Netzpolitik
12.05.2015

"Staat ist nicht die Antwort auf Sicherheitsprobleme"

Der neue RSA-Chef Amit Yoran übt im Interview Kritik am intransparenten Überwachungsstaat. Sich selbst bezeichnet er als glühenden Bürgerrechtler.

Mit markigen Aussagen über das „Scheitern der Sicherheitsbranche“ und einem Plädoyer für neue Sicherheitskonzepte hat der Anfang des Jahres bestellte RSA-CEO Amit Yoran für einige Diskussionen in der Branche gesorgt. Im Interview mit der futurezone am Rande der RSA-Sicherheitskonferenz in San Francisco erklärt Yoran, warum Antivirus und Firewall nicht die Zukunft sind und eine Hintertür für Regierungen in Sicherheitssoftware inakzeptabel ist.

futurezone: Auf der RSA-Konferenz haben Sie ihren Kunden ausgerichtet, dass ihre bisherigen Investitionen in Sicherheit praktisch vergebens waren. Muss man sich als Kunde da nicht gefrotzelt fühlen?
Amit Yoran:
Darum geht es gar nicht. Kunden, aber auch Hersteller müssen jedoch wissen, dass sie nicht sicher sind, nur weil sie noch ein weiteres Produkt kaufen. Die Voraussetzungen haben sich komplett verändert. Computing ist heute nicht PC- oder Laptop-basiert, sondern passiert über iPad, iPhone und Android-Geräte. Angriffe gehen nicht gegen die Hardware in Firmennetzwerken, sondern gegen Cloud-basierte Infrastruktur.

Das heißt, Antivirus und Firewalls sind tot, wie etwa Symantec schon vor einem Jahr behauptete?
Die Wahrheit ist: Zu verhindern, dass ein Angreifer ins Netzwerk kommt, ist praktisch unmöglich, egal ob man noch so starke Firewalls, Antivirus-Software oder Intrusion-Detection-Systeme verwendet. Und so sehr wir auch unsere Secure-ID-Tokens schätzen, muss man sich der Realität stellen. Deshalb investieren wir jetzt umso stärker in Netzwerk-Monitoring und modernes Authentifizierungs- und ID-Management.

Muss man für mehr Sicherheit nicht automatisch auf Privatsphäre verzichten, etwa wenn alle Netzwerkbewegungen in einem Unternehmen aufgezeichnet und analysiert werden?
Der SicherheitsexperteDan Geerhat sinngemäß einmal gesagt, man muss sich zwischen Privatsphäre, Sicherheit und einfacher Bedienung für zwei davon entscheiden. Aus RSA-Sicht ist Privatsphäre ohne Sicherheit nicht möglich. Gleichzeitig ist es natürlich so, dass das Aufzeichnen und Analysieren von Netzwerk-Verkehr potenziell ein hohes Datenschutz-Risiko mit sich bringt, wenn es falsch implementiert wird. Es gibt aber genug Maßnahmen, um sicherzustellen, dass die Privatsphäre von Mitarbeitern geschützt bleibt – etwa durch restriktiven Zugang auf die analysierten Daten.

Der NSA-Skandal mit einer Spionage-Hintertür in RSA-Verschlüsselungssoftware hat viele in der Branche, aber auch innerhalb des Unternehmens schockiert. Hat RSA ein Vertrauenswürdigkeits-Problem?
RSA genießt weiterhin größtes Vertrauen in der Branche. Mein Vorgänger Art Coviello hat offen und ausführlich erklärt, worum es bei dem Vorfall ging und worum nicht. Die Schwachstelle war eine Schwachstelle des verwendeten Protokolls selbst und nicht etwas, das RSA bewusst oder falsch implementiert hat. RSA würde und wird auch niemals die Sicherheit eines seiner Produkte schwächen oder mit jemandem zusammenarbeiten, um dies zu tun.

Regierungen zählen aber weiterhin zu ihren Kunden und Auftraggebern. Was tun Sie, wenn diese mit besonderen Anforderungen – etwa um verfeindete und potenziell gefährliche Staaten zu schwächen – auf ihr Unternehmen zukommen?
Natürlich liefern wir unsere Produkte auch an Regierungen aus. Diese sind funktionell aber genau gleich wie jene für den privaten Sektor. Die Sicherheitsanforderungen für Staaten sind zudem zu 99 Prozent gleich wie jene für Unternehmen.

