Interview: Ist Datenschutz in Deutschland wichtiger als die Sicherheit von Systemen?

Wie schauen andere Länder auf die Digitalisierung im deutschen Gesundheitswesen – und auf Datenschutz und IT-Sicherheit bei uns?

Dies wollen wir in einer losen Folge von Interviews mit Expert*innen für Informationssicherheit aus verschiedenen Ländern hier auf Serapion herausfinden.

Den Anfang macht ein deutscher Hacker, der aber für eine britisch-amerikanische Firma im englischen Cambridge tätig ist: Max Heinemeyer, Leiter eines Teams von 30 sogenannten Threat Huntern bei Darktrace.


Max – danke, dass Du Dich zu einem Interview bereit erklärt hast. Bitte stell doch Dich und Deinen Arbeitgeber kurz vor.

Ich bin Deutscher, bin für Darktrace nach Großbritannien gezogen und lebe seit 3 Jahren in Cambridge. Ich bin Ex-Pentester, CCC-Mitglied und Offsec-Enthusiast.

[OffSec steht für Offensive Security – also solche Maßnahmen in der IT-Sicherheit, bei denen der Tester sich wie ein Gegner verhält und das System angreift, um seine Sicherheit zu prüfen. Hierunter fällt auch das Pentesting. Analysten mit einer solchen Vorgehensweise werden auch als Red Team bezeichnet, während das sogenannte Blue Team das System aus der Innenperspektive analysiert.]

Darktrace ist ursprünglich eine britische Firma mit Hauptquartier in Cambridge. Wir haben mittlerweile aber einen zweiten Hauptsitz in San Francisco (USA). Das Unternehmen wurde 2013 gegründet, als drei Gruppen zusammentrafen:

  • Britische und US-amerikanische Ex-Regierungsangestellte mit jahrzehntelanger Erfahrung in Cybersecurity und der Abwehr von APT-Gruppen haben. Sie sahen das Problem, dass traditionelle Sicherheitslösungen sehr reaktiv sind (Signaturen, Regeln, man muss ständig tunen und reagiert nur auf die Angriffe von gestern).

[APT steht für Advanced Persistent Threat und bezeichnet Angreifer in einem Computersystem, die in dieses eingedrungen sind, in ihren Aktivitäten zunächst unbemerkt bleiben und so zum Beispiel über lange Zeit hinweg Daten abfangen oder Sabotage betreiben können.]

  • Mathematiker der Universität von Cambridge in Großbritannien, die führend in maschinellem Lernen und künstlicher Intelligenz ist. Diese haben die von der vorgenannten Gruppe entwickelten Konzepte in ein Produkt gegossen.
  • Investoren, die neben dem Startkapital auch Vertriebs- und Marketing-Erfahrung beigetragen haben, um das Produkt auf den Markt zu bringen.

Eure Firma ist also in Großbritannien und den USA verankert. Dass wir Deutschen in Datenschutzfragen anders denken als der angloamerikanische Raum, ist schon eine Binsenweisheit. Kannst Du das bestätigen, und wenn ja, wie äußert sich das in Eurem Tagesgeschäft?

Anekdotisch – Deutschland legt sehr viel mehr wert auf Datenschutz (Privacy) und ist sehr skeptisch gegenüber allem, was sich nach „Überwachung“ anhört.

In Gesprächen mit deutschen Kunden kommt die Frage nach einem Anonymisierungsmodus (den wir natürlich haben), fast immer in den ersten 30 Minuten auf. Dieser Modus sorgt dafür, dass bestimmte Daten in Darktrace anonymisiert sind – beispielsweise. Nutzer- und Computernamen. Der Anonymisierungsmodus ist in Deutschland weitaus relevanter als in anderen Ländern – man möchte verhindern, dass interne Analysten Mitarbeiter „ausspionieren“ können. Dies ist natürlich nicht Sinn und Zweck von Darktrace und wir haben diverse Features, welche dies verhindern (internes Audit-Log, komplexes Berechtigungssystem, den bereits genannten Anonymisierungsmodus und weitere). Trotzdem kommt die Diskussion sehr schnell auf. Dies ist in anderen Ländern meist nicht der Fall – in größeren Organisationen wird zwar zuweilen danach gefragt, aber nicht schon so früh in der Diskussion.

