Interview mit Prof. Dr. Claudia Eckert: Sichere Kommunikationskanäle sind oft zu kompliziert

Was bedeutet Vertrauen in digitale Kommunikation für Sie?

Claudia Eckert: Es bedeutet, dass die Kommunikation nur denen zugänglich ist, mit denen ich wirklich kommunizieren möchte. Dass sie nicht abgehört wird, ohne dass ich es mitbekomme; dass sie nicht geändert wird; dass nicht etwas hineingeschnitten wird, was ich nicht gesagt habe – das sind die Dinge, die ich mit Vertrauen in die digitale Kommunikation verbinde.

Welchen Stellenwert hat dieses Vertrauen für unsere Gesellschaft?

CE: Einen extrem hohen Stellenwert. Wir sind abhängig davon, dass Kommunikation und die Kommunikationsinfrastrukturen funktionieren. In der vernetzten digitalen Welt, in der wir leben, geht es immer um Kommunikation. Das Internet of Things, vernetzte Geräte, beruht auf dem Austausch von Daten. Wenn ich dem nicht mehr vertrauen kann und den Verdacht habe, dass die Kommunikation unterwandert ist, dann bricht mir ganz viel weg.

Wie vertrauenswürdig würden Sie unsere aktuellen digitalen Kommunikationsmittel – etwa E-Mail, Messenger – bewerten?

CE: Da muss man unterscheiden: So, wie sie wirklich genutzt werden, oder welches Potenzial sie überhaupt bieten, sie sicher zu nutzen? Man kann E-Mails so nutzen, dass sie vom Absender verschlüsselt und signiert und erst beim Empfänger entschlüsselt werden. Dieser holt sie wie aus einem Briefumschlag wieder heraus. Alle Vermittlungsstellen dazwischen haben keinen Einblick, was versendet wurde. Das Potenzial ist also da.

Die Praxis sieht aber so aus: Nur ein Bruchteil der Menschen benutzt diese Sicherheitsmechanismen, die im Prinzip verfügbar sind. Eine E-Mail ist in der Form, wie sie die meisten Menschen verwenden, mit Sicherheit nicht vertrauenswürdig. Wir bekommen Informationen von Personen, die ihre Absenderadressen verschleiern, Inhalte werden verfälscht, E-Mails werden abgefangen und mitgelesen, Nachrichten werden umgeleitet. Das ist der Stand der Dinge, das geschieht jeden Tag. Die sicheren Verfahren werden nicht verwendet. Sie sind zu kompliziert, und die Menschen sind überfordert. Die Technologie ist da, aber sie ist nicht nutzbar.

Messenger-Dienste sind einen Schritt weiter, weil manche grundlegenden Sicherheitsfeatures schon integriert sind. Viele Messenger verschlüsseln automatisiert die Nachrichten – WhatsApp, der Messenger, der in Deutschland wahrscheinlich am meisten genutzt wird, hat das inzwischen eingeführt. Es gibt aber auch andere Anbieter, wie Threema, Signal oder Wire, die das machen. Die Nutzer merken davon nichts. Deshalb funktioniert das in diesem Bereich. Man muss Sicherheitstechniken so einbauen, dass die Nutzer möglichst wenig Arbeit damit haben.

Brauchen wir einen neuen Standard zur Verschlüsselung, wenn die Technik zu kompliziert ist? Am besten in einer konzertierten Aktion von mehreren Marktakteuren?

CE: Einen neuen Standard brauchen wir nicht. Wir haben ja mehrere funktionierende Standards. Wir brauchen eher praktikable Lösungen, die es erlauben, zwischen all den Standards hin und her wechseln zu können. Beispiel: Ich habe in meinem Mailprogramm sowohl die Erweiterungen für die S/MIME-Verschlüsselung als auch für die PGP-Verschlüsselung installiert. Aber die beiden sind untereinander nicht kompatibel. Ich muss immer verschiedene Wege wählen, je nachdem, was mein Gegenüber benutzt. Ich bräuchte eigentlich eine Art Adapter, eine Art Zwischenschicht, die diesen Austausch umsetzt. Ich frage mich immer, wieso bei der E-Mail diese Interoperabilität fehlt. Beim Mobilfunk gibt es Roaming. Da werden Sie von Zelle zu Zelle und Netz zu Netz weitergereicht, ohne dass Sie als Benutzer irgendetwas tun müssen oder es überhaupt merken. Wieso schaffen wir das bei E-Mails nicht?

