Versteckspiel im Internet "Komplett schützen können sich nicht mal die Profis"

Prof. Dr. Jörn Müller-Quade ist Inhaber des Lehrstuhls für IT-Sicherheit und leitet die Arbeitsgruppe Kryptographie und Sicherheit am Karlsruher Institut für Technologie. Auf der Tagung "Camouflage. Tarnung, Täuschung, Mimikry - in Farbe verborgen" am 19. Juni 2015 in Dresden hat er über Mimikry und Kryptographie in der IT-Branche gesprochen. Welche Auswirkungen Kryptographie, Internetspionage und die Nutzung von Social Media für unseren Alltag haben, hat er Deborah Manavi für MDR SACHSEN im Interview erklärt.

Herr Müller-Quade, was bedeutet Kryptographie in der Informatik?

Kryptographie - ursprünglich die Lehre von den Geheimschriften - ist inzwischen die Lehre von all den Verfahren, bei denen man Information vor Ausspähen oder Veränderung schützt und vielleicht sogar, wo man ganze Verfahren schützt. Also Beispielsweise würde ich auch sicheres Online-Banking als ein Verfahren der Kryptographie ansehen.

Jörn Müller-Quade
Prof. Dr. Jörn Müller-Quade Bildrechte: MDR/Deborah Manavi

Für die Informatik ist dabei wichtig, dass fast immer Computer zum Einsatz kommen - zum Verschlüsseln, zum Entschlüsseln, zum digital Signieren. Ansonsten ist es ein Fach mit einer sehr starken mathematischen Tradition. Man gibt sich Mühe, mit mathematischen Verfahren nachzuweisen, dass unter gewissen Annahmen, beispielsweise der Annahme, dass das Faktorisieren sehr langer Zahlen sehr schwierig ist, dass unter einer solchen Annahme Verschlüsselungsverfahren nachweislich sicher sind. 

Ihr Vortragsthema lautet "Kryptographie und Mimikry - Digital verschlüsseln und verstecken". Das Wort Mimikry kennt man normalerweise nur im Zusammenhang mit Biologie. Unter Mimikry versteht man hier die Anpassung von Tieren an die Farbe oder Gestalt anderer Tiere um sich zu schützen. Was versteht man im IT-Bereich unter Mimikry?

Dort gibt es das Wort tatsächlich gar nicht. Ich habe mir für diese Konferenz Gedanken darüber gemacht, in welchem Zusammenhang eigentlich kryptographische Verfahren und Tarnfarben stehen. Und ich habe mich mit Tarnung, Täuschung und Mimikry beschäftigt und mir immer einen Bezug gesucht zur Kryptographie. Ich bin dann dazu gekommen, dass die Kryptographie nie die Existenz einer Nachricht verbirgt sondern nur den Inhalt, und,  dass man eigentlich über Steganographie sprechen müsste, denn dort wird versucht, eine Nachricht zu verbergen. Vielleicht gibt sich eine geheime Nachricht als etwas ganz anderes aus als ein Bild. Und das ist dann in einem übertragenen Sinne Mimikry.

Woher kommt der Begriff Steganographie?

Aus dem Griechischen, genauso wie Kryptographie, wo es um das Verborgene geht, aber um den verborgenen Inhalt sozusagen, geht es bei der Steganographie auch um das Verstecken, aber eben das Verstecken von Nachrichten, das heißt man versucht Nachrichten in etwas anderem zu verstecken.

Mit ihrem Schwerpunkt auf IT-Sicherheit beschäftigen Sie sich mit einem der großen gesellschaftlichen Themen. Es folgt ein Datenskandal nach dem nächsten und doch vertrauen die Menschen immer mehr ihren Computer an. Sehen Sie eine Möglichkeit, dass auch durchschnittliche Bürger sich in Zukunft vor Internetspionage komplett schützen können?

Komplett vor Internetspionage können sich wahrscheinlich noch nicht mal die Profis schützen! Wir sehen, dass der Bundestag angegriffen wird, wir sehen, dass Kasperski, ein Hersteller von Anti-Viren-Software, selber einen Trojaner bei sich gefunden hat, der sozusagen die enorm hohen Hürden überwunden hat, die so ein Profi eigentlich aufstellt. Aber das ist vielleicht auch nicht das Ziel. Das Ziel ist, dass man sich vor Ausspionieren schützen sollte, wo es geht. Also beispielsweise durch viele Hacker, die nur Angriffe nachmachen, die es schon mal gab. Vor diesen Angriffen kann man sich sehr gut schützen, indem man seine Software beispielsweise immer aktuell hält und ein paar Ratschläge berücksichtigt, wie man sie beispielweise bei BSI für Bürger oder bei der Anti-Prism-Party-Webseite findet.

Glauben Sie, dass Bürger überhaupt vollkommenen Schutz wollen? Immerhin ist bei Social Media Networks wie Facebook bekannt, dass es so gut wie keinen Datenschutz gibt und trotzdem nutzen Millionen von Menschen das Netzwerk freiwillig.

Das Problem ist, dass die Leute gerne Schutz wollen, aber dafür nichts tun wollen - Schutz wollen, aber auch Bequemlichkeit. Leider ist es immer ein Abwägen, wie viel Bequemlichkeit man haben kann, wenn man sich schützen will. Es ist ja auch so, dass der Sicherheitsgurt anfangs auf viel Wiederstand gestoßen ist, weil es doch so unpraktisch und unangenehm ist, sich da am Sitz festzubinden.

