IT-Sicherheitsexperte Bernhard Fischer zum Unvorhersehbaren der NSA-Affäre und dem persönlichen und politischen Umgang damit. Die Probleme für Unternehmen entstehen oft durch das Fehlen solider Ausbildung in Sachen IT-Security. [...]
Bernhard Fischer ist FH-Dozent im Department IT-Sicherheit und wissenschaftlicher Mitarbeiter am Institut für IT-Sicherheitsforschung der FH St. Pölten.
Wussten Experten das, was Edward Snowden öffentlich gemacht hat, nicht auch schon vorher?
Bernhard Fischer: Nein, vor allem nicht in diesem Umfang. Es wurde zwar schon lange vermutet, dass gewisse Überwachungen durchgeführt wurden – nicht nur von der NSA. Wir warnen auch schon sehr lange vor den Risiken, die durch das Ignorieren von Sicherheitsmechanismen entstehen, aber das tatsächliche Ausmaß übersteigt bei weitem die schlimmsten Befürchtungen.
Haben Staaten und IT-Sicherheitsverantwortliche auf die NSA-Affäre angemessen reagiert?
Aus meiner Sicht nicht, zumindest nicht im Großen. Die Politiker sind überfordert, weil sie die tatsächliche Bedeutung vermutlich nicht verstehen und zu viel Angst vor den USA haben. In Unternehmen spielt Geld eine dominierende Rolle. Und in den meisten durchschnittlichen IT-Abteilungen gibt es ein Knowhow-Defizit in Bezug auf IT-Security. Gute Ausbildungen, wie jene der FH St. Pölten sind eine Grundlage, um diese Lücke zu schließen.
Welches Wissen fehlt konkret?
Moderne IT-Systeme bestehen aus unzähligen Komponenten, die auf komplexe Art und Weise miteinander vernetzt sind. Zum einen sind die technischen Hintergründe über dieses Zusammenspiel aufgrund fehlender, solider Ausbildung nicht da. Dadurch gehen der Gesamtüberblick und das Verständnis von Zusammenhängen verloren. Zum anderen liegt es auch am „Versteckspiel“ von Herstellern kommerzieller Software, die oft bewusst ein Mysterium daraus machen. Ein verstärkter Einsatz von OpenSource-Software wäre hier ratsam, alleine schon, um die Diversität zu erhöhen.
Was braucht es, um das ungewollte Ausspionieren von Daten zu erschweren?
Seit langem vorhandene Methoden sollten auch tatsächlich eingesetzt werden – und zwar richtig. Das betrifft z.B. die Anwendung von Verschlüsselung in Software, die oft gar nicht oder nur mangelhaft implementiert ist. Und gewisse Techniken sollten so benutzerfreundlich und einfach implementiert werden, dass sie jeder Anwender automatisch verwenden kann, auch ohne technisches Studium. Das betrifft z.B. die Verschlüsselung von E-Mails. Hier sind vor allem Organisation und Politik gefragt, denn dass in vielen IT-lastigen Unternehmen keine Email-Verschlüsselung verwendet wird, liegt nicht am Fehlen der nötigen Software, sondern am Fehlen des Verständnisses für die Notwendigkeit.
Haben Sie mit Snowden Ihr eigenes Verhalten zur IT-Sicherheit und Ihre Computernutzung verändert?
Ich war immer schon relativ „paranoid“ in Bezug auf Privacy und die Verwendung entsprechender Sicherheitstechnologien. Durch Ed Snowden wurde mir bestätigt, dass das ganz und gar nicht paranoid, sondern der richtige Weg war. Ich versuche jetzt vermehrt, sowohl das technische Wissen als auch die politischen Konsequenzen an Studenten und mein sonstiges berufliches und privates Umfeld weiterzugeben.
Be the first to comment