RSA: „Die Sicherheitsindustrie ist gescheitert“

futurezone: Welche Sicherheitsbedrohungen werden uns 2015 besonders beschäftigen?
Bob Griffin: Was man schon im Vorjahr gesehen hat, ist, dass die wirklich gefährlichen Zwischenfälle in die Breite gehen. Neben Finanzinstituten wurden auch Gesundheitssysteme attackiert. Die Explosion eines Hochofens in einem Stahlwerk in Deutschland ging ebenfalls auf eine Malware-Attacke zurück. Die zunehmende Vernetzung von Objekten und Maschinen – Stichwort Internet der Dinge – schafft zudem völlig neue Risikoszenarien.

Welche Rolle spielen Nationen und Geheimdienste als Angreifer?
Es gibt die beunruhigende Tendenz, dass hochkomplexe Angriffswerkzeuge, die bisher nur von Staaten finanziert werden konnten, mittlerweile auch in leicht zugänglichen Foren auftauchen. Vom professionellen Cyberkriminellen bis zu politischen Hacktivisten haben alle Zugriff auf wirklich gefährliche Tools. Oftmals werden Hacktivisten auch als unfreiwillige Handlanger missbraucht – während sie eine an sich recht harmlose DDoS-Attacke gegen eine Organisation oder eine Firma fahren, nutzen Cyberkriminelle das Chaos, um das betroffene Netzwerk mit wirklich gefährlicher Malware zu infiltrieren.

Die Investitionen in Sicherheitsmaßnahmen steigen, dennoch hat man das Gefühl, dass groß angelegte Angriffe auf Firmennetzwerke nicht verhindert werden können. Hat die Sicherheitsbranche versagt?
Man kann es drehen und wenden, wie man will, aber in vielerlei Hinsicht ist die Sicherheitsindustrie tatsächlich gescheitert. Wir brauchen jetzt neue Strategien. Unser neuer CEO Amit Yoran war vermutlich einer der ersten in der Branche, der das offen ausgesprochen hat.

In welche Richtung muss es gehen?
Wände hochzuziehen und Netzwerke gegenüber Angreifern dicht zu machen bringt mittlerweile ebenso wenig, wie klassische Antiviren-Erkennung. Wenn Angriffe mit Social Engineering, also über das Ausnutzen menschlicher Verhaltensweisen durchgeführt werden, dann versagen zunehmend selbst klassische Methoden wie Verschlüsselung. Wir müssen daher viel stärker in Richtung Analyse von verdächtigen Verhaltensmustern gehen – wie verhalten sich User, Programme und Netzwerke normalerweise? Bei Abweichungen müssen die Alarmglocken schrillen.

Das klingt nach mehr Überwachung und einer weiteren Aushöhlung der Privatsphäre.
Nicht notwendigerweise. Vieles ist technischer Natur – also ein Laptop, der mittels Malware zu einem Bot umfunktioniert wurde, verhält sich anders. Aber auch wenn Datenflüsse innerhalb des Netzwerks sich anders bewegen, kann ein Analyseprogramm das entdecken. Aber auch bei Usern gibt es viele Möglichkeiten.

Welche?
Wie etwa bedient oder hält ein User normalerweise sein Smartphone, wie schnell klickt er sich durch gewisse Menüs, wie verwendet er sein Online-Banking? Da kann man bestimmte Verhaltensmuster erkennen, die gar nichts über die tatsächliche Identität des Users Preis geben oder dessen Privatsphäre gefährden. Greift aber ein Fremder auf mein Online-Banking zu und überweist eine Sekunde später eine hohe Summe, ohne sonst einen Blick auf den Kontostand oder ähnliches zu werfen, könnte der Algorithmus Alarm schlagen und weitere Sicherheitsfragen stellen, bevor die Aktion durchgeführt wird.

