Art Coviello: „Anonymität ist Feind der Privatsphäre“

Ein einzelnes Buh aus dem Publikum zeugt zwar noch nicht unbedingt von einer aufgeheizten Stimmung. Für Diskussionen unter Konferenzbesuchern und Journalisten sorgte die Keynote des RSA-Security-Chefs Art Coviello auf der RSA Sicherheitskonferenz in Amsterdam aber allemal. Die Unmutsbekundung erntete Coviello mit der Aussage, dass „Anonymität im vernetzten Zeitalter der Feind der Privatsphäre ist“. Coviello machte zudem unmissverständlich klar, dass Sicherheit und absolute Privatsphäre nicht kompatibel seien.

Anomalien entdecken - Kein Big Brother

Um die Sicherheit von Computersystemen, Industrieanlagen, Unternehmen und nicht zuletzt Privat-User gewährleisten zu können, müsse man intelligente Analysemethoden einsetzen. Anders als bisher gehe es nicht darum, einzelne Systeme abzuschotten, sondern Anomalien im Netzwerk bzw. in der Webnutzung zu erkennen. Dies sei nur möglich, wenn man durch die Analyse von Daten und Workflows das normale Nutzerverhalten in bestimmten Kontexten wie am Arbeitsplatz kenne. Sicherheitslösungen würden folglich einen Angriff weniger durch Aufspüren von Schadcode, sondern durch auffälliges Verhalten von Usern und ihrer Maschinen im Netzwerk entdecken.

„Dass die Überwachung von Netzwerk-Aktivitäten zu Bedenken führt, ist legitim. Wir wollen keinen Orwellschen Big Brother. Völlige Anonymität im Netz bedeutet aber, dass man persönliche Daten anzapfen und missbrauchen kann, ohne dass der Angreifer jemals entdeckt werden kann“, führte Coviello aus. Viele Unternehmen würden aktuell mit dem Widerspruch kämpfen, dass sie moderne Sicherheits-Tools nicht implementieren, da sie die Privatsphäre ihrer Mitarbeiter schützen wollen. Gleichzeitig übersehe man dabei, dass gerade diese Technologien auch dieselben Mitarbeiter schützen könnten und in Wahrheit der einzige Weg seien, um ein Maß an Privatsphäre zu garantieren.

Fehlende Transparenz

Ohne die gerade in Europa wieder aufgeflammte Debatte über die NSA-Überwachung explizit zu erwähnen, meinte Coviello, dass es mehr Transparenz und strenge Protokolle bei der Implementierung entsprechender Sicherheitsmaßnahmen brauche. „Die fehlende Transparenz ist eines der großen Probleme bei der ganzen Diskussion. Derartige Prozesse müssen objektiv und emotionslos nachvollziehbar sein. Über die verwendeten Technologien können wir zudem auch viele der für die Sicherheitsanalysen benötigten Daten zum Schutz der einzelnen User wieder anonymisieren“, so Coviello. Sicherheit und Privatsphäre müssten wie entgegengesetzte Magnetpole zusammengeführt werden.

Dass Diskussionen über Privatsphäre und Datenschutz - auch aus Unternehmenssicht - notwendig sind, bewies schließlich auch die Keynote des Symantec-CTO Stephen Trilling. Dieser propagierte in seiner Vision von der Sicherheitslösung der Zukunft ein zentrales Big-Data-System, in welchem E-Mail-Konversationen inklusive versendeter Dateien-Anhänge, Web- und Netzwerkverhalten, aber auch Login-Vorgänge zusammenfließen. Diese Datenbank, in der Hunderte Milliarden Daten gespeichert und kontinuierlich gescannt werden, mache nur Sinn, wenn sie auch Unternehmens-übergreifend funktioniere.

Ein zentrales System als Lösung?

Entdeckt das intelligente Sicherheitssystem ein anomales Verhalten eines Programms oder eines Users - etwa wenn Schadsoftware versendet wird oder sich der Computer (ohne Wissen des tatsächlichen Users) mit Malware-Servern verbindet - kann dieser Vorgang über Netzwerk- und Firmengrenzen hinweg auch Monate zurückverfolgt werden und so die Verbreitung von Attacken und Schadsoftware verhindert werden.

Bezeichnend für diesen Vortrag war allerdings auch, dass Trilling in seiner 30-minütigen Keynote keinen Satz darüber verlor, wie die Daten der Unternehmen und die Privatsphäre der Mitarbeiter in diesem zentral verwalteten System vor missbräuchlicher Verwendung geschützt werden können. Auch der Symantec-CTO erntete neben dem obligatorischen Applaus ein Buh aus dem Publikum.