Stand: 01.10.2018 19:05 Uhr

"Datenlecks sind an der Tagesordnung"

von Cassandra Arden

"Entschuldigen Sie, aber ich kann Ihre gesamten Geschäftsunterlagen lesen, soll das so?" So oder so ähnlich formuliert es Matthias Nehls, wenn er wieder auf ein Unternehmen stößt, das online gravierende Sicherheitslücken hat. Auch die Hochschule Flensburg war betroffen und konnte dank Nehls' Hinweis ein Datenleck schließen. Der IT-Sicherheitsexperte hat eine Firma in Schuby mit dem langen Namen "Deutsche Gesellschaft für Cybersicherheit" und er hat ein Programm geschrieben, das in der Lage ist, jede Homepage auf Sicherheitslücken zu scannen.

Jedes zweite Unternehmen hat Sicherheitsproblem

"Das, was das Programm macht, kann man auch manuell machen, aber damit ist ein IT-ler sehr lange beschäftigt."  Seit rund drei Monaten ist Cyberscan - so heißt das Programm - online. Nach Nehls Schätzungen hat fast jedes zweite Unternehmen ein Sicherheitsproblem. "Datenlecks und Sicherheitslücken sehe ich jeden Tag, sie sind an der Tagesordnung", sagt er.

Banken, Krankenhäuser - verschiedenste Branchen betroffen

Nehls lehnt sich auf seinem Bürostuhl zurück und überlegt: "Also, wir hatten da eine dänische Bank, da konnte man Überweisungen tätigen, obwohl man kein Kunde war; wir hatten ein Krankenhaus, da konnte ich ohne Umstände die Ergebnisse von Ultraschalluntersuchungen sehen. Mit Namen der Patienten und so weiter." Matthias Nehls erzählt das im Plauderton, aber man kann ihm ansehen, dass er eigentlich selbst nicht wirklich glauben kann, was er da alles gefunden hat.

Offene Fenster und Türen

"Das ist so, als würden Sie einfach das Fenster im Erdgeschoss Ihres Hauses offen lassen", erklärt der Computerspezialist. "Es ist nicht so, dass ich eine Sicherheitsschranke umgehen muss, nein, es ist eine Lücke im Sicherheitsnetz und mit wenigen Mausklicks kann ich total legal auf private Unterlagen oder E-Mail Adressen von Mitarbeitern oder eben Krankenakten zugreifen. Je nachdem welches Unternehmen es gerade betrifft."

Betroffene Unternehmen reagieren geschockt

"Ich habe einen riesen Schreck gekriegt" , sagt ein IT-Unternehmer aus Baden. Seinen Namen will er nicht verraten. Er schildert, wie Matthias Nehls ihn anrief, um ihm zu sagen, dass die Onlineseite einer seiner Kunden - ein Ingenieurbüro - "offen wie ein Scheunentor ist". In tiefstem Badisch holt er aus: "Erst dacht ich, das wäre ein Fake. Man hört ja oft von so Betrügereien, aber als er mir dann Details nannte und Rechnungen vorlas - das kann man ja kaum glauben."

Sicherheitsfirma für digitale Daten

Viele glauben Nehls einfach nicht

Der Mann verdient selbst sein Geld mit IT-Service. Er kenne sich aus, aber das habe ihn wirklich überrascht. Matthias Nehls kennt diese Reaktion, er kennt aber auch andere: "Viele glauben mir einfach nicht. Erst letzte Woche habe ich ein Unternehmen aus Hamburg warnen wollen, aber da hieß es nur: 'Suchen Sie sich ein anderes Hobby'. Es ist eine Frage der Zeit, bis jemand die Sicherheitslücke entdeckt und das Unternehmen nicht - wie ich - darauf aufmerksam macht, sondern das ausnutzt."

Hochschule Flensburg hatte ebenfalls ein riesen Datenschutzproblem

Auch der Hochschule Flensburg konnte Nehls helfen. "Die Daten aller Studenten seit 2004 waren da einsehbar. Also Name, Studiengang, Matrikelnummer und sogar E-Mail Adressen inklusive Passwort."  Die Datenlisten waren über einen Link abrufbar, ganze Ordner konnten völlig legal eingesehen oder heruntergeladen werden. Inzwischen sei das Leck behoben, aber die Aufarbeitung dauere noch an, so die Hochschule.

Bei dem Unabhängigen Landeszentrum für Datenschutz gehen seit der neuen Datenschutzgrundverordnung sehr häufig Datenschutzpannen ein, vor allem weil es seit der neuen Verordnung Pflicht ist, Datenpannen zu melden, so eine Sprecherin.

Es gibt die bösen und die ganz bösen Hacker

Datenschutzpannen sind nicht immer gleich ein Datenleck und ein Datenleck führt nicht immer gleich zu Datendiebstahl. Aber ein sicheres Netzwerk ist wichtig. Denn es gibt verschiedene Arten, wie Sicherheitslücken ausgenutzt werden könnten. Hacker könnten die betroffene Seite zum Beispiel verschlüsseln und Geld erpressen.

"So etwas machen die bösen Hacker, so etwas passiert häufig" - Nehls atmet ein und ergänzt: "Die ganz Bösen, die nutzen Daten für ihre Zwecke und Sie merken gar nicht, dass die in Ihrem System waren."  Nach Angaben der Landespolizei, gab schon 2013 jedes dritte Unternehmen in Schleswig Holstein an, dass es Opfer eines Cyberangriffs geworden sei.

Cybercrime-Ermittler hospitieren bei IT-Sicherheitsunternehmen

Die schleswig-holsteinische Polizei  hat sowohl den bösen als auch den ganz bösen Hackern und allen anderen Online-Kriminellen längst den Kampf angesagt. In Nehls Unternehmen hospitiert gerade Kriminalkommissar Matthias (seinen ganzen Namen will er nicht nennen), er macht eine Weiterbildung zum Cybercrime-Ermittler. Matthias formuliert es so: "Die Täter werden immer raffinierter und es ist letztendlich ein Katz und Maus-Spiel zwischen Sicherheitsunternehmen, Behörden, Tätern und eben uns."

Für Matthias ergeben solche Hospitationen Sinn, um neue Eindrücke zu gewinnen: Vor allem sei es sehr gut, dass Nehls Kunden auf deren Wunsch auch angreife, um festzustellen, wie sicher deren Netzwerke seien. "Das gibt mir die Gelegenheit zu lernen, wie die Täter vorgehen würden."

Weitere Informationen

Sicherheitslücke in Flensburger Hochschule entdeckt

Die Daten von Studenten der Hochschule Flensburg sind nicht ausreichend gesichert gewesen und waren wochenlang online einsehbar. Mittlerweile wurde die Sicherheitslücke geschlossen. mehr

Dieses Thema im Programm:

Schleswig-Holstein Magazin | 01.10.2018 | 19:30 Uhr

Mehr Nachrichten aus Schleswig-Holstein

05:43
Schleswig-Holstein Magazin

Was planen die FSG-Besitzer mit der Werft?

20.02.2019 19:30 Uhr
Schleswig-Holstein Magazin
02:32
Schleswig-Holstein Magazin

Insolvenz: Elsflether Werft ist zahlungsunfähig

20.02.2019 19:30 Uhr
Schleswig-Holstein Magazin
01:51
Schleswig-Holstein Magazin

Demo in Kiel: Öffentlicher Dienst will mehr Geld

20.02.2019 19:30 Uhr
Schleswig-Holstein Magazin