Nachruf: Security-Legende Ross Anderson verstorben

Systeme scheitern, wenn die Menschen, die sie sicher machen können, nicht die sind, die unter ihrem Ausfall leiden – zum Tode von Ross Anderson.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Baum in grau, mit grauem Hintergrund und Wolken

(Bild: Fahroni/Shutterstock.com)

Lesezeit: 5 Min.
Von
  • Detlef Borchers
Inhaltsverzeichnis

Ross Anderson auf dem Remote Chaos Congress 2019.

(Bild: Ross Anderson / YouTube, Bearbeitung: heise online)

Er hatte nicht viel Zeit, sich über den Sieg im Kampf gegen die Chatkontroll-Pläne der EU im November 2023 zu freuen: Am Donnerstag ist der rührige britische Sicherheitsforscher Ross John Anderson gestorben. Er wurde nur 67 Jahre alt. Als Veteran des Krypto-Kriegs der 90er Jahre sprach er in seinem letzten Auftritt in Deutschland auf der RuhrSec über die dritte Welle der Crypto Wars, die mit er den Plänen für die Chatkontrolle kommen sah. Zuletzt protestierte er gemeinsam mit anderen Sicherheitsforschern gegen die Cybercrime-Convention der EU. Sein Buch "Security Engineering" ist Pflichtlektüre für jeden Sicherheitsspezialisten.

Ross Anderson wurde am 15. September 1956 in Wallasey in der Grafschaft Cheshire geboren. Sein Vater arbeitete in der pharmazeutischen Forschung, die Mutter war Lehrerin und eine Patientin, die der Vater behandelte. Im Alter von sechs Jahren zog die Familie nach Schottland, weil der Vater eine Professur an der Universität Strathclyde annahm. Anderson besuchte die High School in Glasgow und lernte bei den Pfadfindern das Programmieren in Fortran.

Ursprünglich wollte er sich Richtung Medizin orientieren, doch im Alter von 16 Jahren fielen ihm in einer Bibliothek die "Elementarmathematik vom höheren Standpunkte aus" in die Hände, die der deutsche Mathematiker Felix Klein verfasst hatte und es war um ihn geschehen. Anderson wollte Mathematiker werden. Er ging an das Trinity College in Cambridge, musste aber nach einem misslungenen Studentenscherz für ein Jahr pausieren. In dieser Zeit lernte er das Hardcore-Programmieren bei Ferranti in Edinburgh, wo man das Navigationssystem der Tornado-Bomber weiter entwickelte, um die Flieger gegen Unterwasserziele einsetzen zu können.

Gegen Ende seines Studiums stellte Ross Anderson fest, dass sein Interesse an der reinen Mathematik schwand. Er begann, sich für die Wissenschaftsgeschichte zu interessieren. Nach dem Abschluss als Bachelor im Jahre 1978 reiste er durch die Welt und verdiente sein Geld als Dudelsackspieler. Danach arbeitete er als freier Consultant für Computersysteme, als ein Bekannter von ihm 1982 den Auftrag bekam, für ein Immobilienbüro ein System zur Verschlüsselung von E-Mails zu entwickeln. Gemeinsam machten sie sich an die Entwicklung einer Software namens Ciphernet, die sie verkaufen wollten. Anderson beschäftigte sich fortan mit verschiedenen Verschlüsselungssystemen und nahm 1992 unter Roger Needham das Studium wieder auf. Er beendete es 1995 mit der Promotion und der Arbeit "Robust Computer Security".

Im selben Jahr veröffentlichte Ross Anderson eine Bestandsaufnahme "Crypto in Europe" (PDF), die ihn ins Zentrum der Krypot-Debatte katapultierte. Besonders einflussreich war hier der gemeinsame Aufsatz "The Risks of Key Recovery", in dem führende Kryptologen vor der Schlüssel-Hinterlegung bei staatlichen Behörden oder dem Einsatz von Entschlüsselungs-Chips wie dem Clipper-Chip warnten. Hier fand Anderson auch in Deutschland Gehör, als Innenminister Mafred Kanther mit dem Pluto-Chip drohte.

Die nächste große Intervention geschah 2002, als Ross Anderson, nunmehr Professor für Computersicherheit in Cambridge, vor dem von ihm so genannten "Fritz-Chip" warnte, in Anspielung an typisch deutsche Kontrollfreaks. Gemeint waren die Ansätze zum Trusted Computing mit dem Palladium Chip als treuem Paladin, der unsichere Software abwehren kann. Anderson wurde nach Deutschland eingeladen und sprach auf einem Symposium des Bundeswirtschaftsministeriums über den gefährlichen Unsinn.

Ein gänzlich anderes Thema beschäftigte ihn auf der Berliner Konferenz "Wizards of OZ": hier sprach er darüber, wie ein neues Peer-to-Peer-System das untergegangene Usenet im Internet ersetzen könnte. Der frühe Ansatz zu dem, was einmal Social Media werden sollte, kann als Powerpoint-Datei in der äußerst umfangreichen Veröffentlichungsliste von Anderson gefunden werden. Vorläufer dieser Ideen war der von Anderson konzipierte "Eternity Service". Hier finden sich auch weitere einflussreiche Interventionen wie "Resilience of the Internet Interconnection Ecosystem" über die Zukunft des Internets. Die 240 Seiten umfassende Arbeit wurde 2011 zur Grundlage der Policy Guideline der europäischen Cybersicherheitsagentur ENISA.

Keine der zahlreichen Interventionen von Ross Anderson war indes so einflussreich wie sein Standardwerk Security Engineering aus dem Jahre 2001, mittlerweile in dritter und nunmehr leider letzter Auflage von 2019. Als er zur Vorstellung des Buches in die USA reisen wollte, bekam er kein Visum und musste sich per Video an seine Leser wenden. Ähnliche Auftritte hatte er 2020 auf der Remote Chaos Experience und, wie eingangs erwähnt, auf der RuhrSec 2023.

Im September 2023 musste Ross Anderson seine Lehrtätigkeit in Cambridge aufgeben, weil er die Altersgrenze von 67 Jahren erreicht hatte, ein Ende, das er bedauerte und bekämpfte. Unverdrossen wollte er weiter arbeiten und publizieren. Mit seinem plötzlichen Tod wird sein geplanter Vortrag über Hass und Belästigung (PDF) dort gehalten, wo es keinen Hass gibt.

(mack)