Das neue Buch von Bruce Schneier, einem der weltweit bekanntesten Cybersicherheits-Experten, wirft ein verstörendes Licht auf den Status quo der IT-Security. Der Titel "Click here to kill everybody" bezieht sich auf Schneiers These, wonach IT und die physische Welt mittlerweile untrennbar miteinander verschmolzen seien. Menschen gingen nicht mehr online, sie lebten bereits rund um die Uhr im Internet. Wer es schaffe, die Cyberwelt abzusichern, der schütze zunehmend auch die Welt der physischen Gegenstände - wodurch umgekehrt IT-Schwachstellen lebensgefährliche Folgen haben könnten.
Eine Frage des Ortes
Schneiers Punkt ist nicht abwegig. Die Risiken durch IT vervielfältigen sich mit ihrer Durchdringung der physischen Welt. Es ist ein Unterschied, ob schlechte IT-Sicherheit dazu führt, dass eine Excel-Tabelle abstürzt und Daten verlorengehen oder ein Auto einen Unfall baut und Menschen sterben. Die Fehlerquellen sind laut Schneier aber identisch: Es werden dieselben CPUs und Applikationen verwendet mit denselben Schwachstellen. Der neue Einsatzort des Computers mache die Angriffsfläche aber potenziell lebensgefährlich.
Dennoch werde Cybersicherheit oft immer noch so behandelt, als gehe es nur um eine Excel-Tabelle. Darin liege ein großes Problem. Um es zu lösen, müsse in Politik und Wirtschaft angesetzt werden.
Regierungen müssten handeln - aber wollen sie das auch?
"In den vergangenen 150 Jahren gab es keine Industrie, die die Funktions- oder Informationssicherheit von Produkten ohne Druck von Seiten der Regierung verbessert hätte," argumentiert Schneier. So wehrten sich beispielsweise US-amerikanische Automobilhersteller lange dagegen, ihre Fahrzeuge standardmäßig mit Sicherheitsgurten auszuliefern. Erst als das Buch "Unsafe at any speed" (1965) von Verbraucherschutzanwalt Ralph Nader Aufmerksamkeit im amerikanischen Kongress erregte, wurden die Gesetze geändert und die Hersteller mussten Gurte einbauen.
Ist es also Aufgabe des Gesetzgebers, Cybersicherheit ganz oben auf die Agenda zu nehmen? Tatsächlich geschieht das bereits. Initiativen wie die DSGVO gehen in diese Richtung, treffen aber noch nicht ins Schwarze. Die neue Verordnung verlangt zumindest von Unternehmen, ihre IT, die personenbezogene Daten verarbeitet, nach dem "Stand der Technik" abzusichern. Allerdings ist noch unklar, was dieser Stand genau umfasst. Zudem trifft es hier Anwenderunternehmen und nicht die Hersteller. Eine verbindliche Haftung für Softwareprodukte existiert noch nicht, obwohl sie seit Jahren gefordert wird.
Schneier glaubt, dass Regierungsbehörden unsichere Systeme wünschen, um Bürger auszuspionieren. So habe der US-Auslandsgeheimdienst NSA seit Jahrzehnten die Sicherheit des Internet-Protokolls unterminiert. Die Behörde glaubte, ihre Attacken geheim halten zu können, um sie exklusiv gegen Feinde benutzen zu können. Diese "Keiner-außer-uns"-Strategie sei jedoch unwirksam.
Zum einen hätten in den letzten Jahren auch andere Organisationen diese Schwachstellen gefunden und ausgenutzt. Zum anderen verwendeten fast alle auf der Welt dieselbe Internet-Hard- und Software. Das bedeute, dass alles, was an Sicherheitsvorkehrungen unterlassen werde, alle Beteiligten betreffe - vermeintliche Terroristen ebenso wie die eigenen Staatsbürger. Gleiches treffe auf die vom FBI geforderten Backdoors bei der Verschlüsselung zu. Bekannte Schwachstellen offenzulassen sei also genau das Gegenteil dessen, wofür Regierungen eigentlich da sein sollten: ihre Bürger gegen Gefahren abzusichern.
Es braucht einen Paradigmenwechsel
Schneier verlangt, dass die Behörden sich wieder auf ihre wesentliche Aufgabe konzentrieren. Sie müssten IT-Security ernstnehmen und Infrastruktur lückenlos sicher machen, anstatt Lücken für Kontrollzwecke zu lassen. Alles andere könne in einer komplett vernetzten Welt Menschenleben kosten.
Damit die Regierung das verstünde und entsprechend handeln könnte, müssten sich Politiker und IT-Experten annähern. "Alle großen Probleme der nächsten hundert Jahre werden zutiefst technologisch sein," konstatiert Schneier. Daher müssen die Gesetzgeber Technologie verstehen. Diejenigen, die Technologie schaffen, und diejenigen, die sie regulieren, müssen sich gegenseitig verstehen, damit Sicherheit zum Standard wird.
Auch auf Seiten der Technologiehersteller müsse ein Umdenken stattfinden. Im Silicon-Valley gilt heute laut Schneier oft noch das Mantra "Move fast and break things". Es bedeutet, dass Fehler in technologischen Innovationsprozessen nicht nur toleriert, sondern sogar erwünscht sind. Schneier glaubt, dass diese Einstellung in einer Welt, in der IT-Fehler über Leben und Tod entscheiden können, nicht mehr haltbar sein werde. Haftungsthemen bei Software würden an Bedeutung gewinnen. Dazu führt er aus: "Wenn Software in den Kühlschrank wandert, glaube ich nicht, dass die Haftung für das Gerät verschwindet." Wenn also Software in Dinge übergeht, die bereits reguliert sind, müssten die Vorschriften auch die Software umfassen.
Eine neue Rolle als Schnittstelle
Damit die Verständigung zwischen Regierung und Technologieschaffenden funktioniert, schlägt Schneier eine neue Rolle vor: den "Public-interest technologist". Damit meint er Personen, die Brücken zwischen Regulierungsinstanzen und Behörden sowie Technikern bauen. So sollen Wirtschaft und Regierung schließlich ein stärkeres Cyber-Verantwortungsbewusstsein entwickeln.
Unternehmensunabhängige Initiativen wie Google Zero Labs und die übergreifende Zusammenarbeit von Unternehmen und Behörden, um das allgemeine Sicherheitsniveau zu erhöhen, weisen bereits in die richtige Richtung. Vielleicht ist die Lage ja doch nicht so düster, wie Bruce Schneier es in seinem Buch beschreibt. Die guten Ansätze müssen aber von allen Beteiligten gemeinsam weitergedacht und ausgebaut werden, damit der tödliche Klick nicht zur Realität wird.