https://www.faz.net/-gzg-7td5a

Im Gespräch: Michael Waidner : „Die Nutzer werden allmählich vernünftiger“

  • Aktualisiert am

„Es muss leichter werden, verschlüsselt zu kommunizieren als unverschlüsselt“: Professor Waidner in seinem Darmstädter Büro. Bild: Helmut Fricke

Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, redet darüber, wie man Sicherheit und Vertrauen in der IT-Branche zurückgewinnt - und ob ihn die Enthüllungen Snowdens überrascht haben.

          7 Min.

          Wenn man hört, dass die NSA alle Telefonate und Mails überwachen kann, dass selbst Rechner von Google und der EZB gehackt werden, muss man sich dann nicht von der Vorstellung verabschieden, man werde künftig noch sicher elektronisch kommunizieren können?

          Es ist wie im Straßenverkehr oder auf anderen Gebieten des menschlichen Handelns: Absolute Sicherheit gibt es nicht, man geht immer Risiken ein. Allerdings muss man auch in der Informationstechnologie eine realistische Sicht entwickeln, welche Gefahren zu erwarten sind und wie man sich dagegen schützen kann. In der letzten Zeit hat sich gezeigt, dass die Gefahren sehr viel akuter sind, als man es sich früher vorgestellt hat. Dennoch glauben immer noch viele Firmen und Privatpersonen, uns passiert schon nichts. Aber das stimmt nun einmal nicht. Studien des Bitkom, des Bundesverbands der Informationswirtschaft, besagen, dass vier von zehn Internet-Nutzern und drei von zehn Unternehmen bereits Schäden durch IT-Angriffe erlitten haben. Man muss daher nicht nur über IT-Sicherheit reden, sondern muss auch etwas dafür tun.

          Woher rührt diese Haltung, einem werde schon nichts passieren?

          Das liegt zu einem guten Teil daran, dass man mangelnde IT-Sicherheit meist erst wahrnimmt, wenn es schon zu spät ist. IT-Sicherheit gehört deshalb zu den Themen, die man gerne vor sich herschiebt. Das ist wie mit der gesunden Ernährung. Daher empfehlen wir den Unternehmen als Erstes, sie sollten eine Schutzbedarfsanalyse durchführen. Das heißt zu schauen, welche wichtigen Daten und Systeme man hat und welche Gefahren ihnen drohen. Meiner Erfahrung nach ist die Bereitschaft, solche Analysen zu erstellen, bei größeren Unternehmen meist stärker ausgeprägt als bei kleineren.

          Das wissen potentielle Angreifer?

          IT-Angreifer denken meist rational und greifen möglichst da an, wo es sich lohnt und das Risiko gering ist. Der Mittelstand wird besonders häufig angegriffen, wie eine Studie von Corporate Trust zur Industriespionage belegt. Das liegt natürlich auch daran, dass in Deutschland der Mittelstand der Innovationstreiber ist.

          Wie ist es bei politischen Akteuren? Haben sie Sicherheitsbedenken nicht ernst genommen?

          Das kann man so pauschal nicht sagen. Wichtige Regierungsstellen sind, mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Hintergrund, deutlich besser geschützt als die meisten Wirtschaftsunternehmen. Aber generell hat die Politik wohl wie alle anderen das Problem unterschätzt. Wichtig ist, dass heute über Parteigrenzen hinweg Konsens besteht, dass man etwas tun muss und es nun darum geht, diesen Konsens in Taten umzusetzen.

          Sie waren einer der Experten, die vom NSA-Untersuchungsausschuss angehört wurden. Was haben Sie da empfohlen?

          Ich habe dem Ausschuss zehn Empfehlungen vorgelegt, beispielsweise zur Überprüfbarkeit von Sicherheit, womit das Vertrauen in IT wiederhergestellt werden kann, oder dazu, wie bekannte und künftige Sicherheitstechnologien schneller ihren Weg in die Praxis finden. Sehr wichtig ist die Empfehlung, das Sicherheitsniveau in der IT insgesamt zu heben und mehr Wert auf den proaktiven Schutz vor Angriffen zu legen. Unser Ansatz dazu nennt sich „Security and Privacy by Design“, was einfach bedeutet, dass man erstens Sicherheit und Privatsphärenschutz von Anfang an in der Entwicklung berücksichtigt und zweitens die IT so entwirft, dass sie auch mit neuen Bedrohungen leichter fertig wird. Die kurzfristig wichtigste Empfehlung ist aber, dass wir flächendeckend in Deutschland Verschlüsselung einführen. Neben der gezielten Überwachung Einzelner, etwa von Politikern, besteht die NSA-Affäre ja darin, dass massenhaft Kommunikation abgehört oder ausgespäht wird. Wenn man das verhindern möchte, hat man tatsächlich gute Chancen, dies durch Kryptographie zu tun.

