Sicherheitslücken "Bespitzelung, Wirtschaftsspionage und Cyberwar"

Wie schützen wir uns in Zeiten der elektronischen Überwachung?

Sandro Gaycken im Gespräch mit Christian Rabhansl

IT-Spezialist von der Freien Universität Berlin Sandro Gaycken (picture alliance / dpa / Open Source Press)

Die bestehende Computertechnologie ist "bahnbrechend unsicher", sagt IT-Sicherheitsforscher Sandro Gaycken. Jedes Smartphone sei durch Geheimdienste unterwandert und jedes Computer-Betriebssystem berge Sicherheitslücken.

Deutschlandradio Kultur: Acht Monate sind vergangen seit den ersten Enthüllungen durch den ehemaligen Geheimdienstmitarbeiter Edward Snowden. Sechs Monate sind vergangen, nachdem die damalige schwarz-gelbe Bundesregierung die Vorwürfe in der NSA-Affäre für erledigt erklärt hat. Und jetzt kommt scheinbar doch Bewegung in die Bundespolitik. Innenminister Thomas de Maiziere will in diesem Jahr ein IT-Sicherheitsgesetz auf den Weg bringen. Unternehmen sollen verpflichtet werden, Cyber-Attacken zu melden.

Aber macht die Große Koalition das alles richtig? Hat sie überhaupt genügend Sachverstand, um gegen Überwachung und Industriespionage und Cyber-War anzugehen? Das sind eine Menge Fragen und ich gespannt auf die Antworten von Sandro Gaycken, Technik- und Sicherheitsforscher an der Freien Universität Berlin und Berater des Außenministeriums in Sachen Cyber-Sicherheit. – Guten Tag, Herr Gaycken.

Sandro Gaycken: Hallo.

Deutschlandradio Kultur: Das sind eine Menge große Fragen. Wir fangen mal bei den ganz kleinen an: Haben Sie ein Smartphone?

Sandro Gaycken: Ja.

Deutschlandradio Kultur: Sie benutzen das ganz selbstverständlich?

Sandro Gaycken: Ja, ich lade mir jetzt nicht jeden Mist da runter, eigentlich benutze ich es nur zum Telefonieren und um nach links und rechts zu finden. Emails habe ich schon nicht mehr drauf.

Deutschlandradio Kultur: Die E-Mails aus Sicherheitsgründen nicht drauf?

Sandro Gaycken: Nö, weil mich das nervt. Da kommt irgendwie alle zwei Minuten eine und dann ist mir das zu viel. Die habe ich dann lieber konzentriert einmal am Tag. Das reicht mir dann.

Deutschlandradio Kultur: Nach welchen Kriterien entscheiden Sie ansonsten, welche Apps Sie sich runterladen, welche nicht?

Sandro Gaycken: Ich habe eigentlich gar keine Zeit, da so viel mit dran rumzufummeln. Von daher stellt sich das Thema nicht. Ich habe mir jetzt gerade ein neues besorgt und da habe ich keine einzige App dazu geladen, die jetzt nicht schon drauf war. - Ach nee, für meine Tochter hab ich ein paar Spiele drauf geladen, stimmt.

Deutschlandradio Kultur: Und achten Sie da drauf, was dieses Spiel macht, auf was es zugreift?

Sandro Gaycken: Nein, überhaupt nicht.

Deutschlandradio Kultur: Warum nicht?

Eingabemaske zur Mail-Überprüfung auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (dpa / picture alliance / Armin Weigel)

Sandro Gaycken: Ich trenne einfach die Sicherheitssphären ein bisschen anders. Ich arbeite eher im Hochsicherheitsbereich, wenn irgendwas Sensibles ist. Und da ist sowieso die Daumenregel, überhaupt gar keine digitalen Geräte mitzunehmen. Von daher stellt sich die Frage da auch nicht. Das Private kann sozusagen vollständig unsicher sein. Vor so kleinen Cyber-Kriminellen habe ich jetzt auch nicht große Angst. Und das Professionelle, wenn es sicher sein muss, muss dann auch so sicher sein, dass digitale Geräte generell weg sein müssen.

Deutschlandradio Kultur: In der Tat, als wir uns verabredet haben für dieses Interview, da kam Ihre Email auch völlig unverschlüsselt. – Aber gut, jeder darf das wissen. Wir wollen ja schließlich, dass das Gespräch gehört wird. Wenn Sie jetzt aber so ein Gespräch über Hochsicherheits-IT führen…: Sie wohnen in einem kleinen Dorf, umgeben von Wäldern, an einem See. Gehen Sie dann lieber spazieren mit dem Gesprächspartner oder wie machen Sie das?

