Obwohl so viele Unternehmen und Institutionen das Internet nutzen, sind deren Daten immer noch in Gefahr. Warum hat die Informatik bisher noch nicht den Stein der Weisen gefunden?

Es ist nun einmal nicht so einfach. Das stellt sich ähnlich komplex dar wie die Fahrzeugsicherheit. Dort muss man auch zahlreiche verschiedene Komponenten bedenken: Von der Farbe über die Bremse und die Beleuchtung über den Airbag bis zum Lenksystem. Und ebenso ist es mit der IT-Sicherheit: Hier müssen sehr viele Bestandteile in Betracht gezogen werden.

„Für uns ist Sicherheit nicht etwas, das man über das bestehende System stülpt, sondern das in der Technologie bereits von vornherein integriert sein muss. Und da gibt es immer noch viele Baustellen.“

Dabei müsste es einem der rasante technologische Fortschritt doch leichter machen?

Ganz im Gegenteil. Bevor das Internet für jedes Unternehmen unverzichtbar war, hatten wir es überall mit isolierten Zugangssystemen zu tun, die man entsprechend in ihrer Gesamtheit schützen konnte. Heute ist durch die fortschreitende Vernetzung – vor allem durch mobile Geräte und damit einhergehend durch die Verknüpfung mit der Cloud – jedes Unternehmenssystem Teil eines dynamischen großen Ganzen. Früher gab es auch eine klare Trennung zwischen Admin und User. Heute ist am Smartphone jeder Mitarbeiter bereits sein eigener Systemadministrator. Das macht die Angelegenheit erheblich komplizierter als noch vor circa zehn Jahren.

Inwiefern sind Unternehmen denn konkret bedroht?

Da kann viel passieren. Vor allem ergeben sich neue Möglichkeiten der Betriebsspionage und auch der Erpressung. Wichtige Datensätze werden nicht mehr nur kopiert, sondern sind im schlimmsten Fall komplett verschwunden. Heutzutage können zudem nicht nur Informationen, sondern ganze Identitäten entwendet werden, was ja vor allem im virtuellen Zahlungsverkehr besonders problematisch ist. Und die Unternehmen sollten auch bedenken, dass ein undichtes System nicht nur ihnen selbst, sondern vor allem auch den Kunden viel Ärger bereitet. Dies ist gerade deshalb problematisch, weil in vielen Fällen bis heute die Haftungsregelungen nicht ausreichend geklärt sind.

Wie wappnet man sich vor solchen Gefahren?

Gemeinhin denkt man heutzutage bei Datensicherheit an den Schutz vor Malware oder Hackerangriffen im Allgemeinen. In der Wissenschaft verstehen wir darunter aber eher die aktive Stärkung der Soft- und Hardware. Für uns ist Sicherheit nicht etwas, das man über das bestehende System stülpt, sondern das in der Technologie bereits von vornherein integriert sein muss. Und da gibt es immer noch viele Baustellen – von vernünftigen Verschlüsselungssystemen über die Cloudsecurity bis hin zu Hardwaresicherheit etwa im Bereich des Chipdesigns.

Und wo sehen sie am meisten Handlungsbedarf?

In den meisten Fällen haben die Sicherheitslücken mit nicht ausreichenden Methoden zur Identifizierung der Benutzer zu tun. Hier gilt es, kryptographische und andere Möglichkeiten einzusetzen, die gewährleisten, dass auch nur die befugte Person Zugang bekommt.