"Hackerangriffe hat es schon mehrmals gegeben"
Der IT-Sicherheitsbeauftragte Rainer W. Gerling über die Folgen der NSA-Affäre und die Sicherheit in der Wissenschaft
Ob Forschungsergebnisse oder Verwaltungsvorgänge: Die Sicherheit von Daten ist auch bei der Max-Planck-Gesellschaft entscheidend. Welche Herausforderungen es dabei gibt und was Mitarbeiter beachten müssen, erläutert Rainer W. Gerling im Interview.
Die NSA-Affäre hält uns in Atem, digitale Kommunikation wird ausgespäht. Wie reagieren Sie angesichts täglicher Medienberichte darauf?
Dass Nachrichtendienste abhören, ist eine Selbstverständlichkeit, insofern hat mich das nicht überrascht. Was viel wichtiger ist: Jetzt bekommt man Aufmerksamkeit für das Thema Datenschutz und IT-Sicherheit. Wenn aber die Tagesschau über Datenspionage berichtet, dann kommt das an. Dabei kam es in der Vergangenheit schon zu Vorfällen, die Wissenschaftlern durchaus zu denken gegeben haben. So mussten Wissenschaftler bei der Einreise in die USA, nach China oder Israel schon öfter ihren Laptop abgeben, bekamen ihn aber erst nach einer halben Stunde zurück. Der Verdacht lag nahe, dass die Festplatten kopiert wurden.
Wie erfahren Sie von solchen Vorfällen?
Wir haben eine Meldepflicht bei der örtlichen IT in den Max-Planck-Instituten, und die melden das anonym an mich. Außerdem gibt es als Vorbereitung für Reisen ins außereuropäische Ausland Merkblätter für die Wissenschaftler, die vorher auszuhändigen sind.
Da taucht ja gleich das nächste Problem auf: Nimmt ein Wissenschaftler seinen Dienst-Laptop oder sein privates Gerät mit wissenschaftlichen Daten mit?
Das ist eine schwierige Frage, denn auch der „Dienst-Laptop“ eines ausländischen Gastwissenschaftlers von seiner heimischen Universität ist für mich ein privates Gerät. Es ist mir bewusst, dass viele Wissenschaftler zumindest mit privaten Smartphones, bisweilen auch mit privaten Notebooks unterwegs sind. Auf solchen Geräten dürfen natürlich keine personenbezogenen Daten sein. Probandendaten etwa aus der Psychiatrie: Das wäre undenkbar.
Wie kann man die Trennung privateGeräte/Dienstgeräte hinbekommen?
In der Generalverwaltung (GV) haben die Dienst-Handys zum Beispiel ein Passwort mit mindestens sechs Ziffern. Und wir wollen, dass alle, die ihr privates Gerät mit dem dienstlichen E-Mail-Server verbinden, automatisch eine solche Passwort-Policy aufgespielt bekommen, selbst wenn es lästig ist. Sie haben an Ihrer Wohnungstür ja auch ein Schloss. Wenn Sie den Schlüssel verlieren oder vergessen, muss der Schlüsseldienst kommen. Das kostet Geld, man regt sich furchtbar auf. Aber Sie würden nie die Konsequenz ziehen, Schlösser auszubauen. Wenn Sie aber ein Problem mit dem Passwort haben, kommt sofort die Forderung, das Passwort muss weg, es nervt. Ziel muss sein, mit der IT-Sicherheit genauso selbstverständlich umzugehen wie mit Wohnungssicherheit.
Aber wenn die NSA Mails mitliest, kommen ja keine Daten weg. Vielleicht regen sich deswegen viele Menschen im privaten Bereich nur wenig darüber auf?
Auch privat haben die Leute Gardinen vor den Fenstern, lassen Jalousien herunter, bevor sie Licht einschalten. Wenn jemand wirklich nichts dagegen hätte, dass sein Leben auf dem Silbertablett stattfindet, bräuchte er das alles nicht. Und bezogen auf die MPG: Wir als Organisation müssen auf Vertraulichkeit pochen, weil wir nicht wissen, ob die NSA die Daten an amerikanische Firmen oder Forschungseinrichtungen weitergibt. Das ist ein wesentlicher Unterschied zwischen dem BND und fast allen nichtdeutschen Nachrichtendiensten: Der BND hat keinen gesetzlichen Auftrag zur Förderung der deutschen Wirtschaft. Nicht umsonst hat unser Präsident bei einer der letzten Auslandsreisen Wert darauf gelegt, nur einen Tablet-PC ohne Daten mitzunehmen. Er hatte nur VPN-Zugriff, damit er an seine Mails kam.