Sandro Gaycken: Ja, in der Tat. Normalerweise trifft man sich ja dann in Büros. Man geht da nicht irgendwie konspirativ spazieren, sondern geht in Büros. Und je nach dem, wie sensibel das ist, findet das ab und zu in abhörsicheren Räumen statt oder so was. Aber eigentlich reicht die Daumenregel, dass man die digitalen Geräte draußen lässt. Und selbst da halten sich nicht unbedingt alle immer dran.

Deutschlandradio Kultur: Edward Snowden, der ehemalige Geheimdienstmitarbeiter empfahl, nicht nur den Akku heraus zu nehmen, sondern am besten das Handy gleich noch in den Kühlschrank zu legen, weil das das Handy abschirmt. Halten Sie sich an solche Regeln oder ist das überzogen?

30 cm dicke Stahlwände in den Besprechungsräumen

Sandro Gaycken: Also, wir haben bei diesen Gesprächen in sicheren Räumen dicke, fette Stahl- oder Bleischränke vorne dran, Störsender auf dem Dach, schlecht gelaunte Wachen mit Schussgeräten davor und dann auch so 30 cm dicke Stahlwände in den Besprechungsräumen. Das sind so die Regeln, die wir da haben. Also, Laptops und Handys müssen da eingeschlossen werden in diesen Bleischränken. Und dann geht man in diese extrem gesicherten Räume. Da sind dann auch spezielle Raumgeschichten drauf, wo dann Luftschichten zum Beispiel sind oder besondere Schichten zwischen den Materialien, damit da keine Schallwellen das irgendwie in Schwingung versetzen, dass man das von außen nicht ablesen kann. Und das halten dann alle für einigermaßen sicher.

Deutschlandradio Kultur: Ich habe vorhin schon angedeutet, Sie beraten unter anderem das Außenministerium. Wer hat solche Räumlichkeiten? Mit wem führen Sie Gespräche, wo Sie hinter solchen Schutzmaßnahmen sitzen?

Sandro Gaycken: Die Nato hat solche Räume. Da haben wir ganz selten mal solche Gespräche. Ansonsten die Ministerien zum Teil auch, aber die werden nicht so oft benutzt, weil, die sind so tief im Keller, da muss man so lange laufen und es ist kompliziert die zu buchen usw. Und auch viele Unternehmen haben solche abhörsicheren Räume. Aber auch da werden sie selten genutzt. Die machen dann ihre vertraulichen Gespräche doch lieber im Hochglanzbüro mit der schönen Fensterfassade im 30. Stock. Da beschweren sich auch die Sicherheitsleute und -abteilungen immer, aber das sind halt die Chefs. Da kann man dann nicht viel vorschreiben.

Deutschlandradio Kultur: Diese Schutzmaßnahmen, die Sie beschrieben haben, das können sich Staaten leisten, Regierungen leisten, große Konzerne leisten. Privatmenschen wie ich und die meisten unserer Hörer werden sich das nicht leisten können. Können wir irgendeine Alternative tun, um nicht abgehört zu werden? Oder sagen Sie uns, "Ach, es interessiert sich doch eh keiner für euch?"

Sandro Gaycken: Also, es interessiert sich keiner für den Durchschnittsbürger. Das kann mir jetzt keiner sagen, außer natürlich die Marketingjungs und diese ganzen Unternehmen Google usw. Aber da kollaboriert man ja freiwillig. Und ansonsten, die Dienste, muss man ganz ehrlich sagen, die interessieren sich für die Rüstungsindustrie, für die großen Politiker, für Industrie- und Wirtschaftspolitik, vielleicht noch ein bisschen für Industriespionage. Und wenn man da kein Funktionsträger ist in irgendeiner Form, dann wird man automatisch rausgefiltert. Da muss man sich eigentlich keine Sorgen machen, zumindest nicht, wenn man in den westlichen Demokratien lebt und jetzt nicht von Zensur und Überwachung staatlicher Art viel zu befürchten hat.

Wenn man das natürlich trotzdem möchte, weil man sensibel ist und weil man sagt, ich will einfach meine Grenzen klar haben und ich möchte nicht, dass die Möglichkeit dazu existiert – das finde ich auch völlig legitim -, dann muss man sich natürlich sehr intensiv belesen. Und das ist tatsächlich das größte Problem. Es gibt die Sicherheitsmaßnahmen. Man kann sich toll verschlüsseln und sich auch besondere Geräte kaufen usw. Aber dafür muss man sich sehr, sehr gut auskennen, einmal, welche Geräte überhaupt vertrauenswürdig sind und welche vielleicht doch auch von Diensten infiltriert wurden, und dann auch, wie man das einrichtet. Und das ist für Laien im Moment nicht zu leisten.