Und wenn man die Leute fragt, was sie wollen, kriegt man tatsächlich widersprüchliche Antworten, je nachdem, wie man fragt, ob man mehr nach der Bequemlichkeit fragt, die gefordert ist oder mehr nach dem Schutz. Meines Erachtens sind aber eigentlich die Technikfirmen in der Pflicht. All diese Sicherheitsmechanismen haben eigentlich im Hintergrund zu werkeln, ohne dass ich als User mich damit rumärgern muss.

Sie haben unter anderem ein Wahlverfahren entwickelt, dass mit Wahlcomputern funktioniert. Bingo-Voting nennt sich das Programm. Denken Sie dieses Programm könnte bedenkenlos eingesetzt werden?

Bei elektronischen Wahlverfahren wäre ich tatsächlich aufgrund der enorm vielen Angriffsvektoren sehr vorsichtig und würde, wo immer es möglich ist Papierwahl zu benutzen, wahrscheinlich dabei bleiben. In dem anderen Fall gibt es viel zu viele Möglichkeiten, Fehler zu machen. Es gibt aber viele Bereiche, wo die Papierwahl einfach keine Alternative ist. Wenn Sie sich vorstellen, Sie haben eine Non-Government-Organisation, die weltweit verteilt operiert, und die eben demokratische Prozesse etablieren will, denen es aber auch auf Wahlgeheimnis und Korrektheit der Wahl ankommt: In diesem Fall gibt es zu diesen kryptographischen Online-Wahlverfahren eigentlich keine vernünftige Alternative. Es sei denn, es gibt Instanzen, denen Sie hundert Prozent vertrauen.

Mit welchem Hintergrund haben Sie das Bingo-Voting entwickelt?

Wir haben uns damals noch nicht so viele Gedanken über Demokratie gemacht, wie wir das heute machen, wenn wir über solche Dinge diskutieren. Damals war es einfach die sportliche Herausforderung. Ich glaube es war einfach Spaß an der Freude und an der Herausforderung, gleichzeitig die Korrektheit einer Wahl nachweisen zu können und das Wahlgeheimnis zu wahren.

Sie beschäftigen sich in Ihrer Forschung auch mit der Energiewende. Wo setzt da die Informatik an?

Die Energiesysteme der Zukunft werden immer mehr computergesteuert werden. Die alten, großen Kraftwerke konnten entlang dem Verbrauch geführt werden. Das heißt, man hat immer geschätzt oder geguckt, wie viel Strom gerade benötigt wird und hat je nach dem die Kraftwerke gefahren.

In Zukunft werden wir viel mehr erneuerbare Energien haben, wo auf einmal durch Sonnenschein oder Wind Energie verfügbar ist, was aber nicht direkt mit dem Verbrauch korreliert. Dann muss man auf einmal in der Lage sein, steuernd einzugreifen. Das heißt, wir werden in Zukunft bestimmte Verbraucher aus der Entfernung computergesteuert einschalten können, wenn der Strom günstig ist. Und jetzt kann man sich überlegen, dass dafür Daten erhoben werden müssen, wo überhaupt wieviel Strom verbraucht wird - und zwar relativ detailliert, was ein Eingriff in Ihre Privatsphäre ist. Und andererseits müssen Sie die Steuercomputer, die in der Lage sind, Dinge an- und auszuschalten, natürlich vor Cyber-Angriffen schützen. Sonst könnte es passieren, dass das System insgesamt instabil wird und wir einen Blackout durch Cyber-Terrorismus zu befürchten hätten.

Was sind Ihrer Meinung nach die großen Herausforderungen in der Zukunft der IT-Sicherheit?

Ich glaube, dass immer mehr "durchcomputerisiert“ wird. Computer werden immer kleiner und unauffälliger und uns manchmal nur als Sensoren in einem Sensor-Netzwerk begegnen. Das heißt, der Verkehr der Zukunft – damit wir überhaupt zu keinen Verkehrskollaps kommen, dass wir das alles abwickeln können, obwohl wir Wachstum wollen, aber keine neuen Straßen – dafür brauchen wir vernetzten, computergesteuerten Verkehr. Und der könnte auch wieder ein Einfallstor für Cyber-Angriffe sein.

Und dann verwebt sich unser privates Leben auch immer mehr mit dem Computer. Und wenn sich bei uns nicht etwas Grundlegendes in der Vorstellung, was Freiheit und Privatsphäre ist, ändert, müssen wir auch da noch enorm nachbessern.

Danke für das Interview!

Zuletzt aktualisiert: 20. Juni 2015, 15:00 Uhr

Die Kommentierungsdauer ist abgelaufen. Der Beitrag kann deshalb nicht mehr kommentiert werden.

1 Kommentar

21.06.2015 12:25 Endlich sagt es mal einer 1

"Bei elektronischen Wahlverfahren wäre ich tatsächlich aufgrund der enorm vielen Angriffsvektoren sehr vorsichtig und würde, wo immer es möglich ist Papierwahl zu benutzen, wahrscheinlich dabei bleiben." Da kann ich nur voll und ganz zustimmen. Ich gehe sogar noch einen Schritt weiter: Wer elektronische Wahlverfahren einführen will, hat ganz andere Absichten...