"Der Staat muss die User vor sich selber schützen"
Im Rahmen der Technologiegespräche Alpbach haben Ernst Piller und Johann Haag ein Maßnahmenpaket vorgestellt, das ihrer Meinung nach geeignet wäre, das Internet zu einem sichereren Ort zu machen. Die futurezone hat sich mit den beiden Online-Sicherheitsexperten über ihre Vorschläge, die NSA und staatliche Kontrolle im Netz unterhalten.
Wie sehr beschäftigen Sie sich mit dem PRISM-Skandal?
Piller: Ich verstehe den Hype um die NSA nicht. Die große Gefahr im Netz liegt anderswo. Ich kann heute fast alles herunterladen, im Netz Sabotage begehen oder Firmen abhören. Gerade bei Unternehmen ist die Gefahr des Verlustes heikler Daten besonders gegeben. Dabei sind es nicht US-Firmen, die kleine österreichische Firmen abhören, sondern eher Konkurrenten im eigenen Land, die einen direkten Wettbewerbsvorteil aus Informationen ziehen können, etwa wenn es um die Höhe der Gebote bei Ausschreibungen geht. Firmen sind das interessantere Ziel für Spionageaktivitäten. Was vor Ort passiert ist also wesentlich spannender als die Eskapaden der NSA, aber die Geheimdienst-Geschichte verkauft sich eben besser.
Wie können Firmen und Privatpersonen ihre Daten schützen?
Piller: Schlimm ist, dass es mittlerweile viele Tools im Netz gibt, die Angriffe erlauben. Für die Verteidigung wird dagegen zu wenig getan. Wir brauchen ein sicheres Internet. Das erfordert aber gesetzliche und technische Maßnahmen. Wie beim Straßenverkehr, wo Gesetze und Technologie für Sicherheit sorgen. Im Netz sollten sich Firmen und Private nicht darauf verlassen, dass sie nicht angegriffen werden. Umfangreiche Schutzmechanismen, etwa Crypto-Tools, sind am Markt erhältlich.
Haag: Der Gesetzgeber muss aber ebenfalls Maßnahmen setzen. Auch hier gibt es eine Analogie zum Straßenverkehr. Dort ist die Zahl der Unfälle stark gestiegen, bevor entsprechende Mindestanforderungen und Vorschriften eingeführt wurden. Autofahrer riskieren ohne Gesetze ihr Leben, obwohl sie sich der Gefahr bewusst sind. Im Netz gilt das gleiche. Der Staat muss die User vor sich selbst schützen und rechtliche Vorgaben einführen.
Ist es dafür nicht bereits zu spät?
Piller: Ja, wir sind 20 Jahre zu spät dran. Aber es ist wie mit der Wirtschaftskrise. Dort waren die Regeln jahrelang zu locker, bis es zum großen Knall kam. Das wird im Netz auch passieren. Wie die Katastrophe aussehen wird, weiß ich nicht genau, aber es wird etwas passieren und dann werden die Gesetzgeber reagieren. Mit der Entwicklung im Bereich Smartphones, die noch weit unsicherer sind, als Computer, wird es spätestens in fünf bis zehn Jahren den großen Crash geben. Bis dahin können wir nur Lösungen anbieten, die es einzelnen erlauben, sich sicher im Netz zu bewegen. Einen Masseneinsatz dieser Tools wird es erst durch Vorschriften des Gesetzgebers geben.
Welche Maßnahmen empfehlen Sie?
Piller:Vor allem für Firmen müssen strenge Regeln gelten. Es muss möglich sein, die Teilnehmer im Netz eindeutig zu identifizieren. Für private Nutzer soll es immer noch das anonyme Netz geben. Das ist wichtig, wie man zuletzt im Iran und in Nordafrika gesehen hat. Firmen hingegen müssen eindeutig und sicher identifiziert werden. Vor 13 Jahren hat der Gesetzgeber Digitale-Signaturen mit Unterschriften gleichgesetzt. Alle Firmen sollten solche Signaturen verwenden müssen. Wie beim Straßenverkehr, wo neben der Sicherheitsgurte auch die Gurtenanlegepflicht erforderlich war.
Was kann der Gesetzgeber noch regulieren?
Piller: Ein großes Problem ist die einfache Verbreitung unsicherer Software. Jeder kann heute ein Programm für Smartphones schreiben und es Millionen Menschen zum Download anbieten.
