Der Cyberspace scheint so unsicher wie lange nicht mehr. Der «Security-Guru» Bruce Schneier schlägt eine radikale Lösung vor: Topmanager sollten ins Gefängnis gehen müssen, wenn sie ihre Firmennetzwerke nicht gegen Hackerangriffe schützten, sagt er im Interview.
Um die Cybersecurity scheint es zurzeit schlecht bestellt: Spitäler, Schulen, Firmen fallen ständig Ransomware-Angriffen zum Opfer. Mit sogenannten «Pig Butchering»-Attacken luchsen Kriminelle gutgläubigen Bürgern immer häufiger ihre Lebensersparnisse ab. Selbst die amerikanischen Regierungssysteme scheinen gegen Hacker nicht gefeit – jüngst drangen chinesische Angreifer gar in die grössten Telekommunikationsnetze in den USA ein und zapften die Leitungen von Donald Trump an.
Die Zukunft scheint ebenfalls wenig Gutes zu versprechen: Wenn Quantencomputer im Einsatz seien, so die Warnung von Experten, könnte jegliche Verschlüsselung unserer existierenden Computersysteme geknackt werden.
Doch ist es um die Computersicherheit wirklich so schlecht bestellt? Kaum jemand dürfte die Antwort besser kennen als Bruce Schneier. Der 61-jährige Amerikaner gilt als «Elder Statesman» der Cybersecurity-Industrie: Als Kryptologe hat er selbst wichtige Verschlüsselungsmethoden entwickelt. Heute unterrichtet er an der Universität Harvard und sitzt im Vorstand der Bürgerrechtsorganisation Electronic Frontier Foundation.
Ob auf dem Campus in Harvard oder an Fachkonferenzen, man erkennt Schneier stets auf den ersten Blick: Pferdeschwanz, grauer Vollbart, Ballonmütze sind seine Markenzeichen. Hinzu kommt seine markante Art des Antwortens – gerne kurz, gerne direkt, gerne provokativ.
Den monatlichen Newsletter seines Blogs «Schneier on Security» lesen 250 000 Empfänger. In seinem jüngsten Buch «A Hacker’s Mind» erklärt Schneier, wie sich mit einer Hacking-Mentalität alle Gesellschaftsbereiche knacken lassen.
Herr Schneier, manche Experten sind der Meinung, dass sich die Computersicherheit bald massiv verschlechtern werde, wenn Quantencomputer kämen und man jede bestehende Verschlüsselung werde knacken können. Wie besorgt sind Sie als Kryptologe in Anbetracht dieses Risikos?
Nicht besonders, und zwar aus einer Reihe von Gründen: Zum einen wissen wir nicht, wie schnell das geschehen wird, wenn es denn überhaupt jemals so weit kommt. Quantencomputer gibt es derzeit nicht, und niemand weiss, wann und ob wir in der Lage sein werden, einen zu bauen. Sie scheinen immer «zehn Jahre in der Zukunft» zu liegen – was letztlich bedeutet, dass niemand eine Ahnung vom Zeitplan hat.
Und zum anderen ist die Mathematik hier der Physik weit voraus: Wir bauen Post-Quanten-Verschlüsselungsalgorithmen schneller, als dass die Quantenleute nichtquantenresistente Algorithmen brechen. Ich denke also, dass wir insgesamt gut dastehen.
Die derzeitigen Cybersicherheitssysteme müssen also nicht angepasst werden?
Die zuständige Bundesbehörde NIST verfügt über eine ganze Reihe von Post-Quanten-Algorithmen, die sie bereits veröffentlicht hat, und sie veröffentlicht laufend neue. Die Leute, die in Panik geraten, haben keine Ahnung von Kryptografie. Ein weit verbreiteter Irrglaube ist, dass Quanten alles kaputtmachen würden. Das stimmt nicht. Das Entscheidende wird die Agilität der Kryptografie sein: Es reicht nicht aus, einen einzigen Standard zu implementieren. Unsere Systeme müssen in der Lage sein, Algorithmen bei Bedarf auszutauschen. Angesichts all dieser Ungewissheit ist Agilität das Wichtigste, wenn es darum geht, die Sicherheit zu gewährleisten.
