© EPA

Sicherheit
08/26/2013

"Softwarefirmen sollen für Fehler haften"

Ian Brown forscht an der Universität Oxford zu den Themen Cybersecurity, Privatsphärenschutz und Internetregulierung. Vergangene Woche war er bei den Technologiegesprächen in Alpbach zu Gast. Die futurezone hat sich mit dem Datenschutz-Experten unterhalten.

von Markus Keßler

Herr Brown, Sie nehmen in Alpbach an zwei Panels teil, in denen über Cybercrime und -security beziehungsweise Hacker und Datenverlust diskutiert wird. Sind das im Lichte der jüngst aufgedeckten Geheimdienst-Überwachungsprogramme nicht die falschen Themen?
Ian Brown:
Natürlich wird das Thema "Überwachung durch Nachrichtendienste" derzeit heiß diskutiert. Das ist aber auch ein Aspekt von Cybersecurity. Unternehmen und Regierungen sind gefragt, Schutzmaßnahmen für die User zu implementieren. Eine Menge Software und Computer sollten sicherer gemacht werden. Dann könnten wir ein sichereres Internet bauen. Derzeit sind die Fundamente schwach, da viel Software vor Löchern strotzt. Zudem sind die meisten Schutzmaßnahmen nicht einfach genug zu bedienen. Sichere Passwörter etwa kann sich kein Mensch merken.

Was kann verbessert werden?
Ein Ansatz ist es, die Passwörter von Smartphones und Computern managen zu lassen, so dass die Nutzer sich nicht alles merken müssen. Das löst zwar nicht alle Probleme, wäre aber ein Ansatz. Auch viele Betriebssysteme müssen verbessert werden. Sie sind verwundbar, weil sie mittlerweile so umfangreich und komplex geworden sind, dass es sehr schwer ist, sie abzusichern. Viele kommerzielle Betriebssysteme sind einfach grundsätzlich nicht für sicheres Surfen konzipiert worden. Im Nachhinein kann das kaum mehr repariert werden. Ein System wie Windows besteht aus fast hundert Millionen Zeilen Code, diese Komplexität ist das Problem.

Wie können Softwarehersteller für Sicherheit sorgen?
In vielen Bereichen wäre ein kompletter Neustart vom Reißbrett eine gute Idee. Eine solide, sichere Basis würde viel bringen. Gerade im Bereich kritischer Infrastruktur gibt es viele Systeme, die noch alte Versionen von Windows verwenden und mit dem Internet verbunden sind. Das ist fahrlässig.

Sind Open-Source-Lösungen eine Alternative?
Systeme wie Linux haben bereits Schritte in die richtige Richtung gemacht. SELinux etwa ermöglicht ein relativ sicheres System. Spezialisierte, schlanke Betriebssysteme können - gerade im Bereich Industrieanlagen-Steuerung - ebenfalls die Sicherheit erhöhen. Weniger Code, die Verwendung eines Micro-Kernels, kann Betriebssysteme viel schwerer angreifbar machen. Auch auf einer schlanken Basis kann komplexe Software aufsetzen. Bei korrekter Umsetzung hätten Lücken in Applikationen geringere Konsequenzen für die Sicherheit des Systems.

Viele User sind heute schon überfordert von den Sicherheitstmaßnahmen, die ihnen empfohlen werden. Sind neue Sicherheitsmechanismen überhaupt sinnvoll?
Viele Lösungen sind für User noch nicht geeignet. Die Systeme brauchen ein nutzerfreundliches User-Interface. Das ist eine Chance für die heutigen Betriebssystem-Hersteller. Sie haben die Expertise in den Bereichen User-Interface und Marketing und könnten neue, sichere und leicht zu bedienende Systeme verbreiten.

Bislang hat dieser Anreiz aber nicht sehr viel gebracht. Was muss sich noch ändern?
Die Politik muss ebenfalls reagieren. Regierungen sollten verstärkt Forschung in diesem Bereich fördern. Zudem könnten Softwareproduzenten per Gesetz gezwungen werden, Haftung für Sicherheitslücken zu übernehmen. Derzeit entziehen sich die Hersteller von Programmen dieser Verantwortung.

Wären die potenziellen Schadenersatzforderungen nicht existenzbedrohend für viele Unternehmen?
Solche grundlegenden Änderungen können nicht von heute auf morgen eingeführt werden. Eine schrittweise Annäherung über längere Zeit wäre notwendig. Anfangs könnten die Firmen beispielsweise nur eine Teilhaftung übernehmen. So hätten sie Zeit, die Qualität ihrer Produkte entsprechend zu verbessern.

