Das Streben nach dem Cyber-Weltfrieden
futurezone: Alle sprechen von Cyber-War, Sie hingegen vom Cyber-Peace.
Stefan Schumacher: Ich beschäftige mich seit 15 Jahren mit IT-Security und habe mich erst vor kurzem genauer mit dem Thema Cyber-War auseinandergesetzt. Der Begriff Krieg ist übertrieben und Cyber-War wird sehr gehypt – man könnte glauben, übermorgen bricht der Dritte Weltkrieg im Internet aus. Man sollte nicht über die Kriegs- und Gegenmaßnahmen diskutieren, sondern gemeinsam Sicherheitsprobleme lösen. So kam mir die Idee vom Cyber-Frieden.
Regierungen rüsten sich für den Cyber-Krieg, wie könnte man den Cyber-Frieden herstellen?
Es muss zwischenstaatliche Kooperationen geben und sowohl die User als auch die Firmen und die Politik miteinbezogen werden. Das ist notwenig, da das Internet ein globaler Raum geworden ist. Gegen einen Hacker-Angriff aus China hat man in Deutschland oder Österreich rechtlich keine Handhabe.
Wie sieht ihr Lösungsmodell für diese internationalen Kooperationen aus?
Das ist leider nicht so einfach, deshalb trägt mein Vortrag auf der DeepSec den Titel: „On Cyber-Peace: Towards an International Cyber Defense Strategy” („In Richtung einer internationalen Cyber-Verteidigungs-Strategie“). Man sollte auf jeden Fall einmal darüber reden und nachdenken. Das Wichtige dabei ist, alle Ebenen in Betracht zu ziehen. IT-Security hat nicht nur eine technische Ebene, sondern auch eine psychologische, soziologische und politische.
Bei so vielen Ebenen, wo könnte man mit der Diskussion anfangen?
Ein Anfang wäre, wenn man sich der Userbility-gegen-Security-Problematik annehmen würde. Für eine einfache Bedienung wird auf Sicherheit verzichtet, sowohl bei den Herstellern als auch bei den Nutzern. Der normale Nutzer wählt im Geschäft nicht sein Smartphone anhand der besten IT-Sicherheit aus. Auch hier wäre wieder eine internationale Kooperation wichtig, da Produktsicherheitsgesetze stark länderspezifisch sind.
Was haben Produktsicherheitsgesetze damit zu tun?
Immer mehr Geräte sind vernetzt und online und damit anfällig für Sicherheitslücken. Das beginnt bei Smart Metering und geht von Haushaltsgeräten bis zum Auto. In modernen Autos steuert ein Computer die Motorenleistung, Bremsen und ähnliches. Bei einem Experiment haben Hacker gezeigt, dass sie über eine manipulierte MP3-CD auf den Bordcomputer zugreifen konnten. Aber an so was denken die Hersteller meistens nicht. Sicherheit heißt für sie, die Isolierungen für die Leitungen zu machen, damit es keinen Kurzschluss gibt, IT-Security ist ihnen fremd.
Es scheitert also nicht an der Technik selbst, sondern an der Sicherung der Technik.
Es gibt den Spruch: „Technik kann keine sozialen Probleme lösen.“ Im Internet sind die technischen Voraussetzungen mit TCP/IP für alle gleich. Es muss unter anderem die psychologische Komponente bedacht werden. Die Nutzer müssen richtig geschult werden und man muss dabei die Kulturunterschiede miteinbeziehen. Die IT-Securityleute müssen aus ihrer klassischen Security-Sicht herauskommen und mitdiskutieren, wie man die Nutzer besser einbinden könnte.
Abgesehen von Schulungen, was gehört noch zur „Nutzer-Psychologie“?
Es geht allgemein um den richtigen Einsatz von Security-Awareness-Maßnahmen aber auch etwa um Software-Design. Die Software-Entwickler müssen sich die Frage stellen: Wie muss das Programm aussehen, damit der Nutzer auch damit klarkommt und die Security-Maßnahmen überhaupt nutzt. Um verpflichtende Schulungs- oder Security-Maßnahmen zu ermöglichen, muss man auch mit der Politik zusammenarbeiten.
Die Politik macht sich in Sachen IT-Sicherheit aber nicht besonders beliebt.
Der Bundestrojaner und die Vorratsdatenspeicherung sorgen natürlich für Kritik und viele schimpfen auf die Politiker. Aber viele weigern sich auch den Politikern die Probleme zu erklären. Ich habe schon Schulungen mit Politikern gemacht und ihnen erklärt, warum die Vorratsdatenspeicherung auch technisch problematisch ist und dafür sogar Recht von Politikern bekommen, die sich für die Vorratsdatenspeicherung einsetzen. Man muss mehr kooperieren, gerade bei solch heiklen Themen. Die werden sich in der Zukunft auch mehren, wie etwa die Schwachstellen bei Smart Metering.
Wenn man ein internationales Bündnis ins Leben rufen würde, um den Cyber-Frieden zu gewährleisten, bzw. um Cyber-Kriminelle grenzübergreifend belangen zu können, würden dann alle Staaten mitmachen? China gilt etwa derzeit als der „Bad Boy“ im Internet.
Das gehört auch zur politischen Ebene. Da wären politische Prozesse nötig, etwa wie bei der UNO die Anerkennung des Staates Palästina verhandelt wird. China wird zwar immer als Bad Boy und Cybercrime-Hochburg dargestellt, aber auch die haben ein vitales Interesse daran, ihre Systeme am Laufen zu halten. Wenn in Windows ein Exploit auftaucht, betrifft das China genauso. Gezielte Angriffe, mit denen Cyber-War gehypt wird, wie etwa Stuxnet, sind die Ausnahme. Der Großteil der Cyber-Kriminellen interessiert sich für Geld und nicht für Politik.
Exploits zu schließen sollte auch ohne internationale Kooperationen kein Problem sein.
Ist es auch nicht, aber das heißt nicht, dass alle Unternehmen es machen. Man müsste darüber nachdenken, Unternehmen gesetzlich dazu zu verdonnern, Updates für ihre Produkte bereitzustellen, wenn Lücken gefunden wurden. Zum Beispiel ist Google vorbildlich beim Stopfen von Löchern im Chrome-Browser, bei Android gibt es aber kaum Updates, trotz steigender Malware. Auf der anderen Seite muss man dann aber auch über die Betreiberhaftung bei Nutzern nachdenken. Ich will damit nicht sagen, dass eine Frau mittleren Alters horrende Strafen zahlen sollte, weil jemand sich in ihren Routern gehackt und über diesen Metal-Songs auf Tauschbörsen angeboten hat. Aber wenn man zumindest zur Diskussion stellen würde, Nutzer zur Rechenschaft zu ziehen, deren PC teil eines Zombie-Netzwerkes ist, weil er eine ein Jahr alte Lücke nicht gepatcht hat, könnte das bereits helfen.
Links
Die IT-Sicherheitskonferenz DeepSec findet derzeit bis zum 18. November in Wien im Imperial Riding School Renaissance Vienna Hotel statt.