Aber es gibt ja durchaus Fortschritte bei der Entwicklung von Quantencomputern – Google hat gerade die Schwelle zum fehlertoleranten Quantencomputer geknackt.
Die Fehlerkorrektur der Quantencomputer ist tatsächlich das, woran es in der Entwicklung derzeit noch hapert. Deshalb ist Googles jüngster Durchbruch in diesem Bereich auch bemerkenswert. Wir werden sehen, wie weit uns das wirklich voranbringt. Im Hier und Jetzt unternehmen Kryptologen in jedem Fall erhebliche Anstrengungen, um quantenresistente Algorithmen zu entwickeln. Und diese werden uns wahrscheinlich noch für Jahrzehnte schützen können.
Keine Zukunftsmusik, sondern schon Realität ist generative KI. Was sind die wichtigsten Veränderungen, die KI für die Cybersicherheit mit sich bringt?
Wenn man auf Branchenkonferenzen geht, hat jedes Unternehmen eine KI-Strategie. Das meiste davon ist Marketing-Bullshit, einiges aber auch echt. Wir sehen bereits, wie KI in Spam-Erkennung, Schwachstellen-Scans und Quellcode-Analysen integriert wird, wir sehen mehr maschinelles Lernen. Das sind alles noch keine Revolutionen, aber doch wichtige Weiterentwicklungen.
Ich habe auch KI-Technologien im Pentesting gesehen (Pentests sind Simulationen von Angriffen auf Computersysteme, Anm. d. Red.). Bis anhin sind die noch mittelmässig, wie alle KI-Anwendungen – aber sie werden bald viel besser werden. Ich gehe davon aus, dass KI jeden Bereich der Cybersicherheit verändern wird.
Profitieren die Angreifer oder die Verteidiger mehr von generativer KI?
Auf lange Sicht wird sich das erst zeigen. Für die nahe Zukunft ist meine Vermutung, dass KI-Techniken eher den Verteidigern nützen. Die Angriffe erfolgen längst in irrer Geschwindigkeit dank Automatisierungen. Jetzt wird auch die Verteidigung beschleunigt, und das ist enorm wichtig. Es gibt eine Reihe von Werkzeugen, die dabei helfen, etwa Intrusion-Detection-Systeme (zum Aufspüren von Eindringlingen, Anm. d. Red.). Viele Unternehmen tüfteln an derartigen KI-Cybersecurity-Produkten. Noch sind die alle nicht sehr gut, aber bald werden sie es sein.
Aber von verbesserter Verteidigung ist heute wenig zu spüren. Ransomware-Angriffe und raffinierte Scams, also Betrügereien, sind die Seuchen des Internetzeitalters. Warum sind Cyberkriminelle so erfolgreich?
Das liegt teilweise an den Kryptowährungen – die Internetkriminalität würde ohne Bitcoin so nicht existieren. Aber Betrügereien wie die «Pig Butchering»-Scams sind auch auf fehlende Bankenregulierung zurückzuführen. Würden die Banken in die Pflicht genommen, würden sie sicherstellen, dass so etwas nicht passieren kann. Viele der Probleme erklären sich auch durch die Professionalisierung der Internetkriminalität. Es gibt einige bemerkenswerte Cybercrime-Banden, die einen ganzen Industriezweig hervorgebracht haben und die so etwas wie globale Marken sind. Ein Teil der Problemlösung bestünde darin, dass die Strafverfolgungsbehörden sie verhafteten. Aber die Realität der Geopolitik macht das schwierig, Russland etwa lässt viele von ihnen einfach gewähren.
