Interview
Wie bewege ich mich sicher im Internet?
Bild: istock, PashaIgnatov
Ob Online-Banking, das bargeldlose Bezahlen an der Supermarktkasse oder die Vernetzung sämtlicher Geräte im eigenen Haus: Die rasante Entwicklung der digitalen Technologien verändert unser Leben. Ohne Frage wird dank ihnen vieles leichter. Doch die Digitalisierung unseres Alltags bringt Unsicherheiten mit sich. Der Kryptologe Jörn Müller-Quade erzählt im Interview, wie wir unsere Daten wirklich schützen können. Der Auftakt einer Serie zum Wissenschaftsjahr „Die Digitale Gesellschaft“
Herr Müller-Quade, können wir unserem eigenen Computer noch trauen?
Leider ein klares Nein. Die Wirksamkeit der Sicherheitsprogramme auf unseren Computern ist für uns nicht nachvollziehbar. Dementsprechend wenig können wir ihnen vertrauen. Es bleibt uns kaum etwas anderes übrig, als dem Hersteller zu glauben. Dies mag beim Schutz vor Betrug durch Cyber-Kriminelle angemessen sein. Wenn es aber um Wirtschaftsspionage und die Arbeit von Geheimdiensten geht, sollten wir künftig kritischer prüfen, was die Computer- und Softwareindustrie uns erzählt und nicht mehr alles so hinnehmen, wie es uns vorgesetzt wird.
Kann es überhaupt einen hundertprozentigen Schutz geben?
Natürlich können wir uns nicht hundertprozentig sicher im Internet bewegen. Die Technologie kommt sehr schnell voran, während die Entwicklung von Sicherheitsmaßnahmen in vielen Bereichen hinterher hinkt. Aber wir arbeiten dran. Damit IT-Sicherheit nicht ständig nur nachbessert, benötigen wir einen systematischen Ansatz, der der Naturwissenschaft ähnelt: Es gibt eine Theoriebildung und der reale Einsatz entspricht dem Experiment. In Zukunft würden wir durch Sicherheitslücken dazulernen und unsere Modelle und Theorien immer weiter verbessern.
Sie sind Kryptologe und Spezialist im Verschlüsseln von Daten. Inwieweit garantieren verschlüsselte Nachrichten den Schutz persönlicher Daten?
Starke Verschlüsselungsverfahren wie das Programm PGP (Pretty Good privacy, übersetzt: ziemlich gute Privatsphäre, Anm. der Red.), das ein eindeutig zugeordnetes Schlüsselpaar für E-Mailverschlüsselung nutzt, sind momentan so ziemlich der einzige vertrauensvolle Schutz für unsere Daten. Das Problem ist, dass wir den Systemen, die verschlüsseln, nicht trauen sollten. Das heißt konkret: Ihr Computer sieht alle Daten, bevor sie verschlüsselt sind. Wenn Sie beispielsweise dem Betriebssystem nicht vertrauen können, mit dem Ihr Computer ausgestattet ist, ist nichts mehr sicher. Denn das System kann Ihre Daten im Klartext an potenzielle Angreifer herausgeben.
Das hört sich nach einer größeren Herausforderung an.
Wir müssen weg davon, nur die Daten in dem Moment schützen zu wollen, in dem sie übertragen werden, hin zum Schutz des gesamten Systems.
Was kann passieren, wenn andere meine E-mails lesen oder erfahren, mit wem ich befreundet bin? Schließlich habe ich nichts zu verbergen.
Für viele Menschen ist das vermutlich nicht so schlimm. Ich persönlich halte es für sehr bedenklich. In E-Mails geben wir viel Privates und Persönliches preis, was zum einen ein gefundenes Fressen für Geheimdienste ist. Zum anderen profitieren Wirtschaftsunternehmen von Ihren Daten. Sie erstellen persönliche Profile und bewerben ihre Produkte entsprechend personalisiert.
Viele Menschen gehen davon aus, dass beispielsweise ihre Transaktionen beim Online-Banking durch das eigene Passwort geschützt sind. Inwieweit sind Passwörter tatsächlich sicher?
