"Das ist einfach ein bisschen naiv"

Inhaltsverzeichnis

Die Informatikerin Claudia Eckert forscht und lehrt in den Arbeitsgebieten Betriebssysteme, Middleware, Kommunikationsnetze sowie IT-Sicherheit an den Universitäten TU München, LMU München, Oldenburg, Kiel, und Bremen.

Nach verschiedenen Rufen auf Lehrstühle seit Oktober 2001 ist sie mittlerweile Leiterin des Lehrstuhls für Sicherheit in der Informationstechnik an der TU Darmstadt und gleichzeitig Leiterin des Fraunhofer Instituts für Sichere Informationstechnologie, SIT, in Darmstadt. Technology Review sprach mit Claudia Eckert über die Verantwortung von Unternehmen, Usability und Datenschutz.

TR: Frau Eckert, brauchen wir ein öffentlich finanziertes Institut, das die Sicherheitslücken wieder ausbügelt, die die Hersteller offen gelassen haben?

Claudia Eckert: Das ist natürlich eine berechtigte Frage. Unternehmen wollen Geld verdienen. Und Geld verdient man in erster Linie, in dem man Features baut – in dem man Funktionalität bereitstellt. Dafür zahlt der Kunde, das ist die leidvolle Realität. Sicherheit kommt immer ganz, ganz am Schluss. Und solange keine Haftungsregeln da sind, sehen sich die Unternehmen auch überhaupt nicht in der Pflicht.

Um aber die Bürger nun sozusagen vor diesen Produkten zu schützen, ist es dann doch irgendwo eine gesellschaftliche Frage, die entsprechenden Technologien zu entwickeln und zu fördern. Fraunhofer kann da neutral rangehen, kann auch ohne Wenn und Aber Sicherheitsprobleme publik machen. Und man muss dazu sagen, dass wir das nicht notwendigerweise steuerfinanziert machen. Wir machen das durchaus auch im Auftrag von Anwendern, die beispielsweise für ihre Kunden ein Sicherheitsniveau angeben wollen, aber nicht genügend Know-how in ihren eigenen Reihen haben.

TR: Nun verwenden ja beispielsweise immer mehr Leute Webmail – auch unter den abenteuerlichsten Umständen, ohne sich darüber Gedanken zu machen, welche Daten da auf welchen Servern herumliegen. Kann man technische Lösungen finden, in Zeiten, in denen sich Viren darüber verbreiten, dass User auf Mail-Anhänge von unbekannten Absendern klicken?

Claudia Eckert: Die einfache Antwort ist: Nein! Die technologische Lösung alleine wird niemals eine Lösung sein. Das muss immer eine Kombi-Maßnahme sein. Man braucht einfach zu beherrschende Technologien, die auch nutzbar sind. Aber gleichzeitig braucht man Schulungen, muss aufmerksam machen.

Das sind aber auch Dinge, die vorankommen in Deutschland. Wir befinden uns ja nicht auf dem Stand von vor zehn Jahren. Eine gewisse Awareness ist da. Die Leute machen immer noch Fehler, aber eine Entwicklung ist zu sehen.

TR: Was sind Ihrer Einschätzung nach die größten Sicherheitsprobleme?

Claudia Eckert: Phishing ist, so trivial sich das anhört, immer noch das Problem Nummer eins, besonders für Banken. Das ist nach wie vor ein ganz starkes Problem des social engineering. Der Benutzer als Endglied der Kette agiert da immer noch ein bisschen naiv. Andere Dinge sind aber auch beispielsweise Industriespionage, dieses sagenumwobene Abhören von WLAN vom sprichwörtlichen Parkplatz vor der Haustür. Das ist keineswegs Schnee von gestern; das ist etwas, das hohe Konjunktur hat. Obwohl man weiß, dass es Sicherheitstechnologien gibt, mit denen man hier vorankommen könnte, setzen über 50 Prozent der Unternehmen diese Technologien nicht ein – weil sie nicht wissen, wie man das macht, weil sie denken, bei ihnen wäre nichts zu holen, oder weil sie dann doch wieder nicht genau wissen, was damit möglich ist.

Das heißt aber auch, einer der ganz wichtigen Punkte ist die Usability, also dafür zu sorgen, dass die Software wirklich nuzbar ist. Können Sie vielleicht ein konkretes Beispiel nennen, das in dieser Hinsicht gelungen ist?

Claudia Eckert: Als konkretes Beispiel möchte ich natürlich auf unseren PasswordSitter verweisen. Das ist für mich ein Beitrag zur Usability: Das Garantieren des Zugangs zu allen möglichen Internetdiensten. eBay und wie sie alle heißen, können ihren Zugang absichern wie bisher. Der Benutzer sieht aber nur unsere kleine Applikation auf dem Desktop und kann sich sicher sein, dass die ganzen Passwörter, die er sich sonst immer mühsam merken musste, sicher verwaltet werden. Man muss sich nur noch ein einziges Password merken – und weil man das ja ständig verwendet, vergisst man es auch nicht so schnell.

TR: Sie haben Phishing als eines der großen Probleme erwähnt. Gerade im Zusammenhang mit dem elektronischen Zahlungsverkehr wird ja schon seit Jahren die Verwendung biometirscher Verfahren diskutiert; obwohl viele User dabei Datenschutzbedenken haben. Halten Sie die Einführung biometrischer Zugangsschutzverfahren für gerechtfertigt?