Message from Silicon Valley

# Sind wir denn schon sicher?  

Von Pascal Finette

Ein neuer Tag bricht an, und wieder wird irgendwo gegen den Datenschutz verstoßen. Erinnern wir uns: 2017 hatte die US-basierte Kreditratingagentur Equifax die Datensätze von 143 Millionen Mandanten verloren. Eine schwer vorstellbare Zahl, anhand derer einem regelrecht Angst und Bange werden kann, und plötzlich war man sich im Technologiebereich sicher: Ja, nun haben wir wohl endlich jenen kritischen Wendepunkt erreicht, nun werden die Unternehmen endlich ihre Cybersicherheitswälle gehörig aufrüsten. Natürlich konnte, wer sich dieser schönen Einschätzung anschloss, von der Wirklichkeit gar nicht weiter entrückt sein. Gerade mal einen Monat nach dem Equifax-Hack wurden die E-Mail-Adressen von 150 Millionen Nutzern von Under Armours Fitness-Community MyFitnessPal veröffentlicht, Googles Produkt FireBase ließ unbefugte Personen auf 113 GB personenbezogener Daten zugreifen, und, um dem Ganzen die fragwürdige Krone aufzusetzen, im Dezember 2018 verkündete die Hotelkette Marriott, dass über einen Zeitraum von mehreren Jahren die Kundendaten von 383 Millionen Menschen abgegriffen worden waren – inklusive ihrer Kreditkartendaten. Und somit ist es wohl nichts als ein typischer neuer Tag in der Technologiewelt, in der wir »schnell sind und dabei Dinge kaputt machen« – so wie das Mantra von Facebook unverhohlen einräumt.

Angesichts fast täglicher Datenschutzverletzungen, Phishing-Attacken und Hackerangriffe scheinen die Verbraucher in den USA resigniert zu haben – oder vielleicht einfach ausreichend abgestumpft zu sein. Während die Entrüstung über die laxen Sicherheitspraktiken von Equifax in der Bevölkerung noch deutlich spürbar war, zuckten die meisten Menschen bloß noch mit den Schultern, als sie von dem Marriott-Hack hörten. Und irgendwie entbehrt das auch nicht der Logik – sobald Ihre Kreditkartendaten einmal da draußen in Umlauf sind, spielt es eigentlich keine Rolle mehr, ob sie durch einen oder mehrere Datenschutzverletzungen zugänglich geworden sind. Als Verbraucher hat man sich daran gewöhnt, nach einer Datenschutzverletzung einen Online-Kreditüberwachungsservice für ein Jahr kostenlos nutzen zu dürfen. Der Autor dieses Artikels nutzt gegenwärtig gleich vier (!) solcher Dienste kostenlos – freundlicherweise ermöglicht durch die verschiedenen Hacks, denen seine Daten ausgeliefert waren. Wie es scheint, haben wir als Verbraucher eine bessere Passworthygiene durch Passwortmanager und Zwei-Faktor-Authentifizierung zumindest ein Stück weit verinnerlicht.

Die Start-up-Unternehmen im Silicon Valley scheinen ihr Verhalten, im Großen und Ganzen betrachtet, nicht allzu sehr verändert zu haben. Schauen Sie sich mal in Online-Communitys wie HackerNews oder Reddit vom Start-up-Accelerator Y Combinator an – Sie werden schwerlich eine Zunahme der Diskussionen über Cybersicherheit ausmachen können – ein guter Indikator dafür, dass für die meisten alles im gewohnten Trott weiterläuft. Im Bereich der Big Tech gilt dies jedoch definitiv nicht. Unternehmen wie Google, Facebook, Amazon oder Apple investieren kräftig in ihre Sicherheit und ebnen oft den Weg für neue oder verbesserte Ansätze wie massiv-parallelisiertes Fuzzing, den Einsatz von Künstlicher Intelligenz und insbesondere Deep Learning in der Erkennung von Angriffen. Natürlich überrascht dies nicht, denn ein groß angelegter Einbruch in eines ihrer Systeme könnte in der öffentlichen Wahrnehmung verheerend sein.

Es ist ein interessanter Nebeneffekt, dass Lösungen zum Single-Sign-On wie die von Google oder Facebook für den Endnutzer attraktiver geworden sind, weil man nicht mehr irgendeinem unbekannten Start-up sein Passwort anvertrauen muss, sondern sich auf die Services aus den Händen von Big Tech verlassen kann. Ich würde vermuten, dass es nur noch eine Frage der Zeit ist, bis dasselbe nicht nur im Bereich meiner digitalen Identität (Benutzername, E-Mail-Adresse und Passwort), sondern auch bei meinen Zahlungsdaten passieren wird: Anstatt dass ich meine Kreditkartendaten auf irgendeiner Website eingebe und damit darauf vertraue, dass deren Online-Sicherheit auf dem aktuellen Stand ist, bezahle ich zum Beispiel über Google Pay und teile meine Zahlungsdaten dabei mit keinem weiteren Online-Unternehmen. Der Cyberspace ist noch nie ein besonders sicherer Ort gewesen. Die schiere Anzahl der jüngsten Angriffe und das Volumen der aufgedeckten Daten macht es offensichtlich, dass wir viele unserer Ansätze und Systeme im Bereich Sicherheit und allgemein beim Thema Datenaustausch völlig neu überdenken werden müssen. Hieraus werden für manche enorme Chancen resultieren – und für andere heftige Kopfschmerzen.