Netzpolitik
09.05.2016

"Technologie ist das Problem und Menschen sind die Lösung"

Zum Auftakt der Start-up-Konferenz Techcrunch Disrupt in New York wurde über die Schnittstelle zwischen Sicherheit und Datenschutz diskutiert.

“The Needs Of The Many” lautet der Titel zu einem der ersten Panels der diesjährigen Techcrunch Disrupt New York. Bereits zum siebenten Mal findet die Start-up-Konferenz im Big Apple statt, rund 2000 internationale Besucher nehmen in diesem Jahr teil, auch die futurezone ist vor Ort. Marten Mickos von HackerOne und Nate Cardozo von der Electronic Frontier Foundation (EFF) diskutieren am Montagmorgen das Spannungsfeld zwischen Security und Datenschutz.

Beide stellen fest, dass es in den vergangenen Jahren einen Wandel gegeben hat, der durchaus neue Fragen aufwirft. “Das Thema Sicherheit betrifft plötzlich ganz andere Bereiche als noch vor einigen Jahren”, sagt Cardozo und verweist auf das sogenannte Internet of Things, auf Bereiche, in denen man sich bis vor kurzem noch nicht so sehr mit Datenschutz und Sicherheitslücken beschäftigen musste. “Apple wird kein Problem haben, wenn es darum geht, wie man mit einer entdeckten Schwachstelle umgeht, aber all diese Unternehmen - etwa im Medizinbereich - die haben überhaupt keine Ahnung, wie sie damit umgehen sollen”, sagt Cardozo. Man habe zwar überall Entwickler, aber keine Sicherheitsexperten am Start.

Transparenz und Hilfe von außen

Für Marten Mickos liegt der Schlüssel zum sicheren Umgang mit digitalen Daten einerseits in Open-Source-Lösungen sowie dem Zurateziehen von externen Profis. “Im alten Security-Paradigma ging man davon aus, dass Menschen das Problem und Technologie die Lösung ist. Ich denke, wir lernen jetzt, dass tatsächlich Technologie das Problem und Menschen die Lösung sind”, so Mickos. Es sei der einfachste und schnellste Weg, auf Transparenz zu setzen und Menschen von außen zu haben, die dabei helfen, Schwachstellen zu erkennen. Die größte Sorge zeigt Mickos in Hinblick auf jene, die de facto erst gar keine Ahnung haben, dass sie bedroht sein könnten.

“Man muss die Schwachstelle finden, bevor sie ausgenutzt werden kann”, betont der HackerOne-CEO. “Jedes System hat Sicherheitslücken und jeder braucht Securitylösungen”, so Mickos. Daher müssten die Unternehmen realisieren, dass der einzige Weg zu Sicherheit der offene Umgang mit Schwachstellen sei.

Erst gar nichts sammeln

Aufgeworfen wird im Rahmen der Diskussion auch die Frage, wie Start-ups am besten mit Nutzerdaten umgehen könnten. Die Antwort von Cardozo lautet: “Indem sie erst gar keinen Zugang zu den Daten haben.” Besonders bei Firmen, die Messaging-Dienste anbieten und extrem viele Daten ihrer User haben, würden die Behörden zunehmend als gegensätzliche Kraft wahrgenommen und die Angriffsfläche für unterschiedliche “Interessenten” immer breiter. “Sobald du anfängst, Daten zu sammeln, werden sie kommen”, sagt Cardozo. Das könne Angreifer ebenso auf den Plan rufen wie organisiertes Verbrechen, Strafverfolgung oder Geheimdienste.

“Wenn die Daten erst einmal da sind, muss man einen Weg finden, sie zu sichern und zu schützen.” Dabei verweist der EFF-Vertreter auf den Verzicht des Datenbesitzes und führt als Beispiel WhatsApp und seinen Schritt zur standardmäßigen Verschlüsselung an. Der Dienst habe keinen Zugriff auf Inhalte, “das ist eine gute Möglichkeit diese Inhalte zu schützen”, so Cardozo. Sowohl er als auch Mickos sind überzeugt, dass derlei “Zero Knowledge”-Modelle in Zukunft für immer mehr Tech-Firmen eine Rolle spielen werden.