          Wie sähe das konkret aus?

          Wir sprechen hier von Ende-zu-Ende-Verschlüsselung. Das heißt, Nachrichten werden vom Sender verschlüsselt, gehen verschlüsselt durch das Netz und werden erst beim Empfänger wieder entschlüsselt. Niemand dazwischen hat dann Zugriff. Damit man das richtig hinbekommt, braucht man aber eine Infrastruktur, die dem Sender sagt, welchen Schlüssel er für welchen Empfänger verwenden kann. Den Aufbau einer solchen Infrastruktur halte ich für genauso wichtig wie den Breitbandausbau. Man muss deshalb schauen, dass die Wirtschaft oder der Staat entsprechende Angebote machen, die für die Nutzer attraktiv und „laientauglich“ sind. Am Ende muss es leichter sein, verschlüsselt zu kommunizieren als unverschlüsselt. Daran arbeiten wir derzeit intensiv.

          Wie groß ist Ihr Verständnis für die Geheimdienste, die sagen, Verschlüsselung sei gut, man brauche aber Hintertüren in den Systemen, um an Extremisten oder Gewalttäter heranzukommen?

          Ich kann diese Argumentation natürlich nachvollziehen, aber ich denke, es muss zuerst darum gehen, die Bürger und Unternehmen zu schützen. Hintertüren stellen immer ein unkalkulierbares Risiko dar, denn jede Hintertüre kann auch von anderen, kriminellen Organisationen oder fremden Nachrichtendiensten, entdeckt und missbraucht werden. Für völlig unverantwortlich halte ich es deshalb, wenn staatliche Stellen vorhandene Schwachstellen, die sie in IT-Produkten entdecken oder auf dem Schwarzmarkt für Schwachstellen angeboten bekommen, nicht sofort den Herstellern melden, sondern diese Information nutzen, um mit ihrer Hilfe leichter in Produkte einbrechen zu können. Jede solche Schwachstelle ist eine Zeitbombe, und je schneller sie geschlossen wird, desto besser. Heimlich bewusst eingebaute Hintertüren in IT-Produkte zerstören zudem das Vertrauen in die Technologie. Umgekehrt kann man gut organisierte Straftäter ohnehin nicht daran hindern, ihre eigene Kommunikation bestmöglich zu schützen.

          Waren Sie von der Dimension des Abhörens und Überwachens, die Snowden enthüllt hat, überrascht?

          Ja und nein. Die prinzipiellen Techniken zum Abhören und Einbrechen in Systeme waren in Fachkreisen schon bekannt. Snowden hat eigentlich nur bestätigt, dass eben jede halbwegs realistische Angriffstechnik auch zur Anwendung kommt. Überrascht hat mich aber der Anspruch der amerikanischen und britischen Nachrichtendienste, völlig verdachtsunabhängig das komplette Internet abfischen zu wollen. In diesem Zusammenhang sollte man auch nicht vergessen, dass andere Staaten und Geheimdienste sicher nicht zimperlicher sind. Es würde mich wundern, wenn beispielsweise China und Russland nicht in einem ähnlichen Ausmaß und mit ähnlichem Knowhow versuchen würden, Informationen rund um die Welt zu sammeln. Es geht also nicht nur um den Schutz vor der Überwachung durch westliche Dienste, sondern um den Schutz vor jedweder Spionage und Sabotage.

          Datenschutz wird in Deutschland und vielleicht demnächst auch in Europa vom Gesetzgeber großgeschrieben. Geraten die Vorgaben aber nicht angesichts der Möglichkeiten, Privatsphären auszuspionieren, zur Farce?

          Das würde ich nicht so sehen. In der Wirtschaft, insbesondere der Informationswirtschaft, ist gesetzlich fixierter Datenschutz sehr wichtig. Die anstehende Grundverordnung der EU wird ein großer Fortschritt sein, und meiner Einschätzung nach bewahrt sie das Datenschutzniveau in Deutschland. Der Entwurf der EU-Grundverordnung sieht zum ersten Mal signifikante Bußgelder bei Verstößen vor. Diese können bis zu zwei Prozentpunkte des weltweiten Umsatzes erreichen. Auch für die Googles und Facebooks dieser Welt wäre dies eine empfindliche Strafe.

