Frankfurter Allgemeine Zeitung | Besprechung von 11.09.2019

In der vernetzten Welt werden Dinge für ihre Benutzer gefährlich
Der IT-Experte Bruce Schneier legt überzeugend dar, warum staatlich durchgesetzte Sicherheitsstandards für das Internet überfällig sind

Bruce Schneier ist ein Sicherheitstechnologe, der in Harvard lehrt und bei IBM Security arbeitet. Dass man ihm zuhört, wenn er bei Silicon-Valley-Unternehmen oder in politischen Expertengremien Vorträge hält, liegt nicht nur an seinem Fachwissen, sondern auch daran, dass er sich zur Zukunft einer mit dem Internet verschmolzenen Gesellschaft zugleich als Pragmatiker und Optimist äußert. Angriffe auf Stromversorgungen seien zwar schon vorgekommen, Morde via Remote Hacks in Bordcomputern von Autos seien zumindest möglich, aber panische Angst vor Terroranschlägen mit dem Tatmittel Internet, wie es im Polizeijargon heißt, hält Schneier für übertrieben: "Internet-Terrorismus wird es wohl erst in einigen Jahren geben", und selbst dann bleibe er wohl die Ausnahme, weil bösartigen Eingriffen in kritische Infrastrukturen das Spektakuläre eines analogen Anschlags abgehe.

Selbst den Titel seines eigenen Buches nennt er "zugegebenermaßen reißerisch", denn er spielt auf eine Art "movie-plot threat" an, wonach "irgendjemand mit ein paar Mausklicks die Zivilisation zerstören könnte". Denkbar sei etwa, dass in wenigen Jahren gehackte Biodrucker eine weltweite Epidemie auslösen. Gleichwohl dürfe konstatiert werden, dass selbst die mächtigsten, von Russland, den Vereinigten Staaten oder China ausgehenden militärischen Cyberattacken "bisher auf lange Sicht weitgehend wirkungslos geblieben" seien.

Die Entwarnungen dienen freilich nur dazu, die Aufmerksamkeit auf die eigentlichen Gefahren zu lenken. Sparvermögen oder Rentenansprüche bestehen eben vor allem aus Daten auf Servern. Viele Geldautomaten verwenden immer noch das seit 2014 nicht mehr unterstützte Betriebssystem Windows XP. Häufig gefährdet uns einfach nur Unachtsamkeit: Mehrfachpasswörter, lausige Apps, Verzicht auf Updates. Mit "Internet+" bezeichnet Schneier die digitale Infrastruktur von morgen, eine umfassende Mensch-Maschine-Umgebung, die über das "Internet der Dinge" - also mit dem Netz verbundene Geräte vom Kühlschrank bis zu Kraftwerken - hinausgehe. Interaktion mit Codes ist die Basis dieser Umwelt. Jede Steuerungs- oder Sicherheitssoftware sei aber prinzipiell umprogrammierbar und werde somit zu einem Einfallstor für Kriminelle, um hilfreiche Systeme gegen ihre arglosen Nutzer zu verwenden, ganz direkt etwa, wenn Erpresser auf Herzschrittmacher zugreifen können.

Der erste Teil des Buches befasst sich unter Heranziehung vieler eindrücklicher Beispiele mit den Sicherheitsproblemen des Internets, die laut Schneier auch damit zu tun haben, dass wir bis heute viele völlig ungeschützte Internetprotokolle nutzen: von der E-Mail über den Domain Name Service bis zum HTML-Protokoll. Identitätsdiebstahl werde schon durch schlichte Maßnahmen wie eine verbindliche Zwei-Faktoren-Authentifizierung stark erschwert. Man schließe ja auch in der analogen Welt seine Haustür ab. Generell aber sieht Schneier das Sicherheitsproblem als eines an, das systemisch gelöst werden müsse, also nicht dem Endnutzer überlassen bleiben dürfe, weil dieser in der Regel nicht über genug Kenntnisse verfüge. Gefragt seien vielmehr Wirtschaft und Staat.

