»Ich weiß bis ins Detail, welche Daten ich im Netz preisgebe«
Stefan Vollmer, Chief Technology Officer beim TÜV Süd, erklärt, wie sich digitale Anwendungen prüfen und zertifizieren lassen – und wie jeder seine Privatsphäre schützen kann
Herr Vollmer, der TÜV prüft traditionell Produkte und Anlagen. Wann brauchen digitale Anwendungen eine technische Überprüfung?
Seit der Gründung vor mehr als 150 Jahren ist es die Mission von TÜV Süd, Menschen, Umwelt und Sachgüter vor technischen Risiken zu schützen. Sobald digitale Anwendungen für breitere Zielgruppen oder den Massenmarkt zum Einsatz kommen, ist technische Überwachung wichtig, um die Risiken zu beherrschen. Das gilt umso mehr, wenn Digitalisierung mit der Vernetzung von Geräten einhergeht. Denn eine vernetzte Welt bietet ein Vielfaches an Angriffsmöglichkeiten.
Sie meinen Haushaltsgeräte oder Autos, die über das Internet der Dinge verbunden sind?
Ja, zum Beispiel. Aber auch kritische Infrastruktur wie Energieversorger und Kliniken oder vernetzte Fabriken sind gefährdet.
Macht es einen Unterschied, ob der TÜV analoge Geräte oder digitale Systeme prüft?
Der größte Unterschied ist die Dynamik. Wenn ein analoger Aufzug einmal jährlich geprüft wird, ändert sich dazwischen wenig. Es kommt nichts Neues hinzu. Digitale Produkte dagegen können kurz nach der Prüfung aktualisiert werden und sich verändern. Deshalb entwickelt sich Cyber Security hin zu kontinuierlichen Überprüfungen. Es reicht nicht, einmal im Jahr eine Checkliste abzuhaken.
Sind Sie dann dauerhaft mit den jeweiligen Systemen oder Geräten verbunden?
Technische Prüfung funktioniert auch ohne Verbindung zum Gerät. Man kann den Stand der Software abspeichern und nur sie permanent samt Aktualisierungen überprüfen. Tauchen dort Fehler auf, gibt es wahrscheinlich auch im Gerät ein Problem – beziehungsweise in vielen Tausend oder Millionen Geräten.
Geht es in Ihrer Arbeit mehr um Datenschutz oder um Cyber Security?
Um beides, wobei meist das eine auf dem anderen aufbaut. Die Europäische Datenschutz-Grundverordnung bildet die wichtigste rechtliche Grundlage in der digitalen Welt. Smarte Haushaltsgeräte etwa speichern oder verarbeiten personenbezogene Daten, damit sie einen Mehrwert bieten. Damit fallen sie unter die Datenschutzgesetze und müssen sicher vor Angriffen sein – dazu aber gibt es oft keine verbindlichen technischen Vorgaben.
Wie kann ich dann erkennen, ob ein vernetztes Gerät sicher ist?
Der TÜV-Verband und andere arbeiten an einem Zertifikat für vernetzte Geräte. Im Idealfall signalisiert ein TÜV-Siegel – oder ein Zeichen anderer Prüfgesellschaften – Verbrauchern, dass sie dem Gerät vertrauen können. Dafür müssen einheitliche Minimalanforderungen der IT-Sicherheit definiert werden.
Können für unterschiedliche Arten von vernetzten Produkten überhaupt einheitliche Kriterien gelten?
Minimale IT-Standards betreffen alle. Sie müssten etwa sicherstellen, dass ein Gerät regelmäßig mit Updates versorgt werden kann, um Sicherheitslücken zu beseitigen. Oder sie müssten den Anwender zwingen, bei der Inbetriebnahme ein individuelles Passwort festzulegen. Heute gibt es oft ein Standardpasswort. Wer es kennt, kann sich auf alle Geräte gleicher Bauart einloggen.