Deutschlandradio Kultur: Nun ist es vielleicht eine Möglichkeit, dass wir uns nicht alle einlesen müssen, sondern dass Sie uns ein paar Tipps geben. Von den gängigen Smartphone-Herstellern, raten Sie da von allen ab oder gibt’s da welche, wo Sie sagen, ja, die kann man benutzen, andere eher nicht?

Sandro Gaycken: Also, von den gängigen Smartphones rate ich von allen ab.

Deutschlandradio Kultur: Egal, ob Android oder Apple oder Windows Phone…

Sandro Gaycken: Völlig egal, was für eine Marke. Die sind alle komplett unterwandert. Das einzige, was ich machen kann, ist, mir ein Cryptophone zu holen oder vielleicht auch eine Krypto-App runter zu laden. Krypto-Apps sind nicht ganz so vertrauenswürdig, weil viele Dienste schon auf Hardware-Ebene einsteigen oder auf irgendwelchen anderen Zwischenebenen….

Deutschlandradio Kultur: …also schon die Geräte manipuliert sind und die Software…

Sandro Gaycken: Die Geräte sind manipuliert oder auch die Krypto, die dadurch geliefert wird, ist nicht ausreichend stark. Die kann dann wieder gebrochen werden. Das ist beim Durchschnitt sozusagen unwahrscheinlich, dass man da die große Maschine anwirft, um das zu brechen, von daher liefert das wahrscheinlich eine relative Sicherheit. Aber ansonsten braucht man halt tatsächlich so ein Spezial-Krypto-Handy. Und das kostet dann aber ab 1.500 Euro aufwärts.

Deutschlandradio Kultur: Menschen, die sensibel mit ihren Daten umgegangen sind, haben ja bislang vielleicht schon die großen Internetkonzerne versucht zu meiden, zum Beispiel auf Facebook keinen Account zu haben. Gerade dieser Tage kam die Meldung, dass Facebook den Kurznachrichtendienst WhatsApp kaufen möchte für sagenhafte 19 Milliarden Dollar. Das heißt, auch Kunden, die bislang den einen Konzern gemieden haben, werden jetzt einfach aufgekauft.

Ist das Internetzeitalter so ein bisschen das Zeitalter der Machtlosigkeit des Einzelnen?

Technikgeschichtlichen Perspektive

Sandro Gaycken: Ich kann mich ja einfach fernhalten. Das will ja nur keiner. Also, ich denke, wir gehen da durch verschiedene Evolutionsphasen noch. Man muss ja sehen, aus so einer technikgeschichtlichen Perspektive sind wir immer noch relativ in so einer Frühphase, so einer Experimentierphase, wo wir also noch viele Dinge ausprobieren müssen und dann erst noch gucken müssen, was wie zu uns passt. Wir müssen mal sehen, wie das dann ausgeht mit diesen extrem datenhungrigen Diensten, die wir da haben.

Ich meine, viele benutzen die gerne und die sind ja auch praktisch und machen Spaß und man hat viel Kommunikation. Und in den westlichen Demokratien passiert einem ja eigentlich auch nicht viel. Da kriegt man mal ein bisschen gezielte Werbung hier und da. Das nervt dann vielleicht ab und zu mal, aber es ist jetzt nicht tödlich oder so was.

In anderen Ländern dagegen ist es dann eine ganz andere Situation, weil da genau diese Daten auch von genau diesen kommerziellen Betreibern angefordert werden von Diensten und von Polizeien. Und die filtern da natürlich dann auch die politischen Oppositionellen raus, die, die dem Herrschaftsapparat nicht passen. Und wir haben auch schon eine ganze Reihe von Fällen, wo die dann halt auch verschwunden sind.

Deutschlandradio Kultur: Ist das nicht ein bisschen rosig gedacht? Auch in unseren westlichen Demokratien hacken sich doch Geheimdienste nun bekanntermaßen in diese Netzwerke rein. Das heißt, die greifen doch darauf genauso zu.

Sandro Gaycken: Ja, aber das ist genau der Punkt, wo man diese Sachen ein bisschen stärker kontextualisieren muss. Das ist auch was, was mich an den deutschen Internetintellektuellen ein bisschen stört. Die denken immer alles von der Technik aus und vom technischen Potenzial. Und das ist dann das, was die Gesellschaft formt und determiniert. Es sind also ganz klare Technikdeterministen. Das ist auch ganz typisch für Ingenieure, aber ist in der Regel immer falsch.