Die jüngsten Überwachungsskandale haben gezeigt, wie groß die Gier diverser Behörden nach Daten ist. Können Normalsterbliche sich schützen?
Ich glaube nicht, dass es möglich ist, Informationen gegen alle Bedrohungen zu schützen. Personen, die direkt ins Visier von Geheimdiensten geraten, haben kaum eine Chance, ihre Privatsphäre zu wahren. Selbst wenn die Systeme sicher sind - was meist nicht der Fall ist - können Wanzen und Überwachungsmaßnahmen eingesetzt werden.

Wie sieht es mit allgemeinen Überwachungsprogrammen wie etwa Prism aus?
Hier gibt es zumindest Möglichkeiten, die Überwachung zu erschweren. Die Verschlüsselung von E-Mails etwa ist so ein Punkt, auch wenn die Bedienung hier noch zu umständlich ist. Alternative soziale Netzwerke wären auch eine Möglichkeit, allerdings sind die Freunde der meisten Menschen nun einmal bei Facebook. Hier sollte die Regierung die Internetfirmen zwingen, miteinander zu kooperieren, so dass die einzelnen Dienste miteinander kompatibel werden. Dann kann jeder User den Dienst nutzen, der ihm gefällt, und hat trotzdem Zugang zu all seinen Kontakten. Das würde auch verhindern, dass ein Angebot zu dominant wird.

Gibt es Anzeichen für Bewegung in diese Richtung?
Wir werden sehen. Derzeit ist die offizielle Antwort, dass dieser Ansatz zu radikal sei. Vielleicht kann die EU-Datenschutzrichtlinie hier einiges in Bewegung bringen.

Das Internet kennt keine Grenzen. Macht eine Lösung auf nationaler oder europäischer Ebene da überhaupt Sinn?
Eine weltweite Lösung wäre optimal, ist aber unwahrscheinlich. Es gibt ja auch Bestrebungen, der UN die Kontrolle über das Internet zu unterstellen. Das wollen aber vor allem die USA nicht, die die Kontrolle behalten wollen. Die EU ist hier auf einem guten Weg, da hier versucht wird, die Überwachung durch Regierungen einzudämmen.

Was machen die europäischen Regierungen derzeit für den Datenschutz?
Derzeit passiert zu wenig. Meist müssen Gerichte unpopuläre Entscheidungen fällen und die Regierungen folgen dann widerwillig.

Wie sieht es mit dem Schutz gegen Cybercrime aus?
Traditionelle Verbrechen, wie Diebstahl oder Betrug, die im Netz durchgeführt werden, sind ein Problem. Die Regierungen versuchen, einen Weg zu finden, ihre Bürger zu schützen. Es fehlen aber noch entscheidende Schritte. Bessere internationale Kooperation und regionale Zusammenarbeit könnten den das Leben der Cyber-Verbrechern schon deutlich erschweren.

Inwieweit sind die Regierungen selbst anfällig für Angriffe?
Hier muss unterschieden werden. Gegen Angriffe auf die eigenen Systeme sind die meisten reichen Länder gut vorbereitet. Dass Länder damit aufhören, sich zu bespitzeln ist trotzdem unrealistisch. Ein weiterer wichtiger Punkt ist die kritische Infrastruktur eines Landes, die oft in privatwirtschaftlicher Hand liegt. Hier müssten die Regierungen strengere Richtlinien erlassen, die etwa die Verwendung alter Windows-Versionen oder den Anschluss an das öffentliche Internet verbieten.

Viele Menschen sind der Meinung, sie hätten nichts zu verbergen und haben deshalb kein Problem mit der Überwachung durch Konzerne und Behörden. Was sagen sie dazu?
Das ist eine Gefahr für die Demokratie. Gerade Geheimdienste und Strafverfolgungsbehörden tendieren dazu, ihre Macht zu missbrauchen. Das war schon vor dem Internet der Fall, etwa im Fall der Überwachung von Martin Luther King durch das FBI. Behörden und Regierungen rechtfertigen sich meist, indem sie sagen "Ihr könnt uns vertrauen". Das sollten mündige Bürger aber keinesfalls tun.

Was können die Menschen gegen die Datensammelwut der Behörden unternehmen?
Die Menschen sollten Gruppierungen beitreten, die sich für Datenschutz einsetzen. Auch über die Medien und sozialen Netzwerke müsste mehr Aufklärungsarbeit geleistet werden. Mit den Politikern zu reden, ist ebenfalls sinnvoll. Parteien, die sich mit den Themen auseinandersetzen, können helfen. Ohne politisches Engagement wird sich nichts ändern.

Mehr zum Thema

Zur Person
Ian Brown ist stellvertretender Direktor des Cyber Security Centre an der Universität Oxford. Zu Cybersicherheit und Datenschutz forscht er auch am Oxford Internet Institute.

Technologiegespräche
Die Alpbacher Technologiegespräche starten am Donnerstag. Die futurezone ist vor Ort und liefert in den kommenden Tagen weitere Berichte über die interesanntesten Themen.