Neben vernetzten Geräten prüfen Sie unter anderem Webseiten, IT-Systeme und ganze Unternehmen, etwa mit Test-Angriffen. Wie viele sind absolut sicher?
Niemand ist zu 100 Prozent geschützt vor Cyber-Attacken. IT-Sicherheit hängt von drei Faktoren ab: Technologie, Menschen und Prozesse. Wir sind in allen drei Bereichen gleichermaßen aktiv. Früher haben sich viele auf Technologie wie Virenschutzprogramme verlassen. Das hilft aber wenig, wenn der Mensch als schwächstes Glied Fehler macht – etwa auf einen Link in einer bösartigen Mail klickt oder einen manipulierten USB-Stick in den PC steckt. Deshalb ist Aufklärung sehr wichtig. Zum anderen haben die Prozesse an Bedeutung gewonnen. Wenn man davon ausgeht, dass sich Angriffe nicht komplett verhindern lassen, sollte man zumindest optimal darauf reagieren, um den Schaden gering zu halten – so wie jeder im Unternehmen wissen sollte, wo der Feuerlöscher steht oder welche Nummer bei einem Brand zu wählen ist.
IT-Sicherheit hängt von drei Faktoren ab: Technologie, Menschen und Prozesse. Wir sind in allen Bereichen gleich aktiv
Stefan Vollmer
Wie können Verbraucher erkennen, ob ein digitaler Dienst sicher ist?
Grundsätzlich sind nur Webseiten sicher, die nach dem https-Standard verschlüsselt sind – zu erkennen in der Adressleiste. Zudem gibt es Prüfzeichen für Onlineshops. Um zu prüfen, ob diese Siegel gültig und nicht gefälscht sind, können Verbraucher daraufklicken. Sie sollten dann auf die Webseite des Prüfhauses gelangen. Dort sieht man, was genau geprüft wurde und ob das Zertifikat noch gilt.
Wo lauern aktuell die größten Gefahren für Verbraucher und ihre Daten im Netz?
Viele tun sich schwer damit, seriöse von unseriösen Webseiten zu unterscheiden, und vertrauen zum Beispiel blind auf den billigsten Anbieter eines Produkts. Ich persönlich hinterlasse meine Daten nur auf Webseiten, die ich kenne. Das ist meine Grundregel.
Was empfehlen Sie noch?
Jeder sollte mindestens zwei E-Mail-Adressen nutzen: eine für persönliche und finanzielle Angelegenheiten und eine für Onlineshopping, Newsletter und Ähnliches. Außerdem sollte man bewusst mit Daten umgehen. Dazu gehört, dass man seine Bankdaten nicht in Onlineshops speichert. Oder würden Sie im Kaufhaus dauerhaft Ihre Kreditkarte abgeben?
Wie verhindere ich das, wenn ich bequem online einkaufen will?
Ich empfehle grundsätzlich Passwort-Safes oder Passwortmanager: Diese Programme speichern unterschiedliche und sichere Passwörter für jeden Ihrer Accounts, Sie brauchen sich aber nur ein Master-Passwort merken. In diesen Safes lassen sich auch Kreditkarteninformationen speichern und mit einem Klick beim Bezahlvorgang eintragen. Zusätzlich nutze ich eine Zwei-Faktor-Authentifizierung, bei der mir vor jedem Einloggen ein Code aufs Smartphone geschickt wird.
Was ist mit den Daten, die ich beim Surfen im Internet hinterlasse? Raten Sie dazu, anonym unterwegs zu sein?
Sie können das ausprobieren, aber es wird keinen Spaß machen, weil dadurch die Personalisierung und damit Komfort verloren geht. Aber man kann bei allen großen Online-Diensten und Browsern die Privatsphäre-Einstellungen regulieren. Ich jedenfalls tue das und weiß bis ins Detail, welche Daten ich im Internet preisgebe.
Fotografie: Constantin Mirbach