"Im wesentlichen ist das ein menschliches Problem"
IT-Sicherheits-Guru Bruce Schneier im Interview mit Technology Review
Bruce Schneier ist Chief Technology Officer beim IT-Sicherheitsunternehmen BT Counterpane im kalifornischen Mountain View. Er ist bekannt für seine ausdauernde Kritik an der Art und Weise, wie Großkonzerne mit Computersicherheit und Datenschutz umgehen. Der Verschlüsselungsexperte publiziert den bekannten Security-Newsletter "Crypto-Gram".
TR: Sie gelten als ein scharfer Kritiker von Sicherheitsmaßnahmen auf Flughäfen. Wenn Sie nach Europa fliegen, bekommen Sie dann eine Sonderbehandlung?
Bruce Schneier: (lacht) Nein. So weit ich das sagen kann, bin ich nicht auf irgendeiner Liste.
TR: Und Sie sind noch immer der Meinung, dass die Sicherheitsmaßnahmen auf Flughäfen falsch sind?
Schneier: Ja, das ist größtenteils Unsinn.
TR: Was könnte man denn Ihrer Meinung nach tun, um die Sicherheit zu verbessern?
Schneier: Wenn Sie auf den Flughafen kommen, ist eigentlich alles zu spät. Die Flughafen-Sicherheit ist sozusagen die letzte Verteidigungslinie. Und sie ist keine sehr geeignete. Wenn Sie Milliarden von Dollar investiert haben, um Flughäfen sicherer zu machen, und die Terroristen greifen Einkaufszentren an, haben Sie Ihr Geld verschwendet. Das Geld, das man für Flughafen-Sicherheit ausgibt sollte also besser für allgemeine Anti-Terror-Maßnahmen ausgegeben werden: Aufklärung, Ermittlung und Notfallpläne. Das sind die drei Dinge, die funktionieren.
TR: Vor ungefähr einem Jahr hatte ich die Gelegenheit, mit Eugene Kaspersky zu sprechen – dem Gründer der gleichnamigen Anti-Virus-Firma. Er meinte seinerzeit, es gebe keine technische Lösung für Computersicherheit. Das einzige, was seiner Meinung nach vielleicht helfen könnte, sein eine internationale Polizeitruppe. Was halten Sie von dieser Idee?
Schneier: Er hat Recht, aber er liegt auch falsch. Ich denke, was er sieht ist ein Anstieg an gut gemachter, krimineller Software. Wie diese neuen Botnetze und Würmer wie Gozi, Storm oder Nugache. Ich habe eine Reihe von Artikeln darüber geschrieben. Um solche Bot-Netze auszuschalten, versucht man normalerweise den Kontrollrechner auszuschalten. Die haben aber keine einzelnen Kontrollknoten. Der springt ständig weiter. Also gibt es keine Möglichkeit, diese Botnetze auszuschalten – außer die bösen Jungs zu finden, und sie einzusperren. In gewisser Weise hat Kaspersky also recht. Ich weiß nicht, ob man wirklich in der Lage ist, ein breites Überwachungsnetz anzulegen, das geeignet ist, diese Leute zu schnappen – aber im Moment handelt sich um ein Problem des Gesetzesvollzuges. Natürlich kann Technologie eine Menge dazu beitragen, die Sicherheit von Computern zu erhöhen. Aber im wesentlichen ist das ein menschliches Problem und kein technisches Problem.
TR: Wo kann Technologie tatsächlich helfen, die Sicherheit zu verbessern?
Schneier: Naja, überall. Die Sicherheit ihrer Wohnungstür wird durch Schlösser verbessert. Die Sicherheit am Flughafen durch Detektoren und so weiter. Überall. Aber das löst die Probleme nicht. Die fundamentalen Probleme der Computer-Sicherheit sind keine technischen Probleme. Es geht darum, wie wir die Technik gebrauchen.
Ich bekomme ständig E-Mails von Leuten die mir schreiben, ich mache dies und jenes – auf was sollte ich dabei achten? Ich sage denen immer: Konzentriert euch nicht direkt auf die IT-Sicherheit. Arbeitet an den Mensch-Maschine-Schnittstellen, Management, Kontrolle. Denkt darüber nach, wie man Menschen davon abbringen kann, falsche Dinge zu tun und wie man ihnen helfen kann, das richtige tun lässt. Da haben wir all unsere Probleme. Denkt an die finanziellen Anreize, schafft ein System, das die richtigen Belohnungen verteilt. Es geht nicht darum, Kryptographie zu verwenden, oder die richtige Firewall.
