«Die NSA hat das Vertrauen in die IT-Industrie aufs Spiel gesetzt»

Bruce Schneier gehört zu den profiliertesten Security-Spezialisten, nicht zuletzt wegen seiner technisch fundierten Analyse der NSA-Dokumente von Whistleblower Edward Snowden. Computerworld hatte Gelegenheit am Rande der Kundenveranstaltung IT-Security Inside #14 des Schweizer Sicherheits-Dienstleisters und –Integrators Avantecin Zürich mit Schneier zu sprechen.

Bruce Schneier: Erst einmal muss ich konstatieren, dass die USA eine spezielle Definition von Spionage hat, die sich vom Rest der Welt unterscheidet. Die US-Regierung behauptet, dass sie keine kommerzielle Industriespionage betreibt. Sie meint damit, dass sie keine ausländischen Firmen aushorcht und die Informationen an inländische Konkurrenten weiterleitet. Sie gibt aber zu, Wirtschaftsspionage zu betreiben. Damit ist gemeint, dass sie ausländische Firmen abhört, um in Verhandlungen von Handelsabkommen und in internationalen Standardisierungsgremien der US-Konkurrenz einen Vorteil zu verschaffen. Ich weiss, man kann mit Fug und Recht behaupten, dass das dasselbe ist. Aber die US-Regierung macht diese Unterscheidung.

Schneier: Hier gibt es zwei Antworten, weil es grundlegend zwei Angriffsmuster gibt. Zum einen gibt es die sogenannten APT-Angiffe, die sehr gezielt geschehen und mit sehr viel Aufwand und Know-how durchgeführt werden. Gegen diese Attacken gibt es wenig Schutz, besonders wenn man einen Gegner hat wie die NSA mit sehr grossen Ressourcen. Wenn sie beschliesst, sie muss und will ein Ziel angreifen, tut sie dies. Dagegen kann man sich sehr wohl gegen die breit angelegte Sammelwut der NSA schützen, indem man seine Kommunikation verschlüsselt. Wenn die Snowden-Papiere etwas gezeigt haben, dann auch, dass Verschlüsselung funktioniert. So wurden viel mehr Webmail-Daten von Yahoo-Nutzern gesammelt als von Gmail-Usern, obwohl Gmail zehn Mal mehr Anwender hat. Der Grund ist simpel: Zu dem Zeitpunkt wurden die Verbindungen zu Gmail bereits standardmässig mit SSL kodiert und bei Yahoo-Mail nicht.

Schneier: Das ist die entscheidende Frage. Genau hier hat die NSA das Vertrauen nicht nur in die IT-Security- sondern in die ganze Internet-Branche aufs Spiel gesetzt. Zu keinem Zeitpunkt haben wir geglaubt, dass Security-Produkte hundertprozentige Sicherheit bieten und nicht gehackt werden könnten. Wir haben aber sehr wohl geglaubt, dass die Software und