Passwörter sind kein guter Schutz und spielen leider noch immer eine zu große Rolle, von der wir wegkommen müssen. Sie gaukeln dem Nutzer eine Sicherheit vor, die es nicht gibt. Vielmehr sollten wir nach einer Zweifaktor-Authentisierung streben. Das heißt, ich identifiziere mich mit einer Kombination aus etwas, was ich besitze, wie einer Hardwarekomponente, einem so genannten Chipschlüssel, und etwas, was nur ich wissen kann, beispielsweise ein Passwort, das die Hardware erst freischaltet. Wer dann immer noch meine Daten knacken möchte, müsste mein ganz persönliches Gerät stehlen und wissen, wie man es freischaltet. Dies ist für einen Angreifer zwar prinzipiell möglich, ist aber schwierig und insbesondere nicht aus der Entfernung oder in großem Maßstab zu machen. So lange diese Zweifaktor-Lösung nicht standardgemäß eingesetzt wird, müssen wir uns wohl mit Passwörtern abfinden.
Wie sieht denn ein sicheres Passwort aus?
Fakt ist: Solange die Länge der Passwörter auf beispielsweise acht Zeichen begrenzt ist, können sie leicht geknackt werden. Damit sich die Leute lange Passwörter überhaupt merken können, empfehle ich eine Phrase oder einen sinnlosen Satz zu benutzen. Dazu eignet sich ein Passwort wie: „Das Pferd sitzt selten im Salat“. Darauf zu kommen ist schon sehr schwierig und durch vollständige Suche im Wörterbuch kaum zu machen.
Jörn Müller-Quade ist Professor für Kryptografie und Sicherheit am Karlsruher Institut für Technologie. <br /> Foto: Gabi Zachmann/KIT
Auf jeden Fall, denn Geheimdienste überwachen Menschen auf der ganzen Welt massenweise – und das ohne konkreten Anlass. Sie vergleichen Namen, Reisedaten oder Geburtsdaten, die denen verdächtiger Personen ähneln. So kann jeder zufällig und völlig unbegründet ins Visier von Geheimdiensten kommen.
Und wenn das passiert – wie kommen wir da wieder raus?
Vermutlich würden Sie gar nicht merken, dass Sie auf der Liste stehen. Da Geheimdienste nicht nach der Unschuldsvermutung handeln, werden einmal erfasste Personen wohl ein Leben lang registriert bleiben. Und verstärkt beobachtet.
Wie könnte sich der Nutzer am einfachsten selbst schützen?
Schon mit wenigen einfachen Schritten. Ein Anfang wäre, sich über mögliche Sicherheitsmechanismen und Maßnahmen zu informieren. Ich empfehle beispielsweise eine Kryptoparty zu besuchen.
Eine Kryptoparty?
Hier kommen Nutzer und IT-Spezialisten zusammen. An einfachen Beispielen und direkt zum Mitmachen vor Ort geben die Spezialisten Tipps für mehr Sicherheit im Netz. Karlsruhe hat vor kurzem zur zweiten Staffel der so genannten Anti-Prism-Party eingeladen. Karlsruher Sicherheits- und Verschlüsselungsexperten haben vorgeführt, wie leicht sich jeder schützen kann – von sicherem Online-Banking über die Verschlüsselung von E-Mails bis zum anonymen Surfen im Web.
Erreichen Sie so wirklich in der Breite mehr Bewusstsein bei den Nutzern?
Leider gibt es das Paradox, dass den Menschen Datenschutz sehr wichtig ist, sie aber gleichzeitig bereitwillig vieles von sich preisgeben. Ich denke, dass den Leuten erst einmal klar werden muss, welche Rückschlüsse über eine Person aus den veröffentlichten Daten gezogen werden können. Erst dann werden sie vielleicht ein Bewusstsein dafür entwickeln, dass sie sich schützen müssen und welche Möglichkeiten sie dafür haben.
Was tut die Politik für einen besseren Schutz der Internetnutzer und ihrer Daten?
