16 Millionen im Januar, 18 Millionen im April, mehr als eine Milliarde jetzt (Pressemitteilung BSI). Die Fälle bekanntgewordener Datendiebstähle gehen mit inflationären Zahlen einher. Dass aktuell nahezu die Hälfte der geschätzten 2,5 Milliarden weltweiten Netz-Nutzer betroffen sein könnte zeigt, wie desolat es um die Sicherheit im Internet bestellt ist.
Jeder Diebstahl von Zugangsdaten bedeutet eine Entführung der Identität von Nutzern in der digitalen Welt, bei E-Mail und Online-Banking, im Sozialen Netzwerk oder im Buchungsportal. Wer sie kennt, kann im Namen der Nutzerinnen und Nutzer handeln und sie schädigen.
Zweifellos trägt ein Teil der Nutzerinnen und Nutzer eine gewisse Mitverantwortung, wenn sie aus Bequemlichkeit oder Sorglosigkeit schwache Passworte verwenden. Aber auch wenn sie ihre Passworte mit Bedacht gewählt haben, wird dies durch die mangelhafte Sicherheit vieler Webseiten entwertet, urteilt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Edgar Wagner. Ein starkes Passwort nutzt nichts, wenn dieses auf der zugehörigen Webseite im Klartext gespeichert wird oder aufgrund von Schwachstellen mitgelesen werden kann, so Wagner weiter. Dass im aktuellen Fall Zugangsdaten von mehreren hunderttausend Webseiten ausgespäht wurden, mache deutlich, dass es mit Hinweisen auf einen sicheren Passwortgebrauch allein nicht getan ist.
Man darf die Nutzerinnen und Nutzer hier nicht im Regen stehen lassen. Identitätsdiebstählen dieses Ausmaßes kann man nur begegnen, wenn die Sicherheit der IT-Strukturen verbessert wird. So wie im Straßenverkehr die Verkehrsteilnehmer darauf vertrauen, dass Brücken halten und Ampeln verlässlich funktionieren, müssen sie darauf bauen können, dass Webseiten oder E-Mail-Dienste ein Mindestmaß an Sicherheit garantieren. Warum ist für Autoreifen eine Mindestprofiltiefe vorgeschrieben, die Sicherheit von Webseiten jedoch der Sorglosigkeit von Entwicklern und Betreibern überlassen?, fragt Wagner. Es ist ein Skandal, dass der Bundesgesetzgeber seine seit über zehn Jahren vorliegende Ankündigung, ein Auditgesetz zu erlassen, noch nicht eingelöst hat. Spätestens seit den Snowden-Enthüllungen sollte klar geworden sein, dass ein digitales Weiterwurschteln wie bisher keine Lösung ist. Wir brauchen dringend ein IT-Sicherheitsgesetz, das Mindestanforderungen an die Sicherheit von IT-Strukturen festlegt und Vorgaben für die Zertifizierung von Internet-Diensten macht.
---
Weitere Informationen:
Sicherheitstest des Hasso-Plattner-Instituts der Universität Potsdam
Mit dem Test können Sie anhand Ihrer E-Mail-Adresse prüfen, ob Ihre persönlichen Identitätsdaten bereits im Internet offengelegt wurden und missbraucht werden könnten. Die Datenbank umfasst mehr als 100 Millionen Datensätze und bietet damit eine vergleichsweise hohe Verlässlichkeit, jedoch keine absolute Garantie, dass Ihre Daten auch im Fall eines negativen Ergebnisses nicht doch betroffen sind. Die Daten aus dem aktuellen Fall sind darüber hinaus noch nicht enthalten.
Neben der Verwendung starker Passworte (Hinweise ) sollte man den bestehenden Risiken daher durch einen gelegentlichen Wechsel der Passworte und der Nutzung unterschiedlicher Passworte für verschiedene Internet-Dienste begegnen.