werden etwa Freigaben einfach auf dem Router eingerichtet, und schon können andere unbefugt von außen auf die Systeme zugreifen. Es funktioniert ja sonst alles. Und das Sicherheitsleck merkt niemand.

Viele Lecks im Netz

Sie durchforsten das Netz immer wieder nach solchen Datenlecks bei Einrichtungen und Unternehmen in der Region. Was finden Sie dort?

Uhrle: Es finden sich immer wieder solche Lecks, wie das Kassensystem eines Kaufbeurer Einzelhändlers, das recht offen im Netz zu sehen war. Finde ich den Eigentümer des Systems, versuche ich diesen zu kontaktieren, wie eben in diesem Fall. So auch bei einem Kaufbeurer Kfz-Unternehmen, dessen Kameras im Internet frei verfügbar waren. Man findet im Internet Netzwerkspeicher, Drucker, die Druckaufträge entgegennehmen würden, den Verzeichnisserver einer Schule, den PC eines Finanzdienstleisters oder den völlig veralteten E-Mail-Server einer Anwaltskanzlei. Teilweise sogar mit deaktivierter Authentifizierung. Und auch wenn die Authentifizierung aktiviert ist, so werden oft nicht mehr mit Updates versorgte Systeme verwendet, bei denen das Abziehen von Daten oder Einspielen von Schadsoftware über Sicherheitslücken keine große Herausforderung wäre.

Mit welchen Folgen?

Uhrle: Gerade bei nicht aktualisierten oder sehr schlecht gesicherten Systemen braucht es keine Hacking-Kompetenz, die ich selbst ja auch nicht habe, sondern einfach nur das richtige digitale Werkzeug. Man braucht auch keine große Manpower. Das lässt sich automatisiert durchführen: So kann eine Person gleich viele tausend Systeme übernehmen. Dies kann katastrophale Folgen haben. Und die Zahl der Sicherheitslücken nimmt rasant zu, vor allem während der Pandemie, in der die Sicherheit hinter der Digitalisierung herläuft.

Dem Angreifer voraus sein

Was raten Sie den Verantwortlichen in Behörden und Unternehmen?

Uhrle: Hört auf eure IT-Experten, auch wenn es Geld kostet. Es benötigt nun mal Ressourcen, Systeme auf einem sicheren Stand zu halten. Idealerweise gleich einen Wartungsplan einführen, um nichts auf die lange Bank zu schieben. Zudem sollten keine internen Systeme direkt im Internet hängen, sondern mit einer VPN (Netzwerkverbindung, die von Unbeteiligten nicht einsehbar ist, die Red.) und idealerweise einer 2-Faktor-Authentifizierung gesichert werden. Das gilt genauso für Kleinunternehmen. Auch darf ein internes IT-Sicherheitskonzept nicht vernachlässigt werden. Das klingt eigentlich banal, dennoch findet man leider zu oft das Gegenteil. Wenn man sich etwas zu einfach macht, dann hat es auch der Angreifer einfach.