RSA-Chef: „Die Zukunft des Internets steht auf dem Spiel“
RSA Security, eines der größten Sicherheitsunternehmen der Welt, gilt als einer der Begründer moderner Verschlüsselungstechnologien. Das aus MIT-Absolventen hervorgegangene Unternehmen kann seine US-Herkunft naturgemäß nicht leugnen. Bis heute verbietet etwa ein US-Gesetz RSA den Verkauf von Kryptografie-Produkten nach China, Russland oder in den Iran. Im September empfahl die Firma Kunden zudem, auf gewisse Toolkits zu verzichten, nachdem Gerüchte um eine angebliche NSA-Hintertür in einem Algorithmus aufkamen. Die futurezone sprach mit RSA-CEO Art Coviello am Rande der RSA Security Conference in Amsterdam.
futurezone: Für Ihre Aussage „Die Anonymität ist der Feind der Privatsphäre“ haben Sie auf Ihrer Hauskonferenz in Amsterdam ein Buh geerntet. Hat Sie das überrascht?
Art Coviello: Ich habe das auf Unternehmensnetzwerke bezogen, aber in der derzeitigen aufgeheizten Stimmung wird so etwas schnell missverstanden. Ich bleibe aber dabei: Wenn man Finanztransaktionen, Kundendaten, aber auch Informationen über die eigenen Mitarbeiter schützen will, sind es keine guten Voraussetzungen, wenn ein Angreifer anonym ins Netzwerk eindringen kann.
Aber verstehen Sie die emotionalen Reaktionen?
Natürlich! RSA hat die Verschlüsselung erfunden, wozu sollte das gut sein, außer um vertrauliche und private Informationen zu schützen? Außerdem bin auch ich eine Privatperson, die im Privatleben und zuhause anonym bleiben will. Wenn man aber in der Sicherheitsindustrie arbeitet, sieht man leider auch tagtäglich Gefahren und Angriffe, welche dem Großteil der Bevölkerung – und auch den Datenschützern – verborgen bleiben. Deshalb muss man das Thema offen und sachlich diskutieren.
Privatleben und Arbeitsplatz lassen sich heute kaum mehr trennen. Wie kann die eigene Privatsphäre geschützt werden, wenn jeder Schritt am Arbeitsplatz aufgezeichnet und analysiert wird?
Derartige Tools sollten daher nur in einer Umgebung eingesetzt werden, der ich prinzipiell vertraue – wie etwa meinem Arbeitsplatz. Darüber hinaus braucht man Transparenz und klare Richtlinien. Den Mitarbeitern muss klar gesagt werden, dass man den Netzwerk-Traffic beobachtet und geprüft wird, wenn etwa eine IP-Adresse vom anderen Ende der Welt im Netzwerk auftaucht. Keinesfalls geht es darum, ein E-Mail auszulesen, in welchem ich meinen Chef einen Trottel schimpfe.
Aber kann man dem Arbeitsplatz trauen?
Entschuldigung, aber das ist eine wirklich zynische Ansicht. Wem kann man mehr trauen – dem Unternehmen, für das man arbeitet, oder irgendeinem außenstehenden Cyberkriminellen? Glauben Sie mir, der Kriminelle kümmert sich nicht um Transparenz oder irgendwelche Richtlinien. Zudem ist es doch eine absurde Annahme, dass Unternehmen ihre Infrastruktur, und damit ihre Kunden und Mitarbeiter schützen können, ohne Kontrolle über diese Infrastruktur zu haben.
Was genau meinen Sie mit der vielzitierten Transparenz?
Wie gesagt: Die Analyse-Instrumente schlagen nicht Alarm, wenn „Chef“ und „Trottel“ vorkommt, sondern, wenn ein Mitarbeiter eine Kunden-Kreditkarten-Datenbank als Attachment per E-Mail versendet. Und dann muss es auch erlaubt sein, in das Mail reinzuschauen. Gleichzeitig muss ganz klar nachvollziehbar sein, welcher Sicherheitsmitarbeiter welche Daten wann eingesehen hat. Wenn das lückenlos dokumentiert ist, ist es auch transparent.
Den Arbeitsplatz kann man als vertrauenswürdige Umgebung ja noch gelten lassen. Wie sieht es aber mit Behörden und Geheimdiensten wie der NSA aus?
Sind Sie wegen der NSA wirklich besorgt? Liegen Sie in der Nacht wach und grübeln darüber nach?
Merkel scheint mittlerweile besorgt, wie auch andere hochrangige europäische Politiker.
