Das Online-Organspenderegister von Swisstransplant weist gravierende Sicherheitsmängel auf. Laut Recherchen von SRF können Menschen ohne ihre Einwilligung in dem Register als Organspenderinnen oder -spender eingetragen werden.
Die nationale Stiftung für Organspende und Transplantation argumentiert, die Anmeldung sei auf Nutzerfreundlichkeit ausgelegt, man solle sich innerhalb von fünf Minuten registrieren können. Allerdings wird dabei die Identität der Spendewilligen nicht zweifelsfrei geprüft – und das sei ein Manko, sagen IT-Experten.
Dass man sich als jemand anderes ausgeben könne, sei ein sehr spezifisches Problem, für das es eigentlich eine Lösung gebe, sagt SRF-Digital-Redaktor Jürg Tschirren: «Das wäre eine Identifikation per Video, wie sie zum Teil von Banken eingesetzt wird.»
Das heisst: Will man ein Konto online eröffnen, muss sich auch per Video gegenüber einem Mitarbeitenden zu erkennen geben. «Die Nutzerfreundlichkeit ist damit immer noch gegeben. Deshalb ist das sicher etwas, das Swisstransplant umsetzen könnte und müsste.»
Wenig Schutz keine Seltenheit
Swisstransplant ist in Sachen Sicherheit jedoch keine Ausnahme. Laut Angaben der Swisscom schützt fast jedes zehnte KMU seine Arbeitsplätze nicht mit Antiviren-Software und 15 Prozent der KMU ihr Netzwerk nicht mit einer Firewall von unerlaubten Zugriffen.
«Es ist also eine relativ hohe Zahl an Unternehmen, die solche grundlegenden technischen Sicherheitsmassnahmen nicht umsetzen», erklärt Tschirren. Sicherheitsmassnahmen, die der Nutzerfreundlichkeit in der Regel nicht in die Quere kommen.
Ein System, das von aussen, vom Internet her zugänglich ist, ist nie 100-prozentig sicher.
Man dürfe sich aber auch keine Illusionen machen, so der Digitalredaktor weiter. «Ein System, das von aussen, vom Internet her zugänglich ist, ist nie 100-prozentig sicher.» Mit genug Aufwand und geschicktem Vorgehen könne man Hacker aber davon abhalten, in ein System einzudringen. «Dies, indem man es ihnen möglichst schwer macht und sie sich lieber ein leichteres Ziel suchen.»
Für die betroffenen Unternehmen heisst das: Sie müssen abwägen, wie schwierig sie es Angreifern machen wollen, und wie sehr sie dabei die Benutzerfreundlichkeit – sei es für die eigenen Angestellten, sei es für die Kunden – einschränken wollen.
Wobei es einen Punkt gibt, ab dem zu viele Sicherheitsmassnahmen kontraproduktiv werden können. «Wenn sich die Nutzer, die Nutzerinnen nämlich davon gestört fühlen und beginnen, die Mechanismen auszuhebeln, um sich die Arbeit zu erleichtern.»
Wenn eine Firma zum Beispiel regelmässig verlange, dass das Passwort geändert wird, und das zu oft passiere, dann würden die Leute beginnen, sich Passwörter auf Notizzettel an den Bildschirm zu kleben, weil sie sich das Passwort nicht mehr merken können. «Oder sie wählen möglichst einfache Passwörter wie 1234.»
Mensch als schwächstes Glied
Technische Schutzmassnahmen seien aber nur eine Seite der Medaille. «Die andere sind gut geschulte Mitarbeiter und Mitarbeiterinnen. Denn bei vielen Angriffen sieht man, dass der Mensch das schwächste Glied ist in der Kette», so Tschirren.
Hacker kennen deshalb nicht nur die technischen Schwächen eines Systems, sondern auch die sozialen. «Erfolgreichen Angriffen geht oft sogenanntes ‹Social Engineering› voraus.» Zum Beispiel würden Zugangsdaten erschlichen, indem Angestellte durch geschickt präparierte E-Mails, die so aussehen, als kämen sie aus dem eigenen Unternehmen, dazu gebracht, ihre Zugangsdaten zu verraten. «Den Angreiferinnen und Angreifern machen sie es so natürlich leicht.»