Darktrace World View

Weitere anekdotische Evidenz: In einigen Fällen wird in Deutschland der Datenschutz als wichtiger bewertet als die Sicherheit von Systemen. In meinen Gesprächen mit über 400 Kunden in den letzten 3 Jahren zeigt sich, das ein großes empfundenes Bedrohungsmodell für deutsche Kunden ausländische Geheimdienste sind.

Oft kommt die Frage: Schützt mich das gegen die NSA? Dies ist ein seltsamer Ansatz, da opportunistische Malware, Hacktivisten-Kollektive oder Angriffe von Konkurrenten sehr viel konkretere Bedrohungsszenarien sind.Dieses Zitat tweeten

Und was hat diese spezielle Einstellung der Deutschen für Konsequenzen für Euch beim Markteinstieg in Deutschland?

Wir sehen, dass der „Snowden-Effekt“ in Deutschland stark nachgewirkt hat, die Furcht vor Überwachung in jeglicher Form ist groß. In Deutschland tendieren Teststellungen dazu etwas langwieriger zu sein. Dies kann zum Teil daran liegen, dass der Betriebsrat einbezogen werden muss.

Natürlich ist es Best Practice, den Betriebsrat in solchen Fällen zu involvieren und eine neue Lösung prüfen zu lassen. Allerdings ist das technische Verständnis, um über den Einsatz einer fortschrittlichen Sicherheitslösung zu urteilen, nicht immer vorhanden. Dieses Zitat tweeten

Unternehmen müssen heutzutage flexibel und schnell auf Cyberangriffe reagieren können. Es bleibt hier selten Spielraum für langwierige, manchmal politsche, interne Diskussionen zwischen IT, IT-Sicherheit und Betriebsrat bei Deutschen Firmen – vor allem nicht, während eine aktive Infektion im Netzwerk grassiert. Einen Angreifer kümmern solche Diskussionen nicht – er erfreut sich an der zusätzlichen Zeit, die er damit für einen Angriff hat.

Gab es schon Fälle, in denen Ihr in Deutschland unerfreuliche Erfahrungen machen musstet, weil Ihr ein angloamerikanisches Verständnis von Datenschutz vorausgesetzt habt?

Nicht wirklich – wir haben ja auch deutsche Experten (wozu ich mich zähle) und sind sehr bedacht darauf, zu verstehen, was unsere Kunden umtreibt und antreibt.

Wir betrachten es als vorteilhaft, dass unsere Gründer zum Teil Ex-Regierungsmitarbeiter sind. Selbst wenn Ex-Regierungsmitarbeiter in Deustchland manchmal skeptisch betrachtet werden, merken unsere Kunden schnell, dass Sorgen jegleicher Spionage nich auf uns zutreffen. Unsere Lösung benötigt nämlich nicht einmal eine Cloud-Anbindung und funktioniert rein on premise, vor Ort beim Kunden.

Rein technisch können dort also gar keine Daten abfließen. Hier zeigt sich eine interessante Kluft im Denken – Viele Unternehmen sind nicht kalibriert auf die schnellen Reaktionszeiten, welche IT-Sicherheitsvorfälle benötigen, damit sie nicht in eine Krise ausarten.Dieses Zitat tweeten

Viele begabte Hacker*innen – wie Du selbst – kommen aus Deutschland. Wie steht Deutschland im internationalen Vergleich in der Informationssicherheit dar?

Deutsche Hacker*innen haben in der Regel einen sehr guten Ruf im Ausland. Der Begriff CCC ist vielen in der Infosec-Szene ein Begriff. Allerdings liegt der Fokus vieler deutscher Hacker oft auf sehr spezifischen, technischen Details, beispielsweise einem speziellen neuen Hardware-Exploit oder dem Umgehen von bestimmten Biometrie-Systemen. Während diese Aspekte sehr wichtig sind um Innovationen und Sicherheit voranzutreiben, fehlt manchmal die Relevanz für Unternehmen – klassisches ethisches Hacken und Red Teaming.

Viele Betriebe kämpfen damit, vorhandene Ressourcen besser zu nutzen, bekannte Schwachstellen zu schliessen oder Cyber-Hygiene zu implementieren. Hier kommen wir in den Blue-Team-Bereich, wo Deutschland gefühlt etwas unterrepräsentiert ist

Speziell auf das Gesundheitswesen bezogen: Gibt es bei uns weniger Incidents, weil allgemein noch ein geringerer Anteil der Daten als woanders digital vorgehalten wird? Anders gesagt – wurde das Gesundheitssystem in Deutschland bisher so selten in großem Umfang angegriffen, weil oft noch mit Papierakten gearbeitet wird?