          Ohne eine Änderung des Bewusstseins der Nutzer, was sie in sozialen Netzwerken preisgeben, werden die Anstrengungen wohl ins Leere gehen. Wie kann man einen Mentalitätswandel fördern?

          Damit befassen wir uns derzeit zusammen mit anderen Forschungseinrichtungen im „Forum Privatheit“, einem vom Bundesforschungsministerium geförderten Projekt. Man kann feststellen, dass die Nutzer allmählich vernünftiger werden. Die Tendenz, alles preiszugeben ohne nachzudenken, scheint zu kippen. Studien zeigen, jüngere Menschen gehen inzwischen eher vorsichtiger mit persönlichen Informationen um. Oder sie sind sich zumindest bewusster, dass sie ihr digitales Leben und ihr Erscheinen im Netz bewusst gestalten und pflegen müssen.

          Auch wegen der vielen schlechten Erfahrungen?

          Auch deswegen. Aber auch, weil die allgemeine Stimmung stärker für diese Probleme sensibilisiert. Wir versuchen in einem weiteren Projekt, den Menschen Werkzeuge an die Hand zu geben, die ihnen ein Gefühl vermitteln, wie relevant es für sie ist, was sie gerade am Computer machen. Dafür haben wir einen prototypischen „Privacy Agenten“ entwickelt.

          Das müssen Sie erklären.

          Das ist eine Software, die nebenbei mitläuft und einem über die Schulter schaut, wenn man in sozialen Netzwerken eingeloggt ist. Der Agent gibt dem Nutzer Empfehlungen oder versucht zu bewerten, wie viel er, meist der ganzen Welt, schon über sich mitgeteilt hat, über seine Vorlieben, seine Freizeitaktivitäten, seine Kontakte, wo er herkommt und dergleichen.

          Funktioniert das?

          Das ist das Ziel, aber es gibt noch viele offene Fragen. Eine wichtige ist, wie man ganz praktisch den Nutzern das Risiko vermitteln kann, das sie mit der Preisgabe ihrer Daten eingehen. Außerdem muss man bei solchen Werkzeugen bedenken, dass die Menschen sich ungern bevormunden lassen.

          Wenn Sie fünf bis zehn Jahre vorausblicken: Wie wird dann das Internet genutzt werden? Werden die Leute eher vorsichtiger damit umgehen?

          Da muss man differenzieren. Bezogen auf das klassische Internet werden die Menschen vorsichtiger werden oder zumindest sehr viel bewusster damit umgehen. Bei einer Vorausschau muss man allerdings auch bedenken, dass das Internet an sich in einem steten Wandel begriffen ist. Schon jetzt gibt es ja das „Internet of Things“, also die Steuerung des Hauses mit Heizung, Waschmaschine und Rollladen, oder Google Glasses, die Brille als Computer, oder die vollvernetzten Maschinen und Fabriken der „Industrie 4.0“. Außerdem werden die Möglichkeiten stark wachsen, sich selbst zu vermessen und einen Großteil seines Lebens über Apps zu beeinflussen, wie etwa die Kontrolle des Pulses oder anderer Biodaten. Die werden dann in Clouds geschickt und mit denen anderer Personen verglichen. Was mit all diesen Daten passiert und in Zukunft noch weiter passieren wird, eröffnet ganz neue Dimensionen. Viele althergebrachte Schutzkonzepte stoßen an ihre Grenzen und müssen neu durchdacht und erforscht werden. Wir müssen jetzt die Chance nutzen und von Anfang an IT-Sicherheit und Privatsphärenschutz in die Entwicklung mit einplanen und damit zu einem festen Teil des „Internet of Things“ machen.

          Wie gehen Sie persönlich mit dem Internet um? Erledigen Sie Ihre Bankgeschäfte oder andere private sensible Dinge online?