Dass in Sachen Sicherheit so wenig geschehe, liege daran, dass aufwendige Sicherheitstests von Kunden kaum honoriert oder staatlicherseits sogar unterminiert würden. So sei schlecht programmierte Software mit nachgereichten "Patches", also Sicherheits-Updates, heute der Regelfall. Regierungen, die an der Überwachung der eigenen Bürger und an Spionage-Hacks gegen andere Länder interessiert seien, drängten ebenso wenig auf eine Änderung dieser Gepflogenheiten wie die großen Plattformen, die massenhaft Daten sammelten (und auch damit Zugänge in die Privatsphäre ihrer Nutzer legten, die von Hackern ausgenutzt werden könnten). Viele dieser Gefahren seien lange bekannt, aber in Verbindung mit einer komplett vernetzten Gesellschaft und den Fortschritten im Maschinenlernen ergebe sich eine neue Bedrohungsqualität.

Hochinteressant ist Schneiers Buch vor allem deshalb, weil es über die kenntnisreiche Darstellung der prekären Sicherheitslage hinaus auf Lösungen zielt und konkrete Vorschläge macht. Dieser zweite Teil ist seinerseits zweigeteilt in eine Darlegung eigentlich notwendiger Veränderungen und in einen pragmatisch-realistischen Part, der Minimalforderungen enthält. Die Online-Durchdringung der Gesellschaft, so die Grundeinsicht Schneiers, habe inzwischen eine Dimension erreicht, die eine starke staatliche Regulierung unumgänglich mache. Dafür gebe es durchaus positive Beispiele wie im Falle der Richtlinien zur Flugsicherheit, bei denen Verstöße hart sanktioniert würden.

Zu den eher frommen Wünschen zählen Anforderungen an private Unternehmen, bei ihren Produkten auf "Security by Design" (Sicherheitstests vorab) zu setzen und nur in unverzichtbaren Fällen Daten zu sammeln. Es sei auch darüber nachzudenken, Systeme wieder zu trennen oder ganz vom Netz zu nehmen, das Internet zu entmilitarisieren, die Produkthaftung deutlich zu verschärfen und viel mehr Geld in die Ausbildung von Sicherheitsexperten zu stecken. Viel wäre aber schon erreicht, wenn innerhalb der Sicherheitsorgane die Defensive über der Offensive rangierte, so dass etwa die NSA entdeckte Sicherheitslücken nicht für spätere Angriffe geheim halten dürfte, sondern Herstellern melden müsste.

Schneier, der aus amerikanischer Perspektive schreibt, schlägt die Einrichtung eines "National Cyber Office" vor, einer eigenen Behörde, welche die Regierung in digitalen Sicherheitsfragen berät, Expertenwissen bündelt und Sicherheitsstandards entwickelt. Der Autor macht sich zudem für die konsequente Ende-zu-Ende-Verschlüsselung auf allen Ebenen stark. Massenüberwachung und Hack-Backs seien hingegen zu unterlassen, weil der Schaden den Nutzen übersteige. Als Hoffnungsschimmer und Modell in Sachen Datensicherheit, die sich von Unternehmen einfordern lasse, scheint gegen Ende des Buches die neue europäische Datenschutz-Grundverordnung auf, zumal Europa nicht vor der Auflage hoher Bußgelder zurückschrecke.

Ganz aussichtslos sei die Situation also nicht, auch wenn man Kriminellen mit solchen Gesetzen natürlich nicht beikomme. Dafür brauche es die intensive Zusammenarbeit von Informatikern, Politikern und Wirtschaftsvertretern. Auch die Administration sei anzupassen: "Wir müssen eine tragfähige Karrieremöglichkeit für Technologen im öffentlichen Dienst schaffen." All das gilt für Europa gleichermaßen, wenn wir nicht, von Schlummer-Apps auf der Smartwatch in den Schlaf gesummt, in einem Albtraum erwachen wollen.

OLIVER JUNGEN.

Bruce Schneier: "Click Here To Kill Everybody". Sicherheitsrisiko Internet und die Verantwortung von Unternehmen und Regierungen.

Aus dem Englischen von K. Lorenzen. mitp Verlag, Frechen 2019. 384 S., br., 26,- [Euro].

Alle Rechte vorbehalten. © F.A.Z. GmbH, Frankfurt am Main…mehr