Lassen Sie uns über staatliches Hacking sprechen. Chinesische Hacker sind kürzlich in die Telekommunikationssysteme in den USA eingedrungen. Tut die amerikanische Regierung zu wenig, um ihre Systeme zu schützen?
Natürlich tun wir zu wenig. Aber viel zu tun, ist teuer und schwer zu bewerkstelligen. Der Vorfall zeigt, dass wir doch nicht so gut im Cyberraum sind, wie wir gerne denken – oder dass es schlichtweg nicht reicht, der Beste zu sein. Wir leben in einer Welt, in der Angreifen einfacher ist als Verteidigen. Mich hat dieser Vorfall nicht überrascht, auch nicht das Ausmass. Es ist eine Frage der Abwägung von Kosten und Nutzen.
Ist das ein Beispiel dafür, dass Privatunternehmen mehr Technologie hätten einsetzen sollen, um sich besser zu schützen?
Die Cybersecurity hat grossartige Werkzeuge zur Verteidigung geschaffen, aber es geht hier gar nicht um die Technologie, sondern darum, wie wirtschaftlich ihre Nutzung ist. Wenn ich auf Fachmessen gehe, stosse ich da auf tolle Produkte für Cybersecurity – die niemand kauft. Firmen riskieren lieber einen Cyberangriff, als dass sie viel Geld für die Verteidigung ausgeben.
Warum ist das so?
Wir können das auf den Kapitalismus schieben: Firmen interessiert ihr jeweiliger Aktienkurs im Quartal, und den maximieren sie nicht, indem sie möglichst sicher sind, sondern indem sie Geld sparen. Es gibt zu wenig Regulierung bei Cyberangriffen, und deswegen gehen viele Firmen lieber Risiken ein, statt sich wirklich gegen Angriffe zu wappnen.
Müsste es aus Ihrer Sicht höhere Geldbussen geben, wenn Firmen Hacker nicht aus ihren Netzwerken fernhalten können?
Das würde vielleicht klappen. Oder Gefängnisstrafen. Wissen Sie, Geldbussen gelten doch einfach als Kosten des Geschäftsgangs. Wenn Topmanager aber plötzlich im Gefängnis sässen, würde sich ihre Einstellung vielleicht ändern. Ich würde gerne sehen, dass sich die Anreize ändern – entweder über Haftung oder über Regulierung. Es wäre schön, wenn die Firmen zur Verantwortung gezogen würden, denn im Hier und Jetzt sind das alles nur Externalitäten.
Es ist ein riesiges Problem, denn es ist, wie Sie sagen: Die Chinesen sind in unsere Telekommunikationsnetze eingedrungen, und jetzt sagen Sie mir einmal, was die Folgen für die Telekom-Firmen sind. Zeigen Sie mir, wie sich dieser Vorfall in deren Aktienkurs spiegeln wird, also dort, wo es ihnen weh tun würde.
Vermutlich nirgends, da haben Sie recht. Die Amerikaner sind aber ihrerseits Meister im Überwachen anderer Nationen. Glauben Sie, dass das Überwachungsinternet die Welt grundsätzlich sicherer oder unsicherer macht?
Viel weniger sicher. Es wäre besser, das Internet sicherer zu machen, statt es zur Überwachung anderer zu nutzen. Das ist ein echtes Problem. Es ist so eine Anmassung: Die USA nehmen lieber in Kauf, dass die Systeme unsicher sind, als dass sie selbst damit aufhören, andere auszuspionieren. Das ist wirklich blödsinniges Verhalten. Eine Welt, in der niemand spioniert, wäre besser als eine, in der alle spionieren.
Als Cybersecurity-Experte, was ist da Ihr Rat, wie jedermann seine eigene Internetsicherheit verbessern kann?
Ganz allgemein gesagt: Aktualisieren Sie immer Ihre Software, erstellen Sie gute Back-ups, und haben Sie selbst einen guten Bullshit-Detektor, also eine gesunde Skepsis. Damit schützen Sie sich bereits gegen viele Probleme.