          Ich bin von Natur aus optimistisch, was Technik anbelangt. Als Informatikprofessor bleibt einem wohl auch keine andere Wahl (lacht). Ich mache sehr viel im Internet, und wenn man die richtigen Schutzmechanismen anwendet, ist das auch vertretbar. Es gibt keinen Grund, Dienste wie Homebanking prinzipiell als unsicher abzulehnen. Das lässt sich mit vernünftigen Vorsichtsmaßnahmen guten Gewissens machen, etwa wenn man es nicht gerade auf einem Rechner tut, dessen Betriebssystem und Software nicht aktualisiert wurde oder der keinen aktuellen Anti-Viren-Schutz hat oder den man gleichzeitig dazu verwendet, wild im Internet herumzusurfen.

          Kommunizieren Sie stets verschlüsselt?

          Unverschlüsselte Kommunikation im Postkartenstil ist okay, wenn man sich bewusst ist, dass die Sicherheit eben wirklich nur der einer Postkarte entspricht. Ich würde gerne mit allen verschlüsselt kommunizieren, das geht aber in vielen Fällen noch nicht, weil es noch schwer oder unmöglich ist, an die notwendigen Schlüssel zu gelangen. Wir arbeiten gerade daran, diese Wege zu erleichtern. Aber wir dürfen alle optimistisch sein. Auf der digitalen Agenda der Bundesregierung steht, Deutschland will Verschlüsselungs-Standort Nr. 1 auf der Welt werden.

          Die Fragen stellten Katharina Iskandar und Helmut Schwan.

          Zur Person und zum Institut

          Michael Waidner ist Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) und hat in diesem Fach an der TU Darmstadt einen Lehrstuhl inne. Er wurde 1961 in Mühlacker nahe Pforzheim geboren. Nach dem Studium der Informatik in Karlsruhe wurde er über ein Thema aus der Kryptographie promoviert. 1994 begann er bei IBM in der Schweiz, 2006 wechselte er im Konzern nach New York; hier zeichnete er für die technische Sicherheitsstrategie verantwortlich. 2010 nahm er den Ruf nach Darmstadt als Institutsleiter und Professor an. Im Juni war er einer der Experten im NSA-Untersuchungsausschuss. (Das Gutachten findet sich unter www.bundestag.de/bundestag/ausschuesse18/ua/1untersuchungsausschuss/-/280848)

          Das SIT mit Sitz in Darmstadt und St. Augustin beschäftigt mehr als 160 Mitarbeiter und verfügt über langjährige Erfahrungen auf dem Gebiet, wie die elektronische Kommunikation vor An- und Eingriffen zu schützen sei. Das Institut berät und unterstützt Unternehmen und Behörden dabei, ihre Daten, Dienste und Infrastrukturen auf mögliche Schwachstellen hin zu überprüfen, nach den neuesten Erkenntnissen abzusichern und Mitarbeiter entsprechend zu schulen. Außerdem erforscht das SIT dazu neue Produkte und entwickelt sie zur Marktreife. Wie groß die Nachfrage nach Rat und Hilfe inzwischen ist, lässt sich auch an dem Neubau des Instituts an der Rheinstraße in Darmstadt ablesen, der Mitte September in Betrieb genommen wird.

          Weitere Themen

          Topmeldungen

          Ein Schüler führt in einer Klasse in Rheinland-Pfalz einen Corona-Schnelltest an sich selbst durch.

          RKI-Zahlen : Corona-Inzidenz bundesweit wieder über 110

          Die Zahl der Infektionen steigt stark an, doch Gesundheitsminister Spahn hält die Zeit für gekommen, die „epidemische Lage“ auslaufen zu lassen. Das könnte zu einem noch kleinteiligeren Flickenteppich an Maßnahmen führen. SPD-Experte Lauterbach sorgt sich um die Schüler.
          Der Rechtsstreit geht in die nächste Runde: Maike Kohl-Richter fordert als Alleinerbin mindestens fünf Millionen Euro

          F.A.Z. Frühdenker : Millionenstreit um Entschädigung für die Kohl-Witwe

          Die Pandemie scheint immer mehr zur Pandemie der Ungeimpften zu werden. Der Bundesgerichtshof verhandelt mal wieder in der Sache Familie Kohl gegen Autor Schwan. Und das Jugendwort des Jahres 2021 wird verkündet. Der F.A.Z.-Newsletter für Deutschland.
          
              Historischer  Handschlag in Peking: Mao und Nixon 1971

          Amerika und China : Taiwans ungeklärter Status

          China errang vor 50 Jahren bei den Vereinten Nationen einen wichtigen diplomatischen Sieg für seine Anerkennung. Für Taiwan und Amerika war es eine schwere Niederlage, die bis heute nachwirkt.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.