Haag: Über die Qualität der Software entscheidet derzeit nur der Endkunde. Sicherheit braucht aber Kontrolle und Zertifikate. Dafür brauchen wir eine entsprechende unabhängige Stelle. Sonst sind nur die Hersteller verantwortlich, die lediglich das Bedürfnis der Kunden nach schönen, einfachen Apps erfüllen. Ob die Software ein Sicherheitsrisiko darstellt, ist den Produzenten egal. Das ist natürlich nicht von heute auf morgen machbar, aber wir sollten damit anfangen, umzudenken. Auch Hersteller stehen in der Verantwortung. Wenn Microsoft ein Software-Leck findet, sollte die erste Frage sein, wieso das nicht geprüft wurde. Bügeleisen müssen schließlich auch vor Markteintritt getestet und zertifiziert werden.
Das hieße aber, dass die Hersteller ihren proprietären Code offenlegen müssten. Warum sollen sie das tun?
Piller: Heute ist in der Wirtschaft sehr viel vertraulich. Geprüft wird trotzdem, das ist machbar. Schließlich steigt auch das mit Sicherheitslücken verbundene Risiko. Heute haben wir ohne EDV kein Trinkwasser mehr. Die IT wird derzeit aber hauptsächlich im Gesundheits-Bereich zertifiziert, wenn überhaupt.
Aber sämtliche Software zu zertifizieren wäre eine Herkulesaufgabe, vor allem bei dem Tempo, in dem neue dazukommt. Wie soll das gehen?
Piller: Es wäre schön, wenn alles zertifiziert wäre, aber wir müssen mit kleinen Schritten starten. Allein wenn sensible Software zertifiziert würde, wäre schon viel passiert. Eine Lokalführer-App für Wien spielt weniger eine Rolle.
Welche Vorschläge haben sie noch?
Piller: Die Haftungsfrage muss geklärt werden. Wir brauchen eine Internetpolizei, die grenzüberschreitend die Haftung sichert. Das hängt auch mit der sicheren Identifizierbarkeit von Firmen zusammen. User müssen bei Geschäftsabschlüssen im Netz die Möglichkeit haben, bei Nichterfüllung der Vereinbarung zu klagen. Das geht nur, wenn das Gegenüber bekannt ist. Hier sind Gesetze notwendig. Das muss auch für die Hersteller von Software gelten, die über das Netz vertrieben wird, etwa bei Apps. Hier könnte es helfen, keine Software aus anderen Ländern, in denen die Rechtssicherheit nicht gegeben ist, zu erlauben.
Wie stellen Sie sich das vor?
Piller: Das Internet braucht Grenzen. Wie in der realen Welt sollten die Netze der einzelnen Länder oder etwa der EU markiert werden. Kommen Daten aus anderen Ländern, sollten User gewarnt werden. Das sollte auch für private Nutzer gelten. So könnte verhindert werden, dass Spam-Mails aus Afrika ein System infiltrieren. Die Browser könnten die User immer darauf hinweisen, wenn die Daten aus einem anderen Land kommen. Dazu müssten aber internationale Standards eingeführt werden und die sichere Identifizierung.
Das klingt, als wären Sie der Meinung, dass sämtliche Netz-Bedrohungen ihren Ursprung außerhalb Österreichs hätten.
Piller: Natürlich gibt es auch in Österreich böse Menschen, aber die kann ich relativ einfach gerichtlich verfolgen, wenn sie mich schädigen. Würden unsere Ideen umgesetzt, könnte ich den Absender von Schadsoftware sicher identifizieren und dann verklagen. Ist eine Identifizierung nicht möglich, müssten die Browser Inhalte als gefährlich erkennen.
Haag: Zudem müssten natürlich auch die Browser selber zertifiziert werden. Sie sind die Eingabemethode der Zukunft und dienen bereits als Ersatz für viele Programme, wie etwa Office-Anwendungen. Durch die vielen Plug-ins entstehen aber viele Schwachstellen. Das bessert sich durch neue Technologien wie HTML5 langsam, aber das reicht nicht. Die Hersteller von Browsern müssten für ihre Produkte haftbar gemacht werden. Dann hätten sie auch mehr Interesse an einem sicheren Gesamtpaket und würden Druck auf die Plug-in-Hersteller machen. Die Hersteller der Plug-ins selber sollten ebenfalls für Sicherheitslücken haftbar sein.
Wie sollen Browser Hersteller dazu gebracht werden?
Piller: Der Gesetzgeber müsste Standards und Zertifizierungen vorschreiben.
Nach ihren Vorstellungen würde der Einfluss des Staates auf das Netz stark steigen.
Piller: Ein freies und anonymes Netz ist sehr gut, aber es regelt sich eben nicht alles von selbst zum Positiven. Der Markt versagt. Wir brauchen einige Crashes, wie den NSA-Skandal - der Insider allerdings nicht überrascht hat - um ein Umdenken anzustoßen. Von daher ist der aktuelle Medienhype zu begrüßen. Von sich aus machen Politiker in der IT-Sicherheit nichts.
Gerade im Lichte der NSA-Enthüllungen wollen viele Menschen nicht, dass der Staat zu viel Kontrolle über das Internet ausübt. Das wäre aber wohl notwendig, um ihre Regeln zu implementieren. Ist eine Durchsetzung Ihrer Forderungen derzeit nicht illusorisch?
Haag: Der Staat soll geeignete Gesetze und Regeln verabschieden, und nicht den Inhalt im Netz überwachen.
Wie wollen sie kontrollieren, dass der Staat seine Macht nicht missbraucht?
Piller: Da muss man aufpassen. Information ist ja das Erdöl unserer Zeit und weckt natürlich Begehrlichkeiten. Es geht hier um viel. In einem demokratischen Land kann man aber erwarten, dass der Staat die Sicherheit garantiert, ohne seine Macht zu missbrauchen.
Das scheint derzeit aber nicht der Fall zu sein.
Piller: Ich glaube, dass der staatliche Einfluss kein großes Problem darstellt, wenn wir dafür ein sichereres Netz bekommen. Geeignete Sicherheit, die heute schon möglich ist, muss Sabotage und Spionage im Netz verhindern, ob national oder durch die NSA.
Was können die User selber tun?
Piller: Das Internet selbst hat zum Beispiel mit https einen eingebauten Sicherheitsmechanismus. Der muss lediglich verwendet werden. Darüberhinaus bieten digitale Signaturen, Kryptografie und andere Maßnahmen noch viele weitere Möglichkeiten.
Ist die Verschlüsselung wirklich sicher?
Piller: Es gibt Verfahren und Schlüssellängen, die mit vertretbarem Zeitaufwand nicht zu knacken sind. Die Software muss aber zertifiziert sein, damit nicht künstliche Schwachstellen die Sicherheit reduzieren.
Auch nicht für die NSA?
Piller: Zum Beispiel ist das öffentlich entwickelte und weit verbreitete Verfahren AES praktisch nicht zu knacken. Ich glaube, in der weltweiten Community, die hinter dem System steht, arbeiten bessere Leute als beim US-Geheimdienst. Hintertüren etwa wären längst von jemandem entdeckt worden.
Macht die Verschlüsselung Kommunikation nicht zu kompliziert?
Piller: Das ist tatsächlich ein Problem. Es brauchen immer beide Seiten Schlüssel. Zudem werden selbst in einem verschlüsselten System Daten im Klartext an den Bildschirm geschickt.
Wie groß ist das Risiko, Daten in der Cloud zu speichern?
Piller: Wer zuhause einen sicheren Rechner hat, ist dort sicher besser beraten.
Haag: Gerade vermeintlich kostenlose Dienste wie Dropbox sind ein Risiko. Die müssen auch Geld verdienen. Und wenn der User nichts zahlt, ist er – beziehungsweise seine Daten – normalerweise selbst die Ware. Bei Urlaubsfotos ist das für viele vielleicht noch kein Problem, aber ich würde schon eine Bewerbung nicht dort speichern. Google etwa analysiert alles, also auch das Cloud-Angebot.
Gibt es bereits Ansätze in der Politik, ihre Vorschläge in die Tat umzusetzen?
Piller: In Österreich gibt es derzeit wenig Aktivität in dieser Richtung.
Haag: Allein kann Österreich hier in vielen Dingen ohnehin nichts erreichen. In Deutschland wurde bereits mehr getan als hier. Österreich analysiert deutsche Vorstöße meist und zieht dann in vielem nach.
Piller: In puncto Netzregulierung befinden wir uns im Mittelfeld. Die Richtung geht aber zur Kontrolle. In England etwa wird eher ein offenes Netz gefordert. Wir müssen aber jetzt anfangen, mehr Druck zu machen, dann passiert in einigen Jahren vielleicht auf EU-Ebene etwas. Für Österreich wäre das als neutrales und wirtschaftlich sehr starkes Land eine Chance, etwas zu bewegen. Wir bräuchten aber jemanden, der frischen Wind in die Debatte bringt. Ein Sebastian Kurz für die IT, egal von welcher Partei.
Ernst Piller leitet das Institut für IT-Sicherheitsforschung an der FH St. Pölten. Er beschäftigt sich unter anderem mit elektronischer Gesichtserkennung und der Identifikation von Malware.
Johann Haag leitet die Studiengänge IT Security und Information Security an der FH St. Pölten. Er arbeitet vor allem an Konzepten für Internet-Sicherheit.
Technologiegespräche
Die Alpbacher Technologiegespräche haben vom 22. bis 24. August stattgefunden. Die futurezone war vor Ort und liefert Berichte über die interesanntesten Themen.