Wie sorgen die Max-Planck-Institute dafür, dass bei den Mitarbeitern Klarheit über Datenschutzregeln herrscht?
Die Institute haben auf Empfehlung der GV Datenschutzkoordinatoren. Es gibt auch Empfehlungen für Regelungen, aber die Institute entscheiden im Rahmen ihrer Autonomie selbst. In der GV gibt es zum Beispiel eine Nutzerordnung, die es untersagt, Software zu nutzen, die nicht freigegeben ist. Auch die Anwendung von „Doodle“ und „WhatsApp“ soll unterbleiben, ebenso die Nutzung privater Hardware. Außer es wird offiziell genehmigt.
„WhatsApp“ ist ein sehr beliebter Dienst, der quasi SMS kostenlos und weltweit ermöglicht. Was ist das Problem?
Die App überträgt bei jedem Start alle Telefonnummern aus Ihrem Telefonbuch in die USA. Allein deshalb ist es nicht erlaubt. Wird gegen die Regeln verstoßen, gibt es Sanktionen; auch in der MPG. Die Fälle wurden aber nicht an die große Glocke gehängt.
Aber wenn man davon wüsste, würde man sein eigenes Verhalten eher überdenken ...
Folgenden Fall benutze ich in Schulungen: Ein Wissenschaftler hat sein Passwort für eine chemische Datenbank an einen Ex-Kollegen weitergegeben. Der hat dann aus einem Unternehmen darauf zugegriffen. Das ist aufgeflogen, und die Firma, die die Datenbank betreibt, hat der MPG eine Rechnung für die zusätzliche Nutzung gestellt: 55.000 US-Dollar. Weil die Weitergabe von Passworten als vorsätzlich gilt, greifen die Haftungsfreistellungen des TVÖD nicht, und dem Mitarbeiter wurde die Rechnung durchgereicht.
Gehen Wissenschaftler und Verwaltungsmitarbeiter unterschiedlich mit Datenschutz um?
Die Wissenschaftler kommen aus den unterschiedlichsten Kulturkreisen. Da ist es schwer, allen gleichermaßen unser Konzept für Datenschutz so nahezubringen, dass sie es verinnerlichen. Wir haben kürzlich eine Sicherheitsumfrage durchgeführt. Sie hat ergeben, dass die meisten Wissenschaftler die Regeln passabel kennen. Aber wenn ihre Forschungsinteressen mit den Regeln kollidieren, gewinnt die Wissenschaft. Wir hoffen, dass wir die Defizite jetzt etwas genauer eingrenzen und dann zielgerichteter Aufklärung betreiben können. Das ist auch Thema bei der jährlichen Datenschutztagung und dann bei den vielen Vorträgen, die ich direkt an den Instituten halte.
Hat es schon mal Hackerangriffe auf die MPG gegeben?
Ja. Sogar schwerwiegende. Zwei der größten führten dazu, dass die beiden Institute für die Aufräumarbeiten fast sechs Wochen vom Netz waren und währenddessen nur mit halber Kraft arbeiten konnten. Würde man versuchen, das in Euro – halbe Leistung, halber Institutsetat – umzurechnen, käme man wohl auf einen großen Schaden.
Sind Wissenschaftler wegen der Offenheit in akademischen Netzwerken besonders gefährdet?
Früher war es ganz normal, dass man Wissenschaftlern anderer Einrichtungen die Labore offen zeigte. Heute bekommen selbst unsere Nobelpreisträger im Ausland nicht mehr alles im Detail zu sehen, weil man Sorge hat, dass Know-how abgegriffen wird.
Wenn Sie sich in Bezug auf Datenschutz etwas wünschen dürften, was wäre das?
Dass die Beschäftigten ein bisschen nachdenken, bevor sie mit Daten anderer irgendetwas anstellen. Pannen passieren meist nicht aus Bösartigkeit, sondern aus Gedankenlosigkeit. Weil wir als Datenschutzbeauftragte der Forschungsorganisationen nicht über die Ressourcen verfügen wie Großkonzerne, kann ich nicht einfach zur Marketingabteilung gehen und sagen: Machen Sie mir eine Awareness-Kampagne für IT-Sicherheit. Wir können nur den Verstärkereffekt der Medien nutzen, die am Europäischen Datenschutztag über das Thema berichten und dann die Verbindung herstellen zu unserer jährlichen Posteraktion (siehe Abbildung 2). So gesehen hat die NSA-Affäre auch ihr Gutes. Sie wirkt wie eine gigantische Awareness-Maßnahme.
Das Gespräch führte Susanne Beer