IT-Unternehmen, Krypto-Fachleute, Hacker und selbst (ehemalige) Behördenvertreter sind sich einig: Regierungen haben von kryptografischen Verfahren die Finger zu lassen. Hintertüren sind Teufelszeug, so der Tenor auf der RSA Conference 2016. Außerdem rät RSA IT-Spezialisten zur Fortbildung: „Jäger“ seien derzeit gefragt.

Selten sah man sonst rivalisierende Unternehmen wie Apple, Microsoft oder RSA thematisch so harmonisch vereint mit Experten und Hackern. Geht es um den Streit zwischen der IT-Industrie – derzeitiger Protagonist: Apple – und Strafverfolgern wie dem FBI, sind sich alle einig: Das absichtliche Schwächen kryptografischer Verfahren mittels Hintertür wäre ein Sündenfall. Brad Smith, President und nach Satya Nadella zweiter Mann bei Microsoft, verteidigte in seiner Keynote Apples Weigerung, dem FBI im aktuellen Fall eines zu entschlüsselnden Iphones zuzuarbeiten. Von Regierungen verordnete Hintertüren in Software bezeichnete er als „Eingangstor zum Pfad hinab in die Hölle“.

 

„Atemberaubend töricht“ nennt RSA-Boss Amit Yoran – selbst einst in Diensten der US-Regierung als Cyber-Sicherheitschef der Heimatschutzbehörde DHS (Department of Homeland Security) – die Überlegungen, Kryptografie per Dekret zu schwächen. Denn ohne starke Verschlüsselung ließe sich keine Infrastruktur wirksam schützen. Ein wenig überraschend war, dass auch Michael Chertoff diese Ansicht vertritt. Er war einst Chef des DHS und ist einer der Verfasser des Patriot Acts, der als Grundlage für diverse Überwachungsmöglichkeiten der US-Regierung dient.

 

Laut Yoran fängt man mit Krypto-Hintertüren ohnehin nur Gelegenheitskriminelle: Terroristen oder ausländische Nachrichtendienste würden sich keinesfalls auf derart geschwächte Verfahren verlassen. Dass sein eigener Arbeitgeber jahrelang einen vom Nachrichtendienst NSA geschwächten Zufallszahlengenerator Dual_EC_DRBG einsetzte und dafür wahrscheinlich zehn Millionen Dollar einstrich, erwähnte Yoran dabei mit keinem Wort.

 

Diesen Zufallszahlengenerator nahm Verschlüsselungsfachmann Moxie Marlinspike dann auch als Beispiel dafür, dass Backdoors wahrscheinlich nicht nur von dem genutzt werden, der sie eingebaut hat. Denn Netzwerkhersteller Juniper verwendete Dual_EC_DRBG in verschiedenen Produktfamilien. Missbraucht wurde die Hintertür laut Marlinspike aber nicht von der NSA, sondern sehr wahrscheinlich von einem bislang unbekannten Mitspieler.

 

Immer wieder war während der RSA Conference die Rede davon, dass IT-Abteilungen in Unternehmen mehr „Jäger“ benötigen. Gemeint sind Mitarbeiter, die nach dem – unvermeidlichen – Eindringen von Kriminellen möglichst rasch den Schaden abschätzen und die Einfallstore schließen können. Interessanterweise stieß auch Amit Yoran in dieses Horn: Er warnte davor, sich beim Schutz von Unternehmensnetzwerken einzig auf Technik zu verlassen; auch die von RSA während der Messe vorgestellten neuen Schutzkomponenten seien kein Allheilmittel.

 

Diese unterziehen Daten mithilfe künstlicher Intelligenz (KI) einer Verhaltensanalyse und sollen so auf Ungewöhnliches im Datenverkehr aufmerksam machen. Beeindruckend sei zwar etwa der Sieg gegen den Europameister im Brettspiel Go, den Googles Alphago dank Deep-Learning-Unterstützung erzielte; für IT-Sicherheitszwecke reiche KI allein jedoch nicht aus, so Yoran. Denn Go erlaube zwar unfassbar viele verschiedene Züge, basiere aber auf überschaubaren Regeln, an die sich Mensch und Maschine halten müssen.

 

Bei IT-Angriffen gelten jedoch keine Regeln, sodass Technik allein nicht die Lösung sein könne: „Unsere Feinde schlagen uns nicht, weil ihre Technik besser ist. Sie schlagen uns, weil sie kreativer, geduldiger und zäher sind“, so Yoran. Es helfe daher nur, wenn menschliche Analysten im Unternehmen der Technik zur Seite stehen. Von diesen Fachleuten gibt es aber zu wenig: Laut Intels Security Group fehlen allein in den USA derzeit 200.000 solcher Sicherheitsexperten, bis 2020 sollen es weltweit zwei Millionen sein.

 

Es sei an der Zeit, sich die Experten selbst heranzuziehen – oder ihnen „zumindest nicht im Weg zu stehen“, so Yoran. Damit meint er, dass Menschen von Natur aus neugierig sind. Würde ihnen ihr Arbeitgeber ein Umfeld schaffen, in dem sie ihrer Neugier nachgehen können, dann würden sie sich zu den benötigten Jägern entwickeln. Unternehmen, deren Sicherheitsprogramme hingegen aufs Einhalten von Compliance ausgerichtet sind, „gehen die Sache falsch an“, so Yoran. Eine solche Kultur würde keine Freidenker anlocken oder hervorbringen. Neben den Investitionen in Technik gelte es daher auch, in Menschen zu investieren.

 

„Unsere Feinde schlagen uns nicht, weil ihre Technik besser ist. Sie schlagen uns, weil sie kreativer, geduldiger und zäher sind“, so RSA-Chef Amit Yoran. Bild: Uli Ries