Die Zeitungen sind dieser Tage wieder voller Ratschläge: Datensparsamkeit, IT-Sicherheit, härtere Strafen. Wer auch immer die Daten bei Sony abzog, kannte sich aus. Es ist Sony zuzutrauen, ihre Systeme gegen unautorisierte Zugriffe abgesichert zu haben. Geholfen hat es in diesem Fall nicht.
Andere Rechner sind nicht mal abgesichert. Eine schnelle Suche nach einem bestimmten Begriff (Details zu der Management-Software will ich hier nicht nennen) auf Google erbrachte gerade Ungefähr 51 Ergebnisse (0,12 Sekunden) alleine für de-Domains. Selbst wenn einige Treffer mehrfach vorkommen oder einige der Server tiefer im System abgesichert werden, bleiben genug Systeme übrig, die ohne großes Wissen manipuliert (gestoppt, sabotiert, eigene Software untergeschoben und diese gestartet) werden können. Mit etwas (!) mehr Aufwand lässt sich der Inhalt der Datenbank auslesen.
Ich verschone heute eine Uni-Seite und einen Marketingspezialisten mit einem Beweis meiner Überlegenheit. Aber wer immer diese Systeme installierte, handelt fahrlässiger als jemand, der seinen Wagen mit steckendem Zündschlüssel am Baggersee stehen lässt! Und während der leichtsinnige Autofahrer den größten Ärger von seiner Versicherung erwarten darf, schimpft der Serverbetreiber in Interviews über „böse Hacker“, sobald sein System kompromittiert wurde.
Warum fordert statt des üblichen Schwachsinns (Internetführerschein, Sendezeitbegrenzung, Websperren und Not-Aus-Schalter für den Präsidenten) niemand einen verpflichtenden Security-TÜV für Serverbetreiber? Keiner müsste mit seinem Rechner unter dem Arm zur Prüfstelle. Einfach die Webadresse in ein Onlineformular eingeben. Sofort rattern einige Tests los und nach wenigen Stunden purzelt ein Bericht raus.
Über die Details müsste man nachdenken. Zum Beispiel ob das für alle Server gelten soll oder nur für solche, die Kundendaten erheben. So wie der Mailprovider auf meiner 3. Google-Trefferseite. Was passiert mit Betreibern, die entdeckte Lücken nicht beheben? Eigentlich sollte man verhindern, dass Anwender dort persönliche Daten (Name? Adresse? Kreditkartennummer und Gültigkeitsdatum?) hinterlassen, die dann auf dem Präsentierteller für jene liegen, die Google bedienen können. Fast möchte man löschen statt hacken rufen. Der Mailprovider ist wohl für den Rest des Tages offline.