Nur weil wir die Atombombe haben zum Beispiel, haben wir nicht den Atomkrieg. Das ist irgendwie nicht so eine klare direkte Linie. Wir müssen tatsächlich jetzt einfach sagen, dass wir nicht mehr so diese Entscheidung haben, Internet ja, nein, Datenchaos ja, nein. Das steht nicht mehr zur Diskussion. Wir sind also mittendrin in diesem Prozess. Die haben alle unsere Daten. Wir müssen jetzt einfach sehen: Wer hat unsere Daten zu welchem Zweck und wie gehen die damit um?

Und da können wir dann halt in diesem Kontext sagen, natürlich können NSA und BND unsere Daten nehmen uns da alle intensiv beobachten. Aber daran haben die kein Interesse. Wir können sagen, dass unsere Institutionen da gut genug funktionieren, vielleicht nicht perfekt, nichts funktioniert perfekt, aber gut genug funktionieren, dass wir keine Angst haben müssen, dass wir im Gefängnis landen, wenn wir uns über Frau Merkel aufregen oder über irgendwen in der Politik aufregen. Das dürfen wir tun. Wir werden da nicht überwacht und wir werden auch nicht verhaftet.

Deutschlandradio Kultur: Im vergangenen Herbst, als der Lebensgefährte des Enthüllungsjournalisten Greenwald in London verhaftet worden ist, das war zwar nur einen Tag lang, aber da ist ein Antiterrorgesetz auf einen Journalisten angewendet worden, obwohl niemand je behauptet hat, er sei selber ein Terrorist. – Also, machen Sie es sich jetzt nicht grad ein bisschen leicht?

Sandro Gaycken: Nö, das muss man auch im Kontext sehen mit Auslandsspionage und dieser NSA-Geschichte. Auslandsspionage hat immer andere Regeln. Die haben genau genommen nämlich gar keine. Da macht man das, was strategisch sinnvoll ist. Da gibt’s keinen klaren rechtlichen Rahmen. Man muss halt gucken, was der gute Geschmack so zulässt.

Und für die NSA – man muss es halt eben auch aus der Perspektive einfach mal taktisch beurteilen, strategisch beurteilen – für die NSA ist es ein riesiger gigantischer Verlust und eine unglaubliche Schwächung auch ihrer Fähigkeiten. Für die war das deswegen extrem wichtig, da ranzukommen. Und dann ist es natürlich bei Einzelpersonen, Einzelfällen auch schon möglich, dass man da ein bisschen härter zugreift.

Das ist natürlich nicht unbedingt tolerabel, aber das sind sozusagen dann zu erwartende Kollateralschaden bei solchen Einzelfällen.

Deutschlandradio Kultur: Nehmen Sie das jetzt achselzuckend hin oder finden Sie es gut? Ich werde gerade nicht ganz schlau aus Ihrem Gesicht.

Sandro Gaycken: Also, aus einer juristischen Perspektive ist es natürlich nicht gut, wenn man da so eine Art Rechtsbeugung mit Terrorgesetzen versucht. Aber ich verstehe es einfach aus einer strategischen Perspektive, dass die versuchen müssen, da ranzukommen und irgendwie einen Blick dafür zu kriegen, was da drin ist – auch wenn sie die Veröffentlichung nicht vermeiden können. Ich finde aber eigentlich, dass sie sich da noch – dafür, dass es ja die CIA ist, der da kräftig vors Schienebein getreten wird jetzt permanent, dafür verhalten sie sich noch relativ zivil. Die hätten ja auch schon ganz andere Dinge mit Greenwald machen können. Und ich denke, im Kalten Krieg zum Beispiel, wo es ja dann um Atomkrieg gegangen wäre, da wären die alle schon längst erschossen.

Und wenn dann mal jemand festgehalten wird am Flughafen, das ist schlecht, aber es ist jetzt auch nicht furchtbar.

Deutschlandradio Kultur: "Nicht furchtbar", sagte Sandro Gaycken. An der Freien Universität Berlin sind Sie Technik- und Sicherheitsforscher und forschen auch zum Thema Cyber-War. Das ist so ein Begriff, der klingt irgendwie nach Sciencefiction. Wir denken dann an bewaffnete Drohnen, die gehackt werden und plötzlich woandershin schießen. Wir denken an Atomkraftwerke, wo vielleicht per Fernschaltung die Kühlung ausgeschaltet wird, so dass schreckliche Dinge passieren.

Was für Gefahren sind da real? Was erforschen Sie da?

Sandro Gaycken: Ich hab mich ein bisschen stärker fokussiert auf die Risiken, was da eigentlich alles passiert, und dann vor allem auf diesen Bereich Cyber-Warfare und Cyber-Spionage und was man dann später strategisch dagegen tun kann, wie man sich da einrichten muss.

Deutschlandradio Kultur: Also, sind diese Beispiele, die ich gerade genannt habe, real oder ist das Sciencefiction?

