Herr Schneier, was fasziniert Sie persönlich am Thema IT-Sicherheit?
Schneier: Ich glaube, dass sich ein ganz bestimmter Typ Mensch für das Thema interessiert – in diesem Zusammenhang fiel auch schon der Begriff „bezahlter hauptberuflicher Paranoiker“. Das ist mir aber etwas zu vereinfacht. Im Kern geht es bei Sicherheitsfragen darum, herauszufinden, wie Dinge funktionieren, um anschließend auszuknobeln, wie man es schafft, dass sie nicht mehr funktionieren. Es geht darum, auszutüfteln, wie man bestimmte Systeme umgehen kann. Ich glaube, am Thema Sicherheit fasziniert mich die intellektuelle Herausforderung, die keinerlei Regeln unterworfen ist.
Ihr Newsletter “Crypto-Gram” hat mittlerweile rund 120.000 Abonnenten. Spiegelt diese Zahl einen Bedarf an Aufklärung wider?
Schneier: Ich glaube nicht, dass „Crypto-Gram“ so beliebt ist, weil das die beste Informationsquelle zum Thema IT-Sicherheit ist. Es gibt viel bessere Nachrichtenquellen und Publikationen, die sich speziell damit befassen. „Crypto-Gram“ ist meiner Meinung nach so beliebt, weil ich allgemein verständlich schreibe – über Sicherheitsthemen, die mich auf einer technischen, sozialen und politischen Ebene interessieren. Außerdem kommentiere ich ausführlich neueste Meldungen. Ich denke, die Leser schätzen die Allgemeinverständlichkeit und die Tatsache, dass ich nicht die Ansichten irgendeines Unternehmens vertrete.
In Ihrem Buch „Beyond Fear“ stellen Sie die These auf, IT-Sicherheit ließe sich vergleichsweise einfach umsetzen. Wie sieht der kreative Ansatz im Umgang mit diesem Thema aus? Welche Sicherheitsfragen sind wirklich wichtig?
Schneier: Die sicherheitsrelevanten Entscheidungen der Unternehmen basieren auf Kompromissen, vor allem auf ökonomischen. Die Unternehmen haften nicht für den Verlust von persönlichen Daten, deshalb geben sie auch wenig Geld für deren Schutz aus. Und deshalb werden so viele persönliche Daten aus Unternehmensdatenbanken gestohlen. Die Sicherheitslage würde sich erheblich verbessern, wenn man die wirtschaftlichen Realitäten anerkennen und damit arbeiten würde: Derjenige, der das Risiko eines Datendiebstahls am besten minimieren kann, sollte im Falle eines Verlustes auch haften. Und: Eine der wichtigsten sicherheitsrelevanten Fragen ist derzeit das Thema Kriminalität.
Was sind die drei brisantesten Themen, die die Unternehmen 2006 angehen müssen, um sicher zu sein?
Schneier: Das hängt vom jeweiligen Land ab, denn die Ökonomie der Sicherheit ist stark an das regulatorische Umfeld gebunden. Aber egal in welchem Land Sie arbeiten: Die Erfüllung der gesetzlichen Vorschriften ist derzeit wohl der wichtigste Punkt. Das Thema Kriminalität folgt an zweiter Stelle. Eine Nummer drei, die auch nur ansatzweise die gleiche Bedeutung hätte, gibt es meiner Meinung nach nicht.
Für wie wahrscheinlich halten Sie es denn beim Stand der modernen Verschlüsselungstechnik überhaupt, dass ein zugehörigen Code geknackt wird?
Schneier: Ihre Frage sollte eigentlich weitergehen: „Und ist das nicht eigentlich egal?“ Die Antwort auf diesen Teil wäre: „Ja.“ Die Verschlüsselungstechnologie, selbst wenn sie nicht besonders gut ist, ist in der Regel der robusteste Teil des Sicherheitssystems eines Computers. Ein Sicherheitssystem wird normalerweise an einer anderen Schwachstelle geknackt. Das kann die Software sein, die Benutzeroberfläche, das Netzwerk oder die Anlage. Wegen der Verschlüsselung sollte man keine schlaflosen Nächte verbringen. Das wäre, als würde man eine lange Lanze in den Boden rammen und darauf hoffen, dass der Feind direkt hineinläuft. Sie können in dem Zusammenhang darüber streiten, ob die Lanze eine oder eineinhalb Meilen lang sein sollte, der Feind aber wird einfach um die Lanze herumgehen. Trotzdem sind für mich zwei Dinge klar: Um die heute existierenden Verschlüsselungsalgorithmen zu knacken, gibt es leistungsfähigere kryptoanalytische Werkzeuge als die, die wir zurzeit kennen. Und selbst dem Einsatz stärkerer Werkzeuge werden die Algorithmen widerstehen.
Die Geschichte der Kryptografie lehrt aber, dass – egal wie ausgeklügelt die Verschlüsselungstechnik sein mag – jeder Code irgendwann geknackt wird. Oft wird er nämlich schlicht verraten. Kann der Kampf „Gut gegen Böse“ auf der technischen Seite gewonnen werden, oder müssen wir Menschen diesen Kampf gewinnen?
Schneier: Man kann durch Technologie natürlich nicht sämtliche Sicherheitsprobleme lösen. Das müssen immer noch wir Menschen tun. Das gilt wohl so lange, bis die Menschen durch Roboter ersetzt worden sind.
Bislang war Microsoft das große Ziel der Hacker – müssen auch SAP-Kunden in naher Zukunft Angst vor Hackern oder Wirtschaftskriminellen haben?
Schneier: Für Leute, die in Computersysteme eindringen, wird Microsoft das bevorzugte Ziel bleiben, solange das Unternehmen eine herausragende Stellung im Markt hat. Kriminelle scheren sich aber nicht darum, welche Systeme sie zum Angriff auf das Unternehmensnetzwerk benutzen. Meiner Meinung nach müssen sich die Anwender der Software Gedanken machen. SAP irrt, falls man dort denkt, würde ungeschoren davonkommen.
Wäre für einen Sicherheitsexperten wie Sie auf der „Gegenseite“ nicht mehr Geld zu verdienen? Welche neuen „Geschäftsideen“ für Internet-Kriminalität sehen Sie?
Schneier: Mit Verbrechen kann man selten mehr verdienen als mit Verbrechensprävention. Kriminelle können beispielsweise nicht aus ihren Fehlern lernen – denn sie wandern für ihre Fehler ins Gefängnis. Und weil ein Fehler für Kriminelle mit einem so großen Risiko behaftet ist, lernen sie in der Regel nicht besonders schnell. Es wird im Bereich Internetkriminalität auch kaum „neue Konzepte“ geben, sondern eher Variationen bereits vorhandener Ideen. Die herkömmliche Kriminalität hat sich schlicht auf das Internet ausgedehnt und nutzt die Größenvorteile der digitalen Welt.
Wie sieht Ihre Vision einer „sicheren“ Welt aus?
Schneier: Das wäre eine ohne Menschen – das heißt, sie wird nie existieren. Nichts im Leben ist wirklich sicher. Je eher wir uns daran gewöhnen, desto besser.
