Überwachen können wir am allerbesten!

Die RSA Conference ist seit vielen Jahren ein Fixpunkt in meinem Kalender - die größte IT-Security-Messe der Welt. Seit 2006 personalisiert die OeSD (Österreichische Staatsdruckerei) pro Jahr über 1 Mio. Hochsicherheitsdokumente mit den persönlichen Daten der Antragsteller von Reisepässen, Personalausweisen, Aufenthaltstiteln, Führerscheinen und Zulassungsscheinen. Mit dieser neuen Aufgabe war der Wechsel von der Druckerei zum Technologieunternehmen und der Anspruch an die IT-Security in der OeSD auf höchstem Niveau vollzogen - und der zweite RSA-Besuch gebucht.

IT-Kirche für 5 Tage

Die Kirche der IT-Security wird von der RSA einmal im Jahr für eine Woche im Moscone Center in San Francisco aufgesperrt und die Pilger aus aller Welt kommen in großen Scharen. Der EU-Ableger ist zwar ambitioniert, aber kein Vergleich. Auf über 50.000 m² wird gekeynoted, geworkshopped, genetworked und ausgestellt. Eine IFABO (für die, die das nicht mehr kennen: damals eine Ausstellung von Modems und 386ern in Wien) auf Anabolika ist der Konferenz angeschlossen.

Auch inhaltlich hat die Konferenz sich schon früh als Sprachrohr der Branche gezeigt. Als in Europa die IT-Administratoren noch auf Portierlevel gepflegt wurden, forderte man dort schon CIOs, die in alle strategischen Entwicklungsprozesse des Unternehmens integriert sein müssen. Bill Clinton, Tony Blair als Abschlusskeynoter der letzten Jahre und Keynotes wie die von FBI-Director James B. Comey machen die immer präsentere politische Dimension der RSA und des IT-Security-Themas bewusst. Das war auch schon vor Snowden so - das Smalltalk und Diskussionsthema Nummer eins in Jahre 2014.

Überwachen können wir am allerbesten!

Die spannendste Diskussion heuer zweifelsfrei: der ehemalige U.S. Cyber Security Advisor Richard Clarke vs. General Michael Hayden, Exdirektor der NSA und der CIA. In den ersten zehn Minuten konnte man dies als europäisch geprägter Zuhörer kaum begreifen. Wir lesen und hören in unseren Medien ja durchaus von unterschiedlichen Zugangsweisen zwischen USA und Europa zum Thema Überwachung und Datenschutz. Die Direktheit, mit der die Fähigkeiten der USA zur Überwachung und zum Ausspähen gepriesen wurden, macht dennoch stutzig. Wenn Clark mit vor Stolz geschwellter Brust sich darüber freut, dass die USA ganz sicher unangefochten in diesen Themen die besten der Welt sind und das mit großem Abstand vor dem Rest, dann wird einem schon ein bisschen anders.

Auf der anderen Seite hat die erfrischende Schnörksellosigkeit teils entwaffnende Wirkung: "Wenn der BND Merkel bei ihrem Antritt gesagt hätte, dass sie ab jetzt von mindestens 20 Nationen abgehört wird, wenn sie kein sicheres Mobiltelefon verwendet, so wie wir das bei Obama erklärt haben, wäre sie vielleicht jetzt nicht so verwundert gewesen!", sagte Clark sinngemäß an anderer Stelle. In Summe waren beide bemüht, die Vorgänge rund um NSA und Snowden herunterzuspielen und zu relativieren, teilweise garniert mit wichtigen, aber schwierig einzuhaltenden Verbesserungsvorschlägen: "Wenn wir eine Sicherheitslücke finden, sollten wir sie fixen, bevor wir Zeit vergehen lassen, um sie selber ausnutzen zu können."

Dass Snowden hier nicht flächendeckend als Held gesehen wird, auch wenn Wozniak das gerade für sich entdeckt hat, verwundert kaum. Ich persönlich sehe seine Aktionen sehr differenziert. Nachdem ich mehrere konkrete Beispiele zu Problemen, die aus der ungefilterten Veröffentlichung seiner Unterlagen z.B. für Agenten und deren Familien entstanden sind, gelesen hatte, veränderte sich meine persönliche Beurteilung Snowdens immer wieder. Damit geht es mir wohl ähnlich wie Nicole Perlroth, Technologiereporterin für die New York Times, die noch immer damit beschäftigt ist, Snowdens Papiere Stück für Stück durchzukämmen.

Neben diesen politischen Themen ist für mich natürlich das Thema der digitalen Identität zentraler Angelpunkt bei der Auswahl der zu besuchenden Workshops. Das war in diesem Jahr auch besonders schwierig, weil das Thema „sichere Identität“ sich nahezu omnipräsent durch die Veranstaltung zieht. Gut so - ich halte das für extrem wichtig für die Zukunft des Internets und natürlich auch für die OeSD als zentrales Zukunftsthema.

Wir brauchen sichere und vor allem auch benutzbare, also minimal invasive Authentisierungs- und Identifizierungsmechanismen im Netz, um das freie Internet, so wie wir es kennen, für unsere Kinder zu garantieren.

Digitale Identität ist omnipräsent

Fakt ist, jeder versteht unter digitaler Identität etwas anderes. Die Unternehmens-IT, Social Media, Kultur haben jeweils vollkommen unterschiedliches Verständnis und unterschiedliche Anforderungen. Für mich ist der Kern des Problems an anderer Stelle - beim ganz normalen User. Wir müssen das Problem in der großen Fläche angehen und nicht die kleinen Randfeuer löschen. Wir müssen Logins, persönliche Datenbereiche und ID-Bestätigungen für alle Web-User verständlich und nutzbar machen. Nicht zugänglich, sondern nutzbar machen - das ist ein essentieller Unterschied.

Die RSA Conference 2014 hat Identität in den Mittelpunkt gerückt - und ich tippe darauf, dass das noch für ein paar Jahre so bleibt. Die USA werden andere Lösungen finden (müssen) als die meisten europäischen Staaten. Trotz üppiger Anhäufung von Drei-Buchstaben-Agencies kann man nicht im Ansatz auf eine so qualitativ hochwertige Registerinfrastruktur zurückgreifen wie z.B. in Österreich. Register sind das Rückgrat der Verwaltung von Identitäten und daher auch für die OeSD zentrales Thema.

Ein wichtiger Schritt in Richtung einfache Authentisierung startet derzeit übrigens mit der FIDO-Alliance - dazu aber mehr an anderer Stelle und Zeit.

Lukas Praml ist CEO der Österreichischen Staatsdruckerei und verantwortlich für den Bereich e-Government und Innovationen.