Sandro Gaycken: Nö, die sind real. Also, das sind durchaus Sachen, die da konzipiert werden gerade. Wir haben ja auch schon ein paar Geschichten gesehen, in the wild sozusagen. Stuxnet war ja eine Geschichte…

Deutschlandradio Kultur: …gegen die iranischen Zentrifugen.

Sandro Gaycken: Genau, ein Hackerangriff gegen iranische Atomzentrifugen, gegen eine Rüstungsproduktion. Das ist auch, was wir vermuten, was schon relativ breit stattfindet, gerade so Rüstungsgüter. Wir hatten letztens so einen lustigen Incident. Da hat die spanische Marine für vier Milliarden Euro, was ja in Spanien im Moment viel Geld ist…

Deutschlandradio Kultur: Für uns auch.

Sandro Gaycken: Für uns auch, aber da besonders. Da haben die halt U-Boote gebaut. Und die hatten die dann auch schön im Testbetrieb, sind auch schön untergegangen, aber sind nicht wieder hoch gekommen, weil die nämlich dann hundert Tonnen zu schwer waren, kam dann heraus. Und das schien irgendwie ein Fehler zu sein, der sich durch diese Architektursoftware reingebaut hat. Das ist ja keine geringe Menge, hundert Tonnen ist schon eine stattliche Masse.

Und das ist dann auch so ein Indikator für so Fälle, wo man denken könnte, das könnte jetzt so ein Angriff gewesen sein. Das ist zumindest das, was Nachrichtendienste ganz, ganz typisch tun. Die brechen also in solche Dinge ein, manipulieren Pläne an irgendwelchen Stellen, wo sie hoffen, dass es nicht auffällt. Und dann macht man von da aus weiter.

Deutschlandradio Kultur: Durch die Informationen von Edward Snowden wissen wir auch, dass allein im Jahr 2011, allein das amerikanische Cyber-Command 231 solcher Hackeroperationen durchgeführt hat. Ist das eine Zahl, die Sie überrascht hat?

Sandro Gaycken: Ja, ehrlich gesagt ja. Und auch meine Kollegen hat es überrascht. Wir hatten immer so vermutet, irgendwie 20 bis 30 machen die vielleicht pro Jahr. Und das ist ja schon viel. Denn das sind Operationen, das ist nicht ein einzelner Angriff auf eine Struktur, wo man einmal drauf haut, sondern so eine Serie von Angriffen, inklusive Vorbereitung, Nachbereitung, die ein bestimmtes strategisches Ziel verfolgt und das dann halt eben bis zum Ende durchführt. Bei Flame zum Beispiel, das wäre auch eine Operation gewesen, das war ja ein Spionagevirus, der mehrere Jahre im Mittleren Osten viele Dinge getan hat.

Und davon 231 zu sehen, zu vermuten, die müssen ja da sein irgendwo, das ist schon eine erschreckend hohe Zahl, zu wie viel die in der Lage sind. Und was vor allem interessant ist an dieser Zahl, ist, dass wir nicht eine einzige davon gesehen haben. Also, das war auch für mich ein ganz starker Indikator dafür, wie furchtbar schlecht unsere IT-Sicherheit ist. Und unsere ganzen Detektionskonzepte, die wir haben, wir haben einfach überhaupt gar nichts davon mitbekommen.

Deutschlandradio Kultur: Entweder ist die Abwehr sehr schlecht oder die Angriffe sind sehr schlecht und haben gar nicht funktioniert.

Sandro Gaycken: Nö, die Angriffe sind sehr, sehr gut. Schlechte Angriffe erkennt man daran, dass man sie erkennt. Wenn da 231 Operationen stattgefunden haben und wir haben die nicht gesehen oder wir haben sie vielleicht gesehen und haben sie für irgendwelche Cyberkriminalität gehalten oder so was, dann ist das ein Indikator dafür, dass da sehr hochqualifizierte Geschichten passieren. Und das überrascht uns aber auch gar nicht. Wir wissen, dass die Fähigkeiten sehr gut sind. Und wir wissen auch, dass unsere ganzen Konzepte für IT-Sicherheit und Detektion extrem schlecht sind. Von daher passt es eigentlich genau ins Bild.

Deutschlandradio Kultur: Das sind Angriffe, die von Staaten, von Geheimdiensten durchgeführt werden. Nun gibt es natürlich auch das Gegenstück, nichtstaatlicher Terrorismus, der da möglich wäre.

Wir sprechen davon, dass zurzeit bei uns alles immer stärker vernetzt wird. Ganze Häuser sollen vernetzt sein. Das ist dann sehr bequem. Da kann ich dann unterwegs schon per Smartphone zu Hause die Heizung einschalten oder gucken, ob der Herd auch wirklich aus ist.