Auf der RSA-Konferenz waren erstaunlich viele US-Regierungsvertreter anwesend und haben zur Zusammenarbeit und zum gemeinsamen Informationsaustausch im Kampf gegen Kriminalität aufgerufen. Wie bewerten Sie diesen Aufruf?
Wir müssen sehr vorsichtig sein, was die richtige Rolle für Regierungen ist. Der Staat ist definitiv nicht die Antwort auf die existierenden Sicherheitsprobleme. Der private Sektor entwickelt, implementiert und managt Sicherheitstechnologien und Schutzmechanismen. Da Regierungen sehr viel Informationen sammeln, sollten sie die Industrie darin unterstützen, Bedrohungen und Risikoszenarien besser zu verstehen. Die meisten Regierungen handeln derzeit allerdings intransparent. Sämtliche Aktivitäten, Maßnahmen, aber auch Informationen werden geheim gehalten.

Das Implementieren von Hintertüren in Sicherheitssoftware oder etwa einen Zugang zu Verschlüsselungslösungen durch Regierungen lehnen Sie also ab? Oder gibt es Situationen, wo so ein Vorgehen gerechtfertigt werden kann?
Ich bin ein glühender Bürgerrechtler und der tiefen Überzeugung, dass es Organisationen erlaubt sein muss, den höchstmöglichen Schutz zu implementieren. Alles, was eine Regierung unternimmt, um Sicherheitsmaßnahmen auszuhebeln, bedeutet eine Schwächung der gesamten Gesellschaft. Technisch gesehen gab es noch nie so viele Möglichkeiten für Regierungen, zu überwachen und Geheimdienstinformationen zu sammeln. Wir müssen also nicht auch noch den Extra-Kilometer gehen, um Verteidigungssysteme aktiv zu schwächen. Das kann nicht die Antwort auf Bedrohungen sein.

Dass Sie sich als Bürgerrechtler bezeichnen, überrascht angesichts ihrer Ausbildung an der Militärakademie und ihrer Arbeit im CERT-Team des US-Verteidigungsministeriums doch ein wenig.
Schizophren, oder? (lacht) Meine Philosophie hat sich sicher über die Jahre entwickelt. Gleichzeitig glaub ich aber auch nicht, dass es der bürgerlichen Freiheit widerspricht, wenn man dem Verteidigungsministerium dabei hilft, sein Netzwerk zu verteidigen. Meine Aufgabe war es allerdings nie, Informationen für Geheimdienste zu sammeln.

Was halten Sie von Initiativen wie dem Cybersecurity Framework der Obama-Verwaltung, das Unternehmen und Organisationen über das richtige Implementieren von Schutzmaßnahmen aufklären soll?
Das ist zu befürworten und hat sicherlich auch international Vorbildfunktion. Auch der neue Vorstoß, dass Informationen über Sicherheitsvorfälle und –Vorkehrungen unter Firmen geteilt werden, ist sinnvoll. Wenn es allerdings darum geht, die Regierung mit sensiblen Informationen zu versorgen, sind für mich noch zu viele Fragen offen. Warum sollte ich einer Regierung etwas mitteilen, wozu ich gesetzlich nicht verpflichtet bin? Was passiert mit diesen Informationen? Werden diese analysiert, mit wem werden sie geteilt? Aus welchem Grund?

Wurde das Vertrauen in Behörden und Regierungen durch die Snowden-Papiere nachhaltig beschädigt? Die Meinungen darüber, ob Snowden ein Held oder Vaterlandsverräter ist, gehen ja gerade in den USA stark auseinander.
In den USA gab es viele Berichte, inwiefern die Veröffentlichungen die nationale Sicherheit beschädigt haben sollen. Das bezweifle ich gar nicht. Gleichzeitig finde ich es wichtig als Bürger zu wissen, welche Überwachungsmaßnahmen und sonstige Dinge durchgeführt werden. Die öffentliche Diskussion, auch über fragwürdige gesetzliche Konstrukte, ist wichtig. In vielen Staaten ist die Abteilung, die sich um die Verteidigung des Netzwerks kümmert, beim Nachrichtendienst angesiedelt, dem es um das Sammeln von Informationen geht – oder überhaupt in der Exekutive. Das sind für mich fundamentale Interessenskonflikte.

Disclaimer: Die Reisekosten zur RSA-Konferenz wurden von RSA übernommen.