"... verblüffend einfache Lösungen für Angriffe"

Professor Jürgen Beyerer ist Leiter des Fraunhofer-Instituts für Informations- und Datenverarbeitung in Karlsruhe (IITB), das innerhalb der Fraunhofer-Gesellschaft als Schwerpunktinstitut für automatische Bildauswertung fungiert. Gleichzeitig ist Jürgen Beyerer auch der stellvertretende Sprecher des Fraunhofer-Verbundes Verteidigungs- und Sicherheitsforschung. Dieser Verbund umfasst sechs Institute – weitere Institute der Fraunhofer-Gesellschaft arbeiten zusätzlich auf Gebieten mit Relevanz für Sicherheitslösungen. Für einen Teil dieser Forschung soll nun – so jedenfalls der Vorschlag von Beyerer – künftig über eine Geheimhaltung nachgedacht werden. Technology Review sprach mit Professor Beyerer über Terrorgefahr, security by obscurity und die persönliche Verantwortung von Wissenschaftlern.

TR: Professor Beyerer, Sie haben sich dafür ausgesprochen, das auf dem Gebiet der Sicherheitsforschung nicht alle Ergebnisse publiziert werden sollten, sondern Verschlusssachen bleiben. Wie kommen Sie dazu?

Jürgen Beyerer: Es gibt bestimmte Aufgabenstellungen, vor denen wir als Forscher tatsächlich zurückschrecken. Weil wir sagen, wenn wir auf diesen Gebieten forschen, und das, was wir herausfinden tatsächlich veröffentlichen, dann laufen wir Gefahr, dass wir Angreifer schlau machen. Und dann müssen wir vielleicht sogar teilweise die Verantwortung dafür übernehmen, dass ein Angriff auf eine bestimmte Art und Weise passiert. Wenn sich ein paar Experten zusammensetzen und Szenarien überlegen, kommen da oft verblüffend einfache Lösungen für Angriffe heraus, die dann von Terroristen mit Sicherheit begierig aufgegriffen werden könnten. Deshalb meinen wir, solche Themen kann man wirklich nur dann in voller Breite bearbeiten, wenn man wesentliche Ergebnisse – also solche, die potenziellen Angreifern nützlich sein könnten – unter Verschluss hält.

TR: Nun entspricht das ja eigentlich dem klassischen Klischee von Sicherheitsforschung. Alle Welt denkt, dass das sowieso passiert. Ist das nicht der Fall?

Beyerer: Also Sicherheitsforschung im militärischen Bereich hat natürlich solche Geheimhaltungskomponenenten. Aber denken Sie beipielsweise an Sprengstoffdetektoren – etwa für Flughäfen. Wenn Sie publizieren, auf welche Ausdünstungen von Sprengstoffen die reagieren, dann können Sie Standardliteratur der Chemie in die Hand nehmen, und Gegenmaßnahmen ergreifen. Oder nehmen Sie Strukturen wie die Trinkwassernetze, die sehr viele leicht angreifbare Punkte haben. Da kann man sich Szenarien überlegen, die man so nicht veröffentlich könnte – und über die ich jetzt auch nicht sprechen möchte – weil das Aha-Effekte auslösen könnte, die sehr ungewollt sein können.

TR: Das heißt, im Sicherheitsforschungsprogramm der Bundesregierung wird es Projekte geben, deren Ergebnisse teilweise unter Verschluss bleiben? Oder ist das bislang nur ein Diskussionsvorschlag?

Beyerer: Es wird darüber diskutiert. Erst mal ist das eine Anregung von mir. Ich weiß aber, dass im Ministerium – und auch auf europäischer Ebene – zumindest darüber nachgedacht wird, wie man solche Fragestellungen adäquat behandeln kann. Das bedeutet natürlich auch, dass ein gesellschaftlich, politischer Diskurs geführt werden muss, um da die richtige Balance zu finden.

TR: Nun gibt es ja insbesondere in der IT-Sicherheit schon relativ lange eine Diskussion um die Frage, wie weit kann man Sicherheit durch Geheimhaltung betreiben. Und es gibt da eine relativ starke Schule, die sagt, das ist Unfug. Security by obscurity funktioniert nicht. Was sagen Sie dazu?

Beyerer: Mag sein, dass da für manche Infrastrukturen was dran ist. Das ist keine einfache Fragestellung. Ich weiß nicht, ob man es sich bei all den kritischen Infrastrukturen, die wir haben und die stark miteinander vernetzt sind, irgendwann zu dem Punkt kommt, wo man sagen kann, wir können uns das leisten, alles zu veröffentlichen. Man könnte sich ja vorstellen, dass man dann so eine Art Minimax-Strategie verfolgt – der Gegner kann dann maximal auf diese Strategie eingehen, und ich habe auf diese Weise den Schaden minimiert. Ob man so weit jemals kommen kann, bei all den komplexen Systemen, die unsere Gesellschaft zusammenhalten, das wage ich zu bezweifeln. Also kurz- und mittelfristig braucht man tatsächlich auch Sicherheitsforschung als Verschlusssache. Wobei man sicherlich sehr genau abwägen muss, wo man das macht – und natürlich unbedingt den gesellschaftlichen Konsens darüber herstellen muss. Wobei ich auch meine, dass dies sehr leicht ist, wenn man sich solche Beispiele, wie eben angeführt, ansieht. Damit kann man jedem klarmachen, auch wenn es ein Laie ist, dass das notwendig ist. (wst)