Sandro Gaycken: Wer auch immer das braucht.

Deutschlandradio Kultur: Wer auch immer das braucht, okay. Aber es scheint ja zu kommen alles. Und die Stromnetze sollen immer intelligenter werden. Und intelligente Stromzähler sollen alles Mögliche regeln können.

Was sind das für Szenarien, die Sie da befürchten in diesem Bereich, wenn sich da jemand rein hacken sollte?

Sandro Gaycken: Ja, die sind noch ein bisschen unterbeforscht. Bei diesen ganzen Industrie 4.0- und Smart-Car-usw.-Geschichten haben wir das Problem, dass es noch relativ junge Konzepte sind. Andererseits finde ich es gar nicht so verkehrt. Denn man hat mit diesen Zukunftskonzepten, die ja jetzt kommen in den nächsten Jahren, die Gelegenheit, auch was richtig zu machen. Wenn man also jetzt erstmal die Probleme von gestern löst und dann werden an der anderen Seite schon die Probleme von morgen gebaut und dann sind dass irgendwann die Sachen, die man lösen muss, ist es ja eigentlich unklug. Und von daher rate ich auch den deutschen Maschinenbauern gerade sehr intensiv, dass die also gleich in diese ganze Konzepte – Industrie 4.0, Smart-Car, Smart-City – eine richtig solide Sicherheit einziehen, um dann halt später auf einem ganz anderen Problemlevel zu stehen, wenn sie das ausrollen.

Deutschlandradio Kultur: Also nicht erst ein bequemes Produkt entwickeln und dann im Nachhinein gucken, wie kriege ich es sicher, sondern es von Anfang an sicher planen. – Das ist ja eine Forderung, die Sie öfter aussprechen. Sie sprechen gerade von Hochsicherheits-IT. Neulich las ich noch einen Text von Ihnen, da schrieben Sie sogar: "Werft eure Computer weg. Wir müssen das eigentlich alles wegwerfen und neu erfinden."

Früher haben wir auch gedacht, die Verschlüsselungsmöglichkeiten, die wir haben, sind sicher. Jetzt seit einem Dreivierteljahr wissen wir als Normalsterbliche, sie sind nicht sicher. Sie wussten es vielleicht schon ein bisschen früher. Wie kommen Sie darauf, dass wir in der Lage sind, Computer zu entwickeln, von denen wir nicht nur glauben, dass sie sicher sind, sondern die es dann wirklich sind?

Diese Sicherheitslücken in Produkten

Sandro Gaycken: Na, sicher ist natürlich nie absolut sicher. Aber wir können zumindest Computer entwickeln, die so sicher sind, dass die Kosten und Risiken, um die anzugreifen, wieder so groß sind wie in den 80ern. Und wenn die wieder so groß sind wie in den 80ern, dann haben wir das Problem auch auf die Größe zurückgestutzt. Dann haben wir halt eben nicht 230 Operationen pro Land weltweit und massenhafte Industriespionage überall, sondern dann haben wir sporadische einzelne Fälle, die dann natürlich wesentlich geringe Schäden insgesamt verursachen.

Und das kann man machen, weil die IT, so wie sie jetzt existiert, einfach auch wirklich bahnbrechend unglaublich unsicher ist. Man hört ja eigentlich immer nur mal alle paar Wochen: Angriff hier entdeckt oder eine Sicherheitslücke da, BSI warnt. Und dann denkt man, na ja gut, diese Sicherheitslücken in Produkten, da gibt’s halt so ein paar Dutzend und ab und zu wird mal eine entdeckt und ausgebeutet von Angreifern.

Aber das ist nicht so. In jedem normalen Computer mit einem Betriebssystem und einer Reihe von Softwaretreibern und Hardware drin sind ein paar Hunderttausend von solchen Sicherheitslücken. Und auch in jedem Industriegebäude, auch in den Smart-Cars usw. sind also einige Zigtausend bis Hunderttausend von diesen Sicherheitslücken drin. Die sind einfach zustande gekommen durch die hohe Komplexität der Software, durch die schlechten Entwicklungsmethoden usw., durch dieses ganze Geschraube, dass man alles irgendwie aneinander bastelt.

Deutschlandradio Kultur: Trotzdem verstehe ich noch nicht ganz. Sie sagen jetzt, man muss das irgendwie gründlicher machen und neu denken. Aber wie kann ich denn einen Computer so komplett neu entwickeln – von der Hardware angefangen, über die Software, dass er eben gar nicht so risikoanfällig ist?

Sandro Gaycken: Wir machen die einfach extrem klein. Das ist genau der Ansatz, dass man diese Komplexität wieder extrem zurückstuft und die Entwicklung sehr, sehr sauber macht. Das sind so zwei Konzepte, die man hat.