Wie könnte man die Anreize setzen, um das zu erreichen? Brauchen wir höhere Sicherheitsstandards, die verpflichtend sind?

CE: Es gibt ja schon verpflichtende Sicherheitsstandards, zwar nicht für Normalbürger, aber für Unternehmen. Es ist aber schwierig, Menschen durch Regularien dazu zu bekommen, sich auf eine bestimmte Weise zu verhalten. Das funktioniert besser durch Anreiz- und Belohnungssysteme. Das heißt, der Kunde oder die Kundin bekommt einen Teil des Preises zurückerstattet, wenn er oder sie etwas tut. Oder hat Zugang zu einem sonst verschlossenen Bereich. Einfach etwas verbieten – und die Einhaltung dieses Verbots überwachen – ist im IT-Umfeld schwierig und eher nicht sinnvoll.

Die Frage ist also: Sind Belohnungssysteme vorstellbar, wenn jemand konsequent Sicherheitsdienste einsetzt? Das Konzept kennen wir zu einem gewissen Grad aus der Versicherungswirtschaft. Wer entsprechend Vorsorge treibt, sein Risiko eindämmt und Maßnahmen ergreift, um keinen Schaden zu erleiden, wird in seiner Versicherungspolice heruntergestuft oder bekommt Rabatte. Könnte man sich auf dieser Basis Businessmodelle überlegen, die es schaffen, dass sowohl Anbieter als auch Endkunden konsequent Security einsetzen? Das wäre eine Überlegung wert.

Wie bewerten Sie Gütesiegel und Zertifikate, um das Vertrauen in die digitale Kommunikation zu stärken oder überhaupt entstehen zu lassen?

CE: In Deutschland schauen wir durchaus stark auf Gütesiegel. TÜV-Plaketten strahlen eine Art Verlässlichkeit aus. Da hat jemand nach gewissen Standards auf ein Produkt geschaut, hat sein Siegel darunter gesetzt, und damit kann ich sicher sein: Das hat eine gewisse grundlegende Qualität. Es würde gerade in Deutschland einen Mehrwert darstellen, solche Gütesiegel zu vergeben, wenn es klar wäre, nach welchen Regeln die Siegel verliehen werden. Was wird eigentlich zertifiziert? Einfach nur, dass die Weboberfläche gut gestaltet ist? Oder ob ein Programm wirklich kein Schindluder treibt?

Wenn das eine vernünftige Sicherheitsanalyse ist, in der die Gerätschaften nach dem Stand der Technik durchleuchtet werden, dann hat es einen gewissen Sinn. Dadurch würde das Vertrauen schon steigen. Das wäre vor allem wichtig bei Technologien wie dem Internet of Things, bei dem Geräte aus aller Herren Länder eingebaut werden und miteinander kommunizieren, ohne dass ich nur die leiseste Ahnung habe, was sie wirklich tun. Das könnte eine gewisse Basisqualität herstellen, die das Siegel bestätigt.

Prof. Dr. Claudia Eckert

Foto: Fraunhofer AISEC

Prof. Dr. Claudia Eckert

Prof. Dr. Claudia Eckert ist Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in München und Professorin der Technischen Universität München, wo sie den Lehrstuhl für IT-Sicherheit in der Fakultät für Informatik innehat. Zu ihren Forschungsschwerpunkten zählen die Entwicklung von Technologien zur Erhöhung der System- und Anwendungs- Sicherheit, die Sicherheit eingebetteter Systeme und die Erforschung neuer Techniken zur Erhöhung der Resilienz und Robustheit von Systemen gegen Angriffe. Ihre Forschungsergebnisse wurden in über 160 begutachteten Fachbeiträgen veröffentlicht. Als Mitglied verschiedener nationaler und internationaler industrieller Beiräte und wissenschaftlicher Gremien berät sie Unternehmen, Wirtschaftsverbände sowie die öffentliche Hand in allen Fragen der IT-Sicherheit. In Fachgremien wirkt sie mit an der Gestaltung der technischen und wissenschaftlichen Rahmenbedingungen in Deutschland sowie an der Ausgestaltung von wissenschaftlichen Förderprogrammen auf EU-Ebene.