Interview mit Tim Taubert: Verbraucher interessieren sich für sichere Kommunikation

Was bedeutet Vertrauen in digitale Kommunikation für Sie?

Tim Taubert: Vertrauen heißt, dass ich den Produkten, die ich kaufe und zur Kommunikation benutze, aber auch den Netzwerken, die diese Produkte wiederum benutzen, aus welchem Grund auch immer vertraue. Ob ich ihnen vertraue, weil sie gute Werbung machen, weil ich informiert bin, weil der Quelltext frei verfügbar (Open Source) ist oder weil mir Freunde gesagt haben, das wäre ein guter Dienst, ist nicht entscheidend. Vertrauen ist ja immer auf eine Art blind.

Und warum würden Sie das als blindes Vertrauen bezeichnen? Die Menschen haben sich doch informiert und bewusst eine Kommunikationsmethode gewählt, die sie für vertrauenswürdig halten.

TT: Aus ihrer Sicht mag das stimmen, aber aus meiner Sicht – jemand, der sich den ganzen Tag mit Kryptografie, Sicherheit und Software beschäftigt – ist das trotzdem ein blindes Vertrauen. Selbst für mich ist es aufwendig, herauszufinden, ob ein Produkt vertrauenswürdig ist oder nicht. Selbst ich muss mich auf Meinungen aus der Sicherheits-Community verlassen. Ich kann zwar selbst Nachforschungen anstellen, um zu prüfen, ob die Verschlüsselung sicher ist, ob sie gut implementiert ist, ob der Dienst vertrauenswürdig ist – das ist aber sehr langwierig. Es ist zwar gut, wenn Nutzer sich informieren und bewusst dafür entscheiden, ein verschlüsseltes Produkt zu verwenden. Das heißt aber nicht unbedingt, dass sie die Fähigkeiten haben, zu beurteilen, ob das Produkt wirklich das tut, was es sagt. Sie müssen den Aussagen anderer vertrauen.

Was würden Sie als Experte sagen: Unter welchen Umständen ist Vertrauen in digitale Kommunikationsmittel gerechtfertigt und wann nicht?

TT: Vertrauen ist etwas, das sich über die Zeit und die Nutzerzahlen definiert. Wenn ein Produkt vor fünf Jahren auf den Markt gekommen ist und seitdem nur gute Bewertungen bekommt und die Leute, die sich auskennen, der Meinung sind, dass es sicher ist, weil sie noch besser informierten Leuten vertrauen, dann entsteht eine Art Kette, der man wahrscheinlich vertrauen kann. Ich glaube nicht, dass man sich alleine informiert entscheiden kann, weil das wie gesagt selbst für Experten schwer ist.

Eine solche Kette, über Reputation Vertrauen zu gewinnen und zu stärken, ist eine sehr langwierige Sache. Wie kann ein Unternehmen oder eine Organisation versuchen, schneller bei den Nutzern Vertrauen zu generieren?

TT: Es würde schon helfen, wenn der Gesetzgeber nicht der Meinung wäre, er müsse in der Lage sein, jegliche Kommunikation abzuhören. Und dann so etwas wie die Entschlüsselungsbehörde ZITiS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich) aufbaut, in dem Wunsch, das durchzuführen. Wenn der Bundesinnenminister Thomas de Maizière behauptet, er könnte WhatsApp-Nachrichten abhören, dann zerstört das das Vertrauen der Nutzer. Dabei spielt es keine Rolle, ob er es wirklich kann. Schon die Behauptung untergräbt das Vertrauen in digitale Kommunikation.

Was halten Sie dann von staatlichen Zertifizierungen und Gütesiegeln?

TT: Natürlich könnte der Staat mit dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) zusammenarbeiten – oder das BSI könnte das alleine tun – und bestimmte Richtlinien aufstellen. Die sind aber davon abhängig, wie sehr man dem Staat zutraut, sinnvolle Richtlinien für diese komplexe Problematik zu erlassen.