Und Sie glauben, dass die Franzosen und Deutschen nicht spionieren? Die hier auch unter Spitzenpolitikern verbreitete Ansicht, dass Amerikaner die Privatsphäre und Freiheit des Einzelnen nicht hochhalten, ist absurd.
Das heißt, die geäußerten Bedenken und Ängste sind nicht angebracht?
Im Gegenteil. Sich um die Privatsphäre zu sorgen, ist absolut angemessen und auch legitim. Es muss viel mehr Opt-out-Mechanismen geben, denken Sie nur an Google. Als User muss transparent sein, was ich aufgebe, was also der Preis dafür ist, wenn ich gewisse Services nutze. Deswegen ist es auch so wichtig, jetzt eine zivilisierte Debatte über das ganze Thema zu führen. Wir müssen das Problem lösen, sonst steht die ganze Zukunft des Internets und damit der digital geprägten Wirtschaft auf dem Spiel.
Inwiefern?
Weil wir durch die Angst vor Überwachung so paranoid werden, dass wir uns im Internet beginnen zurückzunehmen und die Vorteile des Netzes nicht mehr so wie bisher nutzen. Auf der anderen Seite darf es natürlich auch tatsächlich nicht in einem Big-Brother-Szenario enden, das uns aufgezwungen wird.
Aber ist Big Brother nicht schon längst Realität? Die NSA-Enthüllungen lassen diesen Schluss doch zu.
Die Leute überschätzen die Fähigkeiten von Unternehmen und Regierungen. Man denke nur an die schiere Masse an Telefonanrufen, die täglich anfallen. Die Chance von einem Blitz getroffen zu werden, ist vermutlich zehnmal größer als dass die NSA bei einem Telefongespräch mithört. Die Technologie ist nicht soweit – noch nicht.
Die Industrie selbst lässt doch durchblicken, dass mit immer leistungsstärkeren Computern und Software – Stichwort Big Data – genau solche Analysen aber möglich sein werden.
Und genau deshalb müssen wir jetzt darüber diskutieren, wie diese Technologien implementiert werden müssen, um Unternehmen und Mitarbeiter vor Angriffen schützen zu können und gleichzeitig zu gewährleisten, dass der Chef eben nicht in den privaten Mails herumstöbert.
Das mag für den Arbeitsplatz gelten – aber gibt es ein Rezept gegen die unkontrollierte Überwachung durch Geheimdienste und Staaten?
Das Versäumnis, das man der US-Regierung auch im Inland vorwerfen muss, ist die mangelnde Transparenz. Wenn die Regierung klar sagt, wie sie in Zukunft bei diesem Thema verfahren wird und was die rechtlichen Rahmenbedingungen unter Berücksichtigung unserer Verfasssung sind, dann hat die Diskussion definitiv etwas gebracht. Dann müssen sich auch unsere Verteidigungsstellen und Nachrichtendienste sowie die Gesetzgeber an diese Regeln halten.
Und international gesehen?
Es muss definitiv Regeln und internationale Normen geben, was im Internet erlaubt ist und was nicht, etwa der Diebstahl von geistigem Eigentum einzelner Staaten und Unternehmen oder zerstörerische Aktionen auf die Netz-Infrastruktur eines Landes. Hier muss es Abkommen geben, wie sie etwa bei Nuklearwaffen existieren. Anstatt sich also zurückzuziehen, sollten die Staaten die NSA-Debatte dazu nutzen, um Licht in all diese Angelegenheiten zu bringen und Regeln zu vereinbaren, bevor ein wirklich folgenschwerer Angriff auf Infrastruktur passiert.
Einige RSA-Kunden werden aufgrund ihrer sensiblen Unternehmensdaten – man denke nur an Rüstungskonzerne – vermutlich auch von Angreifern attackiert, die direkt oder indirekt von Staaten und Geheimdiensten beauftragt wurden. Wenn nationale und politische Interessen im Spiel sind – ist das für ein global agierendes Unternehmen wie RSA nicht eine schwierige Situation?
Natürlich. Und es passiert tatsächlich dauernd. Für uns kann aber natürlich nur gelten, dass wir den Kunden beschützen, egal aus welchem Land er stammt. Die Herkunft des Angreifers ist ebenfalls irrelevant, im Normalfall kann man das auch nicht nachvollziehen. Es geht einzig und allein darum, den Kunden zu schützen, ob es jetzt in den USA, Europa oder China ist, wo wir ebenfalls vertreten sind.