Deutschlandradio Kultur: Nutzt die europäische, die deutsche Industrie jetzt diese Gelegenheit, dass amerikanische Anbieter so in Verruf geraten sind, und baut jetzt neue sichere IT?

Sandro Gaycken: Absolut. Da gibt’s viele Unternehmen, die jetzt auf Made in Germany reiten. Auch die großen Unternehmen sind wach geworden. Das ist jetzt gerade mein Hoffnungsträger. Also, die großen Maschinenbauer, die großen IT-Unternehmen, Telekommunikationsunternehmen. Die haben jetzt aber erstmal so gesehen, dass auch sie extrem abhängig sind von amerikanischen Komponenten, die prinzipiell alle unterwandert sein können.

Deutschlandradio Kultur: Weil es zum Beispiel gar keine deutschen Netzwerktechnik-Anbieter gibt?

Sandro Gaycken: Es gibt keine deutschen Anbieter einfach. Man ist einfach radikal abhängig von amerikanischen und chinesischen Hardwarekomponenten. Und auch das meiste an Betriebssystemen und Software ist alles irgendwie aus den beiden Ländern. Und das sind eben beides Länder, die haben ihr Vertrauen verspielt.

Das heißt, wenn ich jetzt als deutscher Maschinenbauer meine Autos weiter bauen will, meine Flugzeuge, meine Infrastrukturen, eine Smart-City vielleicht bauen will und ich will, dass das auch schönes properes German Engineering ist, dann kann ich das nicht mehr mit diesen Herstellern machen. Das ist so ein Kerninteresse, das die gerade haben. Und von da aus wollen die dann natürlich auch mit deutschen IT-Produkten in einen Exportmarkt.

Das wird noch ein bisschen länger dauern, weil das natürlich die großen Tanker sind bei uns. Und die brauchen immer eine Weile, bis die so was haben. Aber das wird dann natürlich viel verändern können.

Angela Merkel im Bundestag (dpa / picture-alliance / Maurizio Gambarini)

Deutschlandradio Kultur: Das Kabinett Merkel ist dieser Tage auch in Paris gewesen und man hat darüber gesprochen, dass man vereinbaren will, gemeinsam Schlüsseltechnologien zu begleiten, zum Beispiel Cloud-Technologien, Big-Data-Technologien etc. – Was sollte die Bundespolitik ansonsten noch tun? Haben Sie das Gefühl, dass da die ganze Problematik schon so richtig angekommen ist?

Sandro Gaycken: Ja und nein. Also, bei denen ist angekommen, dass sie was tun müssen. Aber es ist nicht allen klar, was sie tun müssen. Das ist ein bekanntes Problem. Das größere Problem, das wir überhaupt in diesem Bereich haben, ist, dass die Ingenieure, die Fachexperten also für die technischen Fragen, alle vertikal denken. Das heißt, die haben ihre Lieblingstechnologie, mit der sie groß geworden sind. Es gibt keine Generalisten, weil das Feld einfach zu komplex ist. Jeder hat so seinen Liebling. Und von da aus denkt der dieses ganze Problem und denkt auch alle Lösungen.

Das heißt also: Egal, welchen Ingenieur Sie fragen, er wird Ihnen was anderes vorschlagen und auch ein anderes Problem erzählen. Das ist ein ganz schlechtes Signal natürlich für die Politik. Die versuchen sich dann zu informieren und reden mit den 20 berühmtesten Ingenieuren. Und die erzählen ihnen 30 verschiedene Sachen, die sie jetzt machen sollen, und sagen auch alle, dass die anderen total Unrecht haben und die sollen bloß nicht mit denen reden.

Dann weiß ich natürlich überhaupt nicht, was ich tun soll.

Deutschlandradio Kultur: Dann versuchen wir es doch mal, Sandro Gaycken, mit der 31. Lösung. Was schreiben Sie denn der Bundesregierung ganz oben auf die Agenda?

Sandro Gaycken: Zwei Dinge, die ich eigentlich ganz einfach finde und die auch dieses Problem adressieren mit den Ingenieuren. Mir gehen die auch furchtbar auf die Nerven.

Der erste Weg ist, dass wir uns erstmal in Ruhe die Risiken ansehen und die Effizienz von Sicherheitsmaßnahmen dagegen prüfen. Das heißt, wir würden jetzt erstmal eine Runde aussetzen am Markt und darüber nachdenken, was wir eigentlich brauchen. Das wäre sehr deutsch und würde uns sehr gut zu Gesicht stehen. Und ich kann auch fest versprechen, dass wir dann in einem Jahr zwar später wären, aber immer noch die Ersten, die eine vernünftige Lösung anbieten. – Alles, was jetzt so schnell rausgehauen wird von den Ingenieuren, das ist ja alles Gebastel und funktioniert ja alles nicht, hat ja alles in den letzten Jahrzehnten auch nicht funktioniert. Sonst wären wir ja nicht in der Situation.

