Pressemitteilung upm

"In der Online-Welt verhalten wir uns nachlässig"

Was Wirtschaftsinformatiker Rainer Böhme rät, um sicher durchs Internet zu surfen

Münster (upm), 04. Februar 2013

Juniorprofessor Rainer Böhme
Juniorprofessor Rainer Böhme Foto: WWU - Weischer

Es vergeht kaum ein Monat, in dem nicht über angeblich groß angelegte Angriffe via Internet, also über Cyberattacken, berichtet wird. Fiktion oder Wirklichkeit? Norbert Robers sprach für die Uni-Zeitung wissen|leben mit Rainer Böhme, Juniorprofessor für IT-Sicherheit an der Universität Münster, über die Kriminalität im Netz und über die Möglichkeiten jedes Einzelnen, sich dagegen zu schützen.

Die Berichterstattung in den Medien legt den Schluss nahe, dass kriminelle Aktivitäten im Internet unsere Gesellschaft ernsthaft bedrohen. Beurteilen Sie dies ähnlich?
Nein. Nach unseren Studien kostet die eigentliche Cyberkriminalität, also kriminelle Handlungen, die nur online funktionieren, umgerechnet jeden Bürger nur wenige Cent im Jahr. Gesamtgesellschaftlich betrachtet, sind diese direkten Kosten also nicht relevant – was natürlich problematische Einzelfälle nicht ausschließt. Das Problem sind vielmehr die indirekten Kosten: Weil wir uns so sehr vor der Cyberkriminalität fürchten, geben wir viel Geld für die Prävention aus. Zudem fallen sogenannte Opportunitätskosten an: Wir erledigen bestimmte Dinge nicht über das Internet, weil wir es für gefährdet halten. Diese Kosten sind weit höher als die Verluste.

Was wissen Sie über die Täter?
Die profitorientierte Cyberkriminalität ist anders organisiert als die organisierte Kriminalität in der Offline-Welt – es gibt keine Hierarchien, Abhängigkeiten und keinen Chef an der Spitze, der alleine kassiert. Sobald es eine Masche gibt, kann jeder Kriminelle mitmachen, was die Profite für jeden Einzelnen marginalisiert. Im Prinzip handelt es sich um Kleingeld-Bettelei. Es bleibt zu hoffen, dass sich keine festeren Strukturen wie in der organisierten Kriminalität herauskristallisieren: Das wäre das Schlimmste, was der Gesellschaft passieren kann.

Wie groß sind die Chancen, die Täter zu erwischen?
Die Chance besteht, zumal die Täter in Europa und nicht immer in der Ferne sind, aber man nutzt sie nicht. Der Staat investiert viel zu wenig in die Strafverfolgung, die Polizei ist vollkommen überfordert. Selbst meine Studenten lächeln nur noch, wenn sie die Stellenanzeigen der Polizei lesen, wo man eine TVL-10-Stelle mit zweijähriger Befristung anbietet, gleichzeitig aber beste IT-Kenntnisse verlangt. Manche Ausbilder können sich mitunter nicht mal die Teilnahme an Schulungen leisten. Besser sind die Briten, auch die Niederländer, richtig gut aber ist das FBI: Die amerikanische Bundespolizei rekrutiert die besten Leute für diesen Job und bezahlt sie ordentlich.

Aber Sie sagen doch selbst, dass die gesamtgesellschaftlichen Kosten sehr niedrig sind. Lohnt sich die intensive Strafverfolgung denn überhaupt?
Wir müssten deutlich mehr in Strafverfolgung als in technische Prävention investieren. Wenn alle Internetnutzer die 20 Euro, die sie für die jährliche Aktualisierung der Virenscanner ausgeben, zusammenlegen und mit dem Geld spezialisierte Polizisten bezahlen würden, wäre uns allen deutlich mehr geholfen.

Aber die geschätzten 200.000 Netzattacken, denen die Deutsche Telekom nach eigenen Angaben pro Tag ausgesetzt ist, könnte man damit nicht verhindern.
Auch diese Zahl muss man relativieren. Es handelt sich nicht um 200.000 verschiedene Attacken, sondern um ein selbstständiges Computerprogramm, das 100.000 Mal am Tag dasselbe oder ein ähnliches Paket abschickt. Das ist etwa so, als ob man durch die Stadt geht und bei jeder Autotür nachschaut, ob sie auch verschlossen ist. Das ist im Übrigen nicht verboten.

Indien bildet angeblich 500.000 Cyberspezialisten zur Attackenabwehr aus. Ist das reiner Aktionismus?
Nein, das ist durchaus der richtige Weg, wenn auch hier plakativ formuliert. Warum ist es denn so einfach, in einen Computer einzubrechen? Weil sie so gebaut sind, dass grundlegende Sicherheitsprinzipien verletzt werden. Diese Schwachstellen ergeben sich immer durch Programmierfehler, das sind die klassischen Einfallstore für Cyberkriminelle. Viele Programmierer haben keine Ahnung von IT-Sicherheit. Manche Firmen haben bereits reagiert: Der Softwarehersteller Oracle stellt beispielsweise keine Programmierer mehr ein, die an den Universitäten nicht IT-Sicherheit als Pflichtfach hatten. Darauf haben die US-Universitäten mittlerweile ebenfalls reagiert und IT-Sicherheit zum Pflichtfach erklärt. Ich halte das für richtig – schließlich muss auch ein Bauingenieur etwas von Statik verstehen.

Wir sind also alle im Netz unterwegs und kümmern uns zu wenig um unsere eigene Sicherheit?
Genau so ist es. Wir sind alle Sicherheits-Experten in der Offline-Welt: Wir schließen unsere Türen ab und sind sehr sensibel für mögliche Sicherheitslücken. In der Online-Welt verhalten wir uns dagegen vollkommen anders, nachlässiger.

Was kann denn der einzelne Bürger leisten – sich vor allem ein möglichst sicheres Passwort suchen?
Fast jeder Bürger begeht den Fehler, dass er dasselbe Passwort für verschiedene Funktionen nutzt. Beispielsweise für einen grundsätzlich gut geschützten E-Mail-Account und für eine Seite mit einem Versicherungsvergleich, die ein Praktikant gebaut hat: Auf diese Seiten konzentrieren sich viele Täter. Sie knacken die Passwörter und dringen damit auch in die vermeintlich sicheren Seiten der Nutzer ein. Man muss nicht ständig sein Passwort wechseln - wer einmal ein gutes hat, ist prinzipiell auf der sicheren Seite.  Wechseln sollte man sein Passwort aber beispielsweise, wenn man einen neuen Partner hat – zum ehemaligen Freund, der das alte Passwort kennt, hat man ja praktisch über Nacht kein besonders gutes Vertrauensverhältnis mehr.


Dieses Interview erschien in der Januar-Ausgabe der Universitätszeitung wissen|leben.
Diesen und weitere Artikel finden Sie unter: www.uni-muenster.de/unizeitung/index.html