Sicherheitsforscher fordern mehr Aufklärung und kritisieren Berichterstattung

Über Probleme und Perspektiven der Forschung wurde am zweiten Tag der "Nationalen Konferenz IT-Sicherheitsforschung" verhandelt.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Sicherheitsforscher fordern mehr Aufklärung und kritisieren Berichterstattung

Karsten Nohl auf der Konferenz

(Bild: heise online / Detlef Borchers)

Lesezeit: 4 Min.
Von
  • Detlef Borchers
Inhaltsverzeichnis

Wer sich selbstbestimmt und sicher in der digitalen Welt bewegen will, ist auf die Ergebnisse der IT-Sicherheitsforscher angewiesen. Nach der Eröffnung durch Bundesforschungsministerin Johanna Wanka und einer kurzen Keynote von Eugene Kaspersky (ein Doppelinterview gibt es bei c't: "Ich nutze nicht einmal ein Smartphone") ging es am zweiten Tag der Nationalen Konferenz IT-Sicherheit um all jene Sicherheitsthemen, die derzeit die Nachrichten bestimmen, vom autonomen Auto bis zur Zukunft der Quantenkommunikation.

Häufig wurde gefordert, die Bürger nicht im Stich zu lassen, sie besser zu informieren und neben der ständig erwähnten Medienkompetenz auch für eine Sicherheitskompetenz zu sorgen, etwa durch eine Fernsehsendung wie dem "7. Sinn", nur eben für Cybersicherheit. Den Anfang machte das Forschungsministerium selbst mit einer Ausstellung zum selbstbestimmten Leben im Café Moskau zu Berlin, die demnächst in das Heinz Nixdorf MuseumsForum wandert.

Einen anderen Ansatz wählte das Karlsruher KASTEL, indem es einen Ideenwettbewerb für Jungfilmer ausschrieb, Gefahren künftiger Techniknutzung zu visualisieren, und einen Kurzfilm mit jeweils 7000 Euro förderte. Die Ergebnisse können sich sehen lassen. Mit "Tanzend dehnen sich die Schwaben" zeigte Christoph Rath von der Deutschen Film- und Fernsehakademie Berlin die Nützlichkeit von Passphrasen gegenüber Passwörtern wie J1DfFB&-. Während sich ein trotteliger Sachbearbeiter abmüht, das Passwort zum Öffnen der Tür seines Wagens zu memorisieren, fährt der Rest der Belegschaft ins Wochenende und spricht dabei komische Sätze in die zusätzlich biometrisch abgesicherten Wagentüren.

Zünftig im Steampunk-Stil gedreht kommt "Locky" von Finn Seger und Bill Raab von der Hochschule für Gestaltung Offenbach daher. Der Film illustriert das Problem der Ransomware und die Notwendigkeit täglicher Backups: Ein rabiater Staubsauger saugt die Wohnung eines Komponisten leer und fesselt diesen, bis er Lösegeld in kleinen Scheinen füttert. Während der Sauger in einen Cyberkeller rattert, wo Hunderte von Lockys ihr Geld ausspucken, macht sich der Komponist unverzüglich daran, sein Œuvre zu vervielfältigen.

Hart ging zum Schluss der Praktiker Karsten Nohl von den Berliner Security Research Labs mit den Sicherheitsforschern und der Presse ins Gericht. Das ständige Lauttönen von neu gefundenen Sicherheitslücken und daraus resultierenden Presseberichten über sagenhafte Gefahren hat nach Nohl eine Grenze erreicht, an der die Wirklichkeit nur noch verzerrt dargestellt wird.

Als Beispiel nannte er die Nachricht von der Pegasus-Malware für iPhones, nach deren Entdeckung durch die kanadischen Bürgerrechtler von Citizen Labs das Sicherheitskonzept von iOS angeblich in Schutt und Asche lag. Dabei habe Apple nach zehn Tagen einen Patch geliefert und die Lücke geschlossen, die nur das iPhone 4 betroffen habe. Dennoch machten Schlagzeilen vom unsicheren iOS die Runde, obwohl keine einzige Instanz eines echten Angriffes mit dieser Malware gefunden wurde.

Ein ähnliches Beispiel brachte Nohl auch für das angeblich noch unsicherere Android. Einen besonders harschen Vorwurf machte er dem Wired-Journalisten Andy Greenberg, der den Hack seines Cherokee Jeep veröffentlichte. Nach Erscheinen dieser Nachricht stoppten Nohl zufolge sämtliche Autohersteller die Arbeit an ihrer Software und überprüften die Software. So sei die Fortentwicklung sicherer Automobilsysteme um mindestens drei Monate zurückgeworfen worden, was Nohl anhand einer Zeitlinien-Graphik über die Entwicklungsfortschritte automobiler Sicherheit in eine vermeidbare Quote von 200.000 Unfalltoten für die nächsten zehn Jahre umrechnete.

Gemäßigter beurteilte Eric Bodden, Professor für Softwaretechnik in der Mechatronik an der Uni Paderborn die Lage. Auch er beschwerte sich über Berichte von Schadensfällen und meinte, sie seien nicht transparent. Selbst Fachleuten wie ihm seien nähere Auskünfte versagt geblieben, wie die erfolgreiche Cyber-Attacke auf ein deutsches Stahlwerk abgelaufen sei.

Für Sicherheitsforscher dürfe es keine "Black Boxes" geben, meinte Bodden und machte sich unter Verweis auf die Sicherheitsanalyse von Truecrypt für Open Source stark. Mit geförderten Projekten wie Zertapps sei man auf dem richtigen Weg. Vom Gesetzgeber forderte Bodden effektivere Gesetze, mit denen etwa das Verbot der Dekompilierung durch Anlagenhersteller angegangen werden kann. (anw)