Interview„Was im Internet der Dinge passiert, ist Irrsinn“

Jeff Moss
Jeff MossGetty Images


Jeff Moss ist ein Veteran der Hacker-Szene und ein Kämpfer für Sicherheit im Internet. Der 43-Jährige gründete einst die legendären Hacker-Konferenzen Black Hat und Defcon. Heute arbeitet er als Sicherheitsberater für Unternehmen, die ihre IT-Systeme testen lassen wollen. Capital sprach mit Moss am Rande der Munich Cyber Security Conference in München.



Capital: Hat sich am Umgang mit Sicherheit im Internet etwas geändert?

Jeff Moss: Nein, nichts. Wir stellen immer noch genau die gleichen Fragen. Der einzige Unterschied besteht darin, dass diese Fragen jetzt auf einer etwas höheren politischen Ebene gestellt werden. Auch ich sage eigentlich seit Jahrzehnten die gleichen Dinge.

Warum?

Es ist ein bisschen wie bei Autos. Die Mechaniker sind halt immer noch die selben. Die Dinge haben sich beschleunigt, sie werden komplexer, aber im Grunde haben wir immer noch die gleichen Probleme.

Aber werden diese Probleme nicht größer?

Früher stand nicht so viel auf dem Spiel. Es ging noch nicht um Bankkonten oder komplette Pensionsfonds, die angegriffen werden konnten. Heute aber geht es um ungeheure Werte. Um Lebensgefahren, wenn man an Autos denkt. Um persönliche Daten. Die größte Gefahr liegt meiner Ansicht nach übrigens gar nicht im Diebstahl von Informationen, sondern darin, dass Informationen manipuliert werden. Geänderte Gesundheitsdaten, Daten zur Kreditwürdigkeit einzelner oder ähnliches. Und das passiert schon. Oft, ohne dass es die Leute merken.

Reagieren die Regierungen denn auf diese Gefahren?

Einige unserer Führungskräfte verstehen allmählich, was passiert. Die Antworten auf die Probleme sind immer noch ziemlich vermurkst. Aber an der Grundhaltung ändert sich etwas. Früher hörte man oft: Wir werden all unsere Systeme schützen. Heute heißt es: Wir können nicht alles schützen, was also können wir tun? Das ist ein Fortschritt.

Das heißt, man muss sich entscheiden, was wirklich geschützt werden muss?

Ja. Das gilt übrigens auch für Unternehmen. Es lässt sich nicht jeder Hackerangriff verhindern. Was man verhindern kann, ist, dass diese Angriffe alles lahm legen.

Was wäre das wichtigste, das Regierungen tun könnten, um das Netz sicherer zu machen?

Es gibt ein paar Dinge, die wirklich etwas ändern würden. Zum einen geht es um juristische Verantwortung für die Anbieter von Geräten oder Plattformen. Das muss kommen. Die Software-Industrie ist die einzige Branche der Welt, die sich um Verantwortung bisher keine Gedanken machen muss. Außer Religionsgemeinschaften vielleicht. Im Grunde ist die Verantwortung bisher auf den Preis der Software beschränkt, die ein Kunde erwirbt. Ein paar Hundert Dollar. Und das wird sich ändern.

Warum sind sie da so sicher?

Erstens: Heute ist jedes Ding ein Computer. Autos, Flugzeuge und alles andere sind Rechenzentren – und die müssen schon die Konsequenzen ihrer Operationen tragen. Warum also sollte das bei anderen Datenzentren nicht auch gelten?

„Beim ersten Hausbrand durch einen vernetzten Toaster wird es Klagen geben“

Also wird es neue Gesetze geben?

Es ist doch klar, was passiert: Sobald ein vernetzter Toaster zu einem Hausbrand führt, wird es Zivilklagen gegen den Verkäufer geben. Und wenn genug solcher Zivilklagen zusammen kommen, dann wird das Recht verändert. Und dann werden Forderungen aufkommen, dass die Regierung etwas tun muss. Wichtig ist aber auch etwas anderes: Es gibt etwa 20 Unternehmen, die wirklich etwas ändern würden, wenn sie ihre Anlagen und Geräte sicherer machten. Dazu gehören die großen Anbieter von Netzinfrastruktur. Cisco, Apple, Microsoft, Belkin und andere. Wenn sich dort etwas ändert, wird das allen helfen. Bei Microsoft hat es da übrigens schon eine sehr positive Entwicklung gegeben.

Es wird damit auch deutlich teurer für die Hersteller dieser Geräte.

Oh ja, das wird eine große Belastung werden. Wir wissen nur noch nicht, wie groß.

War nicht die Freiheit der IT-Industrie von Verantwortung auch ein Treiber der Digitalisierung, weil sie den Fortschritt beschleunigt hat?

Das kann man so sehen. Natürlich hat das dazu beigetragen, dass die Vorteile sehr rasch genutzt werden konnten. Aber jetzt wird dieses System untergraben. Dieses Modell kann nicht weiter bestehen, weil es mittlerweile um so viel geht. Wir sind immer noch in der Säuglingsphase, was Software angeht. Aber wir werden für die nächsten 1000 Jahre mit ihr zu tun haben.

Ist es nicht schon zu spät? Es sind schon Millionen von Internet-fähigen Geräten im Einsatz, die fast gar nicht geschützt sind. Im so genannten Internet der Dinge.

Zumindest wird es Jahrzehnte brauchen, bis wir diese Sicherheitslücken gestopft haben. Die Kosten, diese Geräte sicher zu machen, sind oft größer als der ursprüngliche Kaufpreis. Das ist Irrsinn. Bevor Medikamente auf den Markt kommen, müssen sie aufwändige Prüfungen durchlaufen. Aber internetfähige Geräte, die eventuell Kraftwerke lahmlegen können, werden einfach so auf den Markt geworfen. Bei vielen Herstellern ist die Grundeinstellung ab Werk die unsicherste, und der Kunde muss das aktiv ändern. Es müsste genau umgekehrt sein.

Weisen Sie die Hersteller darauf hin?

Ich habe neulich einen Anbieter genau dazu aufgefordert. Und wissen Sie, was er antwortete? „Die Kunden haben nicht danach gefragt.“ Das ist absurd. Meine Mutter musste auch nicht auf den Gedanken kommen, dass ein Auto vielleicht einen Airbag brauchen könnte, sondern die Hersteller haben ihn entwickelt. Nur im IT-Geschäft verkaufen die Firmen Produkte, die nicht einmal die Mindestanforderungen an Sicherheit erfüllen.