Wie wir neues Vertrauen ins Netz aufbauen können

Von Prof. Dr. Michael Backes

Nicht zuletzt nach den Enthüllungen von Edward Snowden und im Hinblick auf Prism, Tempora sowie weitere Spionageprogramme hat vor allem in Europa die breite Masse endlich angefangen, sich über die Sicherheit unserer Informationstechnologie im Allgemeinen sowie den Schutz der eigenen Privatsphäre Gedanken zu machen. Doch was bedeuten die Geschehnisse der letzten Zeit für uns in Europa?

Müssen wir etwas ändern und wenn ja, was können wir genau machen, um unsere Bürger vor übersteigerter Überwachung und unsere Wirtschaft vor Spionage zu schützen, und dabei andererseits den Gedanken einer globalisierten Welt nicht aus dem Auge zu verlieren? Wir sollten die aktuelle Situation als Chance begreifen. Europa und insbesondere Deutschland übernehmen bereits heute eine Vorreiterrolle im Bereich des Datenschutzes.

Wir sollten unseren guten Namen für eigene zukunftsträchtige europäische Lösungen verwenden. Auch wenn dieser Plan weder leicht ist noch mit Gewissheit funktionieren wird. Damit unsere Lösungen allgemein angenommen und von einer breiten Masse akzeptiert werden, müssen unsere Lösungen benutzerfreundlicher und sicherer zugleich sein. Denn sichere Lösungen, die deutlich teurer sind, werden schwer zu vermarkten sein. Im Geschäftsbereich mag es noch möglich sein, mit gesetzlichen Vorgaben Sicherheitsstandards einzufordern, beim Endkunden wird dies jedoch nicht zum Erfolg führen. Dennoch haben die beim Endkunden verwendeten Produkte einen massiven Einfluss auf die Geschäftswelt: Bekannte und gern genutzte Produkte wie Google Mail werden auch in der Firma verwendet und verringern den Schulungsbedarf.

Um Europa technologisch auf eine sichere Basis zu stellen, brauchen wir eine sichere Kette über alle Produktschichten hinweg. Das fängt bei den Hardware- und Softwarelösungen unserer Infrastruktur an, da gerade hier so gut wie keine europäischen Produkte vorhanden sind. Kernkomponenten der Netzwerke kommen häufig aus China; Betriebssysteme wie Microsoft Windows oder Apple Mac OS kommen aus den Vereinigten Staaten. Die letzten verbliebenen europäischen Unternehmen, die auch entsprechende Kompetenzen haben (z.B. Nokia, Siemens Networks) müssen geschützt werden. Dieser Gedanke trägt weiter bis hin zu Business- und Endkundenprodukten. Unsere Smartphones, unsere Laptops, unsere Desktop-Computer, die darauf verwendete Software werden in den seltensten Fällen in Europa entwickelt. Die europäische Sicherheitsforschung belegt einen Spitzenplatz in der Welt, es gibt jedoch nur wenige Beispiele für entsprechend umgesetzte erfolgreiche Produkte.

Open-Source-Produkte können ein zentraler Baustein für die Lösung des Problems sein. Die Benutzer können eher von der Abwesenheit von Hintertüren überzeugt werden, wenn sie wissen, dass der Quelltext von Programmen, Cloud-Computing-Plattformen von unabhängigen Experten kontrolliert wird. Obwohl auch Open Source keine Garantie für die Abwesenheit jeglicher Sicherheitsprobleme liefern kann, senkt es doch deren Vorkommen drastisch. In Fällen, in denen ein freiverfügbarer Quellcode nicht realistisch ist, sollten verbindliche Rechtsvorschriften für die unabhängige Sicherheitsprüfung des Produktes geschaffen werden - etwa, indem der zu prüfende Quellcode anerkannten europäischen Sicherheitsforschungseinrichtungen beziehungsweise Zertifizierungsstellen zur Verfügung gestellt werden muss. Das generelle Ziel muss eine verlässliche Überprüfbarkeit der Sicherheit sein.

Zur Person

Michael Backes ist seit 2005 Professor für Informationssicherheit und Privacy an der Universität des Saarlandes und Direktor des dortigen Center for IT-Security, Privacy and Accountability (CISPA). Er leitet gleichzeitig als Max Planck Fellow eine Forschungsgruppe am Max-Planck-Institut für Softwaresysteme.

 

Mehr zu Prof. Dr. Michael Backes

Zum Center for IT-Security, Privacy and Accountability (CISPA)