Ich bin unsicher, inwiefern Zertifizierungen für Software überhaupt sinnvoll sind. Viele der vorhandenen Richtlinien sind sehr exotisch und nicht mehr zeitgemäß. Der Prozess, in dem Zertifizierungen entstehen, ist recht langwierig und konservativ. Sie haben für Software für den Massenmarkt nur einen begrenzten Sinn, weil sie bisher nur dafür sorgen, dass die Software für den staatlichen Einsatz geeignet ist. Das hat nichts damit zu tun, was wir mit Sicherheit für normale Nutzer meinen.

Hier eine andere Idee: Brauchen wir höhere Sicherheitsstandards, die gesetzlich durchgesetzt werden? Zum Beispiel, dass Anbieter regelmäßige Sicherheits-Updates anbieten müssen – und wenn sie das nicht tun, müssen sie haften.

TT: Ich bin auf jeden Fall gegen eine solche Pflicht, weil ich nicht daran glaube, dass der Gesetzgeber in der Lage wäre, das ordentlich zu formulieren. Die Software- Welt bewegt sich so schnell, dass ein Gesetz schon kompletter Unsinn wäre, sobald es verabschiedet würde.

Ich glaube zwar sonst nicht so sehr an den freien Markt, aber in dem Fall würde ich den Verbrauchern ein bisschen Macht zugestehen, dass sie sich für die technisch fortgeschrittenere Lösung entscheiden. Heutzutage ist ein Browser, der sich nicht automatisch aktualisiert, völlig obsolet. Nutzer erwarten, dass Updates im Hintergrund geladen werden. Vor fünf, sechs Jahren war das noch nicht so. Heutzutage ist es auch völlig normal, dass ein Messenger die Nachrichten Ende-zu-Ende verschlüsselt. Ob die Verschlüsselung ordentlich implementiert ist oder nicht, ist eine andere Frage. Aber zumindest ist das ein Begriff, mit dem Verbraucher etwas anfangen können und worauf sie achten.

Die Software- und Sicherheitsindustrie hat noch einen sehr weiten Weg vor sich und muss noch viel verbessern. Aber ich glaube, sie ist selbst daran interessiert, vor allen Dingen, weil die Verbraucher immer mehr Wert darauf legen. Sie wollen einen sicheren Browser. Sie wollen, dass ihre Nachrichten verschlüsselt werden. Die Gesetzgebung kann hier nicht das einzige Mittel der Wahl sein.

Wir hatten ja schon gesagt, dass die meisten Menschen sich nicht unbedingt gut auskennen mit digitalen Produkten. Brauchen wir geförderte Angebote, wo man zum Beispiel lernt, wie Verschlüsselung funktioniert?

TT: Ich wäre sehr begeistert davon, wenn es solche Angebote gäbe. Wir selbst haben zum Beispiel beim Girl’s Day – das ist ein Tag, an dem Schülerinnen sich sogenannte Männerberufe anschauen – versucht, den Mädchen näherzubringen, was wir tun. Das Thema war Snapchat, weil das viele Jugendliche nutzen. Wir haben über Fragen geredet wie: Was passiert, wenn man Snapchat verwendet? Wie läuft die Kommunikation ab, ist sie sicher? Was denken sie, was mit den Fotos auf den Snapchat- Servern passiert? Wenn das Foto auf dem Handy ihrer Freundin nach zehn Sekunden verschwindet, glauben sie, dass das Foto wirklich weg ist?

Das wurde eigentlich immer ziemlich gut angenommen. Mein Eindruck ist, Verbraucher haben an solchen Informationen Interesse. Es gibt genug Leute, die gerne mehr darüber wissen würden, die aber Schwierigkeiten haben, in der Flut von Informationen im Internet irgendetwas Sinnvolles zu finden – vor allem, wenn sie Informationen auf Deutsch suchen.

Tim Taubert

Foto: Andreas Prietzel

Tim Taubert

Tim Taubert ist IT-Sicherheitsexperte und spricht hier ausschließlich für sich selbst. Er arbeitet derzeit bei Mozilla, wo er hauptsächlich für sichere und verschlüsselte Kommunikation des Firefox-Browsers verantwortlich ist. Seine Arbeitsgebiete sind unter anderem Verschlüsselungsprotokolle, angewandte Kryptografie und formale Verifikation von kryptografischen Algorithmen. Er bloggt auf timtaubert.de und twittert unter @ttaubert.