Dazu haben wir leider keine Daten. Allerdings würde ich vermuten, dass dies nicht der Fall ist (Korrelation zwischen weniger Angriffen und mehr Daten in Papier gehalten).

Angriffe gehen oft über Datenklau hinaus oder hatten dies nie als Ziel. Dieses Zitat tweeten

Aus unserer Erfahrung finden viele Arten von Angriffen im Gesundheitswesen statt, die keinen klassischen Datenraub darstellen.

Viele Unternehmen im Gesundheitswesen nutzen noch Windows 7 oder Windows XP, zudem findet sich oft ein nicht zu unterschätzender Anteil von Internet-Of-Things Geräten im Netzwerk, zum Beispiel Scanner, Drucker, sogar Röntgen- und andere Diagnosegeräte.

Ich würde eher mutmaßen, dass viele Angriffe im Gesundheitswesen gar nicht erst entdeckt oder nicht gemeldet werden.

In einem extremen Fall haben wir während einer Teststellung gesehen, wie in einem Krankenhaus in Großbritannien eine Trickbot-Variante per Phishing einen Desktop infiziert, und sich innerhalb von 3 Minuten auf 200 weitere Geräte im Netzwerk verbreitet hat. Ein Angriff kann also opportunistischer Natur sein und Kreditkartendaten betreffen, ohne direkt die Patientendaten stehlen zu wollen.Dieses Zitat tweeten

Oder liegt es daran, dass es in unserem Gesundheitssystem weniger Anreize zum Datendiebstahl gibt – weil hier etwa der Identitätsdiebstahl zum Versicherungsbetrug kaum einen Anreiz darstlelt ist, da fast alle Menschen krankenversichert sind?

Möglich aber sicher nicht der Hauptgrund. Es gibt viele Wege Angriffe gegen Unternehmen im Gesundheitswesen zu monetisieren, nicht nur Identitätsklau. Ransomware in Krankenhäusern etwa legt im schlimmsten Fall Prozesse lahm, im besten Fall müssen die Mitarbeiter weniger effizient auf Papierarbeit zurückfallen (je nachdem, wie weit die Digitalisierung fortgeschritten ist).

Ein anderer Fall kann DDoS sein – das Lahmlegen oder „Defacen“ der Webseite kann einen Reputationsschaden nach sich ziehen (relevanter Fall, in dem ein Hacktivst ein Kinderkrankenhaus geDDoSt hat).

Eine weitere Methode ist Erpressung ohne Ransomware – beispielsweise wie hier im Fall von TheDarkOverlord).

Was wiegt in Deinen Augen schwerer – die Gefahr für die Gesellschaft durch das Offenlegen von privaten Gesundheitsdaten, oder der Verlust an Behandlungsqualität (und damit vermeidbare Krankheits- und Todesfälle), wenn auf digitale Speicherung verzichtet wird?

Schwer zu generalisieren – wir müssen als Gesellschaft auf jeden Fall weiter an der Cybersicherheit arbeiten. Das heißt, Legislatur und Regierungsinitiativen vorantreiben, welche die Cybersicherheit verbessern, so dass Vorfälle ensprechend schnell und gerecht verarbeitet werden können. Wir müssen mit fortschrittlichen Technologien – zum Beispiel Darktrace – arbeiten, um Angriffe früher zu erkennen und zu neutralisieren, bevor sie Schaden anrichten.

Die Gefahr darf nicht schwerer wiegen als die Vorteile für Gesundheit und Leben durch Digitalisierung. Wir können nicht den Kopf in den Sand stecken und die auf Vorteile der Digitalisierung verzichten. Es geht ja nicht nur um Bequemlichkeiten hier, wie etwa Buchung oder Absagen eines Arzttermins per Smartphone. Alles, woran wir hier arbeiten, hilft uns langfristig potenziell zu besseren Diagnosen und Behandlungsmethoden zu kommen.

Besonders beeindruckend fand ich in letzter Zeit das Beispiel der Technologie SPOT, die gewissermaßen „riecht“ und Blutvergiftungen im Schnitt zuverlässiger und früher erkennt als Menschen. Das ist nur möglich, weil die entsprechenden Datenmengen gesichert und vorhanden sind und durch Algorithmen verarbeitet werden können. Mit Daten auf Papier wäre das nicht möglich!

Vielen Dank, Max, für das Interview!