RSA ist mit Verschlüsselungstechnologien groß geworden. Sie deuten jetzt an, dass auch diese keinen richtigen Schutz mehr bieten?
Verschlüsselung ist natürlich immer noch eine sehr effektive Maßnahme gegen eine ganze Bandbreite von Sicherheitsbedrohungen. Bei Social-Engineering-Angriffen hilft es insofern nicht, da die Angreifer ja als privilegierte User mit sämtlichen Rechten aufs Netzwerk zugreifen können. Die Entwicklung von Quantencomputern könnte Verschlüsselung wie wir sie heute kennen, ebenfalls obsolet machen, da die Entschlüsselung millionenfach schneller durchgeführt werden kann.

Wird es Passwörter in zehn Jahren noch geben?
Angesichts dessen, wie verbreitet sie sind und wie gewöhnt die Menschen daran sind, denke ich nicht, dass diese sich in absehbarer Zeit in Luft auflösen werden. In Zukunft werden Sicherheitsmaßnahmen aber stärker Risiko-basiert sein. Für einfache Anwendungen ohne großes Risiko mag ein Passwort dann weiter ausreichen, bei sensiblen Umgebungen wie Online-Banking, Gesundheitsdaten oder ähnlichem werden wir neue Technologien sehen – von biometrischen Zugängen bis hin zu den bereits angesprochenen User-basierten Verhaltensprofilen.

Sämtliche Regierungen dieser Welt scheinen immer nur eine Antwort auf Terroranschläge und Cyberangriffe zu haben: Daten sammeln. Ist das die richtige Antwort?
In Wahrheit sammeln die meisten Regierungen bereits mehr als genug Daten. Es sollte daher eher in Analysetools und Risikomanagement investiert werden. Wenn Daten gesammelt werden müssen, gibt es keinen Grund größtmögliche Transparenz an den Tag zu legen. Was wird zu welchem Zweck gesammelt? Auch sollten Regierungen Daten nur so lange speichern, wie es absolut notwendig ist. Das Misstrauen in der Bevölkerung kommt ja genau daher, dass diese Dinge in der Vergangenheit sehr intransparent gehandhabt wurden.

Auch RSA ist durch eine offenbar von der NSA eingeschleuste Hintertür in eine Verschlüsselungslösung heftig unter Kritik geraten. Man sagt, dass der im Februar aus Gesundheitsgründen zurückgetretene RSA-Chef Art Coviello von dem Vorfall und der Kritik persönlich sehr getroffen war.
Wer die Firmengeschichte von RSA kennt, weiß, dass wir uns immer wieder auf Distanz zu Regierungen begeben haben. Dass wir in den 90er-Jahren die Hauptentwicklung unserer Verschlüsselungstechnologie nach Australien auslagerten, hatte nicht zuletzt mit Differenzen zur US-Regierung zu tun. Art Coviello war die Integrität und das Ansehen der Firma immer enorm wichtig. Natürlich hat ihn die Kritik persönlich getroffen.

Was bleibt von seiner Zeit als langjähriger CEO bei RSA?
Er hat das Unternehmen von einer Firma mit 25 Millionen Dollar Umsatz Mitte der 90er-Jahre zu einem Milliarden-schweren Konzern gemacht. Ich kenne auch kaum einen hochrangigen Vertreter aus der Sicherheitsbranche, der mit so viel Passion für die Industrie gekämpft hat und auch unangenehme Themen und Verfehlungen angesprochen hat. Seine Integrität hat dem Unternehmen, aber auch der Branche viel Vertrauen eingebracht, auch nach Bekanntgabe des Vorfalls.

Wie kann so eine bewusste Manipulation einer Regierung überhaupt verhindert werden? Sicherheitsfirmen sind ja oft auf enge Zusammenarbeit mit nationalen Behörden – etwa in der Forschung angewiesen.
Übergreifende Technologie- und Forschungsprojekte zum Thema Sicherheit, wie sie etwa die EU unter Einbezug von Regierungsinstitutionen, Unternehmen und Forschungseinrichtungen, betreibt, sind enorm wichtig. Hier werden die Grundlagen für Sicherheitsverbesserungen geschaffen, von denen alle Bürger und nicht nur ein einzelner Staat profitieren. Unser neuer CEO Amit Yoran wird bei derartigen Initiativen eine sehr aktive Rolle spielen.