Tatsächlich sehr viel. Die Frage ist jedoch auch hier: Wie wirksam sind die Maßnahmen? Wie können wir sie auswerten und auf ihre Wirksamkeit hin überprüfen? Wichtig ist, langfristig zu denken und Infrastrukturen aufzubauen, die das Vertrauen auch verdienen. Infrastrukturen wie Cloud-Speicher, Internet-Router oder Mobilfunk sollten langfristig eine überprüfbare Sicherheit haben, damit kein blindes Vertrauen mehr nötig ist. Der kurzfristige Aufschrei, schnell etwas für mehr für die Sicherheit tun zu müssen, bringt nichts.
Wie, glauben Sie, wird die nächste Entwicklungsstufe der digitalen Kommunikation aussehen?
Ich denke, als nächstes werden Fabrikanlagen miteinander vernetzt und an das Internet geschlossen werden. Das heißt, in naher Zukunft wird es vermutlich die gläserne Fabrik geben, die bis zum kleinsten Sensor ausgelesen wird und bis zum letzten Prozessschritt steuerbar ist. Das wird viele Sicherheitsbedenken mit sich bringen, da die Technik in Produktionsanlagen sehr lange verwendet wird. Viele Geräte in Fabriken sind mit entsprechend alten Betriebssystemen ausgestattet, die nicht dafür gedacht waren, an das Internet angeschlossen zu werden. Eine andere große Entwicklung ist das Smart Home: technische Verfahren und Systeme in Wohnumgebungen, die durch vernetzte Geräte, Installationen und automatisierbare Abläufe die Lebensqualität erhöhen sollen, beispielsweise indem sämtliche Lampen im Haus vernetzt und dann mit einem Gerät an- und ausgeschaltet werden können. Auch hier sind die Ideen und Anwendungen schon weiter, als es die Sicherheitsmaßnahmen sind.
Werden wir in naher Zukunft international gleiche Datenschutzstandards haben?
Das wird wahrscheinlich noch lange dauern, weil die kulturellen Unterschiede doch sehr groß sind. Datenschutz in Deutschland bedeutet nicht dasselbe wie in Amerika. In Deutschland gelten personenbezogene Daten im Allgemeinen als schutzwürdig, in Amerika beschränkt sich die Privatsphäre auf zu Hause, so dass jede Bewegung in der Öffentlichkeit nicht zur Privatsphäre gehört. Auch im asiatischen Raum hat Datenschutz eine andere Bedeutung: Dort ist beispielsweise das Kopieren von Erfindungen oder Lösungen eher ein Lob als ein Verbrechen. Zumindest in Europa sollten einheitliche Standards angestrebt werden, um zu vermeiden, dass sich im Internet jeder aussuchen kann, welchen Standards er folgen möchte.
Ist ein solcher Datenschutz überhaupt unumstritten?
Viele Wirtschaftsunternehmen wünschen ihn sich natürlich nicht. Denn je besser sie den Kunden kennen, desto besser sind deren Verkaufsmöglichkeiten. Ich hoffe aber, dass die Bevölkerung das anders sieht und die Politik entsprechend handelt.
Artikelserie zur Digitalisierung
Wie beeinflusst die zunehmende Digitalisierung unser Leben? Erledigen vernetzte Kühlschränke bald unsere Einkäufe? Werden wir gesünder durch digitale Pulsmesser und elektronische Kalorienzähler? Oder bequemer und kränker durch selbstfahrende Autos? Und wohin führen die offensichtlichen Sicherheitslücken im weltweiten Netz?
Diese und andere Fragen beantworten wir in unserer neuen Online-Serie zum Thema „Big Data und der Einfluss der Digitalisierung auf unser Leben“. Einmal im Monat veröffentlichen wir an dieser Stelle begleitend zum diesjährigen Wissenschaftsjahr „Die digitale Gesellschaft“ einen Beitrag zu Themen, die uns alle angehen. Was denken Sie über das Thema? Diskutieren Sie mit.
Leser:innenkommentare