Der zweite Ansatz, den man fahren kann, wäre, dass man einfach das Problem von oben nach unten versucht zu lösen und versucht, die höchsten Risiken als erste zu adressieren und die besten Sicherheitsideen, die wir in der Forschung haben und vielleicht auch schon ein bisschen im Markt haben, zu bündeln und daraus Hochsicherheitsprodukte zu bauen.

Da gibt es jetzt schon eine ganze Reihe von Sachen, die man jetzt einfach abfischen, abgreifen könnte und aus denen man schon mal was basteln könnte. Und wenn man damit dann in den Markt geht und versucht, auch Anwendungsfelder zu finden, diese ökonomisierbar zu machen, das wäre auch ein guter Ansatz.

Deutschlandradio Kultur: Nun sind Sie wieder bei der Industrie. Ich versuche nochmal auf die Regierung zurückzukommen. Oder haben Sie die als Partner schon komplett aufgegeben, weil…

Sandro Gaycken: Die haben kein Geld. Das Problem ist, das sind alles Projekte, die sind alle ein bisschen teurer.

Deutschlandradio Kultur: Und ist die Regierung für Sie da überhaupt ein verlässlicher Partner angesichts einer Geschichte, in der schon an Staatstrojanern gebaut wurde und dergleichen?

Sandro Gaycken: Ja, ja. Wir müssen natürlich gucken, dass unser BND nicht so was macht wie die NSA, also, so breit in Bauteile komplett Sachen einbauen, Hintertüren einbauen oder so was, das wäre natürlich tödlich für unsere Industrie. Das dürfen wir nicht tun.

Deutschlandradio Kultur: Trotzdem, wenn Sie ja für Computertechnologie werben, die neu entwickelt werden soll, die von sich aus schon mal deutlich sicherer ist, hat denn die Bundesregierung wirklich ein Interesse da dran, weil es dann natürlich auch für sie schwieriger wird?

Sandro Gaycken: Es gibt diese Diskussion durchaus. Da geht’s jetzt gar nicht um Bürger, sondern mehr so um Terroristen…

Deutschlandradio Kultur: Das ist ja oft schwierig, die auseinanderzuhalten.

Sandro Gaycken: Ja. Das ist eine Erfahrung, die haben wir in diesem Bereich. Die Kriminellen und die Terroristen sind die Ersten, die sich die besten IT-Sicherheitslösungen kaufen. Die machen auch eigene Entwicklungen teilweise und haben so hochsichere Superrechner irgendwo stehen. Da kommen wir lange nicht ran. Von daher ist das natürlich immer eine Sache, die man mit bedenken muss, aber bei uns ist zum Beispiel ganz klar in Deutschland mit der ganzen Industrie, die wir haben, der hohen Abhängigkeit von IT, dass wir also wesentlich mehr durch unsichere IT zu verlieren haben, als zu gewinnen. Das ist also ganz, ganz klar. Von daher dürfte strategisch ganz klar sein, dass wir ein sehr hohes Interesse an hochsicheren IT-Strukturen haben.

Alles andere als sicher: das Schreiben von Nachrichten per Handy. (picture alliance / dpa)

Deutschlandradio Kultur: Herr Gaycken, wir haben das Gespräch begonnen mit der Frage, ob Sie ein Smartphone haben. Sie haben eins. Sie benutzen es aber nur für private Dinge und nicht für hochsichere wichtige Gespräche. Glauben Sie, es kommt der Tag, wann kommt der Tag, an dem Sie mit Ihrem Handy auch solche sicherheitsrelevanten Dinge besprechen werden können?

Sandro Gaycken: Also, das wird mir nicht passieren. Wenn jemand mit mir sicherheitsrelevante Dinge besprechen will, dann muss der sich mit mir treffen. Und wenn er versucht, das am Handy zu bequatschen, dann würde ich auflegen. Das hat aber auch noch keiner versucht. Alle, die da in diesem Bereich arbeiten, die wissen natürlich genau, was die Dienste können. Die wissen auch, dass insbesondere wir Berater natürlich intensiv abgehört werden. Von daher sind wir da nicht so naiv.

Deutschlandradio Kultur: Also, dieser Weg wird nie dahin führen, dass Sicherheit rundum vorhanden ist.

Haben Sie vielen Dank, Herr Gaycken.

Sandro Gaycken: Gerne.