RSA-Sicherheitschef über Spionage-Hintertür schockiert

Berichte, wonach RSA angeblich wissentlich und gegen 10 Millionen Dollar Bezahlung durch die US-Regierung eine Spionage-Hintertür in Verschlüsselungssoftware einbaute, schlugen Ende 2013 wie eine Bombe ein. In weiterer Folge sagten einige renommierte Sicherheitsforscher sogar medienwirksam ihre Teilnahme auf der jährlichen RSA-Sicherheitskonferenz ab. Im Interview mit der futurezone weist RSA-Sicherheitschef Bob Griffin einmal mehr jegliche Absicht zurück und zeigt sich über die Entdeckung schockiert.

futurezone: Wie war die Stimmung auf der diesjährigen RSA-Konferenz? Waren Sie enttäuscht, dass bekannte Leute und Branchenkollegen abgesagt haben?
Bob Griffin: Die Voraussetzungen waren sicherlich schwierig. Persönlich war ich auch ein wenig enttäuscht, dass einige Leute RSA aufgrund von Medienberichten vorschnell verurteilt haben, ohne unsere Sicht der Dinge überhaupt anzuhören. Am Ende gab es aber viel Unterstützung und gute Gespräche, nicht zuletzt durch die offene Keynote von RSA-Chef Art Coviello, die ich sehr mutig empfand.

Die Optik ist aber in jedem Fall schlecht. Falls RSA die Schwachstelle wissentlich eingebaut hat, ist das inakzeptabel. Falls RSA davon nichts mitbekommen haben soll, spricht das auch nicht gerade für einen Sicherheitsanbieter.
In den Medien wurde berichtet, dass wir für die Entwicklung der Hintertür bezahlt wurden. In Wahrheit wurden wir von der NSA bzw. der Regierung aber dafür bezahlt, ein Paket an neuen Verschlüsselungstechnologien zu entwickeln, die im Gegenzug auch wieder Unternehmen zugute kommen sollten. Unter den vertraglichen Vorgaben der Regierung, welche Elemente das Toolkit beinhalten muss, war allerdings auch der bereits existierende Generator, der sich schließlich als Hintertür entpuppt hat.

Was haben Sie gedacht, als das aufgeflogen ist?
Ich war ehrlich schockiert. Dass das vertraglich vorgeschriebene Element im Gesamtpaket eine gewisse sicherheitstechnische Schwachstelle darstellt, darauf haben wir bereits 2007 öffentlich hingewiesen. Ich ging fälschlicherweise allerdings davon aus, dass der Algorithmus einfach nicht optimal designt war. Offenbar war er aber bewusst so gestaltet worden…

Warum waren Sie schockiert?
Vielleicht war ich naiv. Aber dass die Regierung das gegenseitige Vertrauen zwischen Staat, Bürgern und Unternehmen auf derartige Weise untergräbt, hat mich in der Tat erschüttert.

Wie kann RSA das verlorene Vertrauen bei Kunden zurückgewinnen? In Wahrheit ist es nach dem Angriff auf RSAs SecurID-Token im Jahr 2011 schon der zweite größere Vorfall.
Das Vertrauen in RSA ist bei der überwiegenden Mehrheit der Kunden ungebrochen. Das ist keine Selbstverständlichkeit, hat aber sicher damit zu tun, dass wir sowohl 2011 als auch jetzt alles transparent offenlegen und uns uneingeschränkt der Diskussion stellen. In Wahrheit haben beide Vorfälle – so seltsam das jetzt klingen mag – sogar dazu beigetragen, dass die Vertrauensbasis zu unseren Kunden noch stärker geworden ist.

Dass ein Sicherheitsanbieter wie RSA Schwachstellen öffentlich zugeben oder mit Kunden darüber diskutieren muss, passt irgendwie nicht zum Selbstverständnis der Branche. Wie schwierig war die Erkenntnis, dass offenbar auch Firmen, die für die Sicherheit anderer sorgen sollen, gegenüber Angriffen machtlos sein können?
Bis 2008, 2009 lautete die Sicherheitsstrategie aller Unternehmen und Konzerne tatsächlich: Verteidigungswände aufstellen, Anti-virus, Firewall, Intrusion Detection. Alles, was dem Unternehmen schaden kann, ob jetzt ein Angreifer oder aber auch die Konkurrenz, sollte ausgesperrt werden. Nicht zuletzt der Angriff im Jahr 2011, bei dem wir gar nicht das primäre Ziel waren, sondern vielmehr als Vehikel benutzt wurden, um einer anderen Firma zu schaden, hat uns deutlich gezeigt, dass auch jeder noch so gute Verteidigungswall durchbrochen werden kann. Da musste die gesamte Branche komplett umdenken.

Wie sieht eine erfolgreiche Sicherheitsstrategie im Jahr 2014 aus?
Man muss immer damit rechnen, infiltriert zu werden. Heute geht es mehr darum, solche Angriffe so schnell wie möglich zu entdecken und dann rasch die nötigen Schritte einzuleiten. Technologisch gesehen bedeutet das, Informationen zu sammeln und zu analysieren. Abweichende Verhaltensmuster, sowohl was das User-Verhalten, als auch die Hardware betrifft, sind wichtige Gradmesser, um Angriffe auf das eigene Unternehmensnetzwerk zu enttarnen. Anders als früher ist es auch selbstverständlich, gewisse Informationen – etwa zu Angriffsszenarien – mit anderen Unternehmen zu teilen, auch wenn es sich dabei um die Konkurrenz handelt.

Können Sie ein konkretes Beispiel nennen, was Sie mit so einem Verhaltensmuster meinen?
Nehmen wir Online-Banking als Beispiel: Das normale Userverhalten sieht vor, dass der Kunde nach dem Einstieg ein bis zwei Minuten damit verbringt, sich einen Überblick über Ein- und Ausgänge zu verschaffen und erst danach eine Überweisung tätigt. Bei einer Cyberattacke verbringt der Angreifer im Normalfall nur wenige Sekunden im Account, um den maximal verfügbaren Geldbetrag zu überweisen, da er das Risiko, entdeckt zu werden, minimieren will. Wenn diese Muster bekannt sind, kann die Bank reagieren und vor der Freigabe der Transaktion etwa versuchen, den tatsächlichen Kunden auf anderem Weg zu kontaktieren.

In den Medien, aber auch in der Sicherheitsbranche wird gerne das Gespenst des Cyberkriegs an die Wand gemalt. Angriffe auf die Infrastruktur von Staaten wie Estland oder zuletzt die Ukraine beweisen, dass diese Angst nicht ganz unberechtigt ist. Wie bewerten Sie die Diskussion?
Der Fokus müsste stärker darauf liegen, was die Auswirkungen, Risiken und Probleme sind, die ein potenzieller Angriff mit sich bringt und wie man in so einem Fall den Schaden möglichst gering halten kann. Die Frage, was genau geschützt werden soll bzw. wie man bei einem Ausfall von Infrastruktur reagiert, ist meines Erachtens wichtiger, als alle Energien auf das Angriffsszenario oder den Angreifer zu lenken.

Ungeachtet aller Sicherheitsvorkehrungen, die Unternehmen, aber auch Privatpersonen vornehmen, um ihre Daten zu schützen, bleibt angesichts der NSA-Enthüllungen bei vielen das Gefühl zurück, dass diese Maßnahmen ohnehin zwecklos sind.
Mein Appell gerade auch an die junge Generation ist, dass jeder absolute Verantwortung für den Umgang mit seinen persönlichen Daten übernimmt und ganz genau aufpasst, was man auf Facebook teilt, welche Passwörter man verwendet und überhaupt welche Informationen man in die Öffentlichkeit trägt. Je mehr Kontrolle man darüber hat, desto eher kann man sich vor der Entblößung von Daten schützen.

Das stimmt sicherlich, aber was hilft es, auf Facebook und Co vorsichtig zu sein, wenn meine persönlichen Daten von Geheimdiensten aus E-Mails, Telefongesprächen und anderer nicht-öffentlicher Kommunikation abgefangen wird?
Daher sollten sich die Leute auch viel stärker für Initiativen engagieren, die genau diesen Schutz der persönlichen Information und Transparenz von Regierungen bei der Überwachung einfordern. Wenn man will, dass Regierungen gewisse Grenzen nicht überschreiten dürfen, ist jeder persönlich gefordert, sich dafür einzusetzen.

Wenn man Ihrer Argumentation folgt, dann müssten Sie über solche Leute wie Edward Snowden eigentlich glücklich sein.
Snowden hat in der Tat viele Dinge angestoßen, aber meine Gefühle diesbezüglich sind vielschichtig. Das ein einzelner mit derartiger Kompromisslosigkeit Verantwortung übernimmt, um Probleme ans Tageslicht zu bringen, ist gut und enorm wichtig. Und man muss sich auch im Klaren sein, dass wenn Whistleblower keinen Schutz erhalten, wichtige Dinge im Dunkeln bleiben.

Aber?
All das muss man aber gegen den Schaden abwägen, der durch solche Veröffentlichungen verursacht werden. Im Fall von Snowden gibt es die berechtigte Annahme, dass enttarnte Personen mit ihrem Leben bezahlen mussten und auch die Art, wie Snowden an die Informationen gelangte, problematisch ist. Jeder sollte daher eine gewisse Ambivalenz verspüren, wenn man darüber nachdenkt, was Snowden getan hat.

Was soll nun mit Snowden passieren?
Diese Frage muss ich persönlich ja nicht klären, das ist ein komplizierter Fall, der rechtlich geklärt werden muss. Ich denke, das ist eine wichtige Errungenschaft unserer modernen Welt, dass man Konflikte durch Verhandlungen und entsprechende Gesetze lösen kann und soll. Was wir definitiv brauchen – und da spreche ich sicher auch für RSA – ist mehr Transparenz und Durchblick, wie mit Privatsphäre und Datenschutz in Zukunft umzugehen ist. Die geplante europäische Datenschutzreform ist diesbezüglich ein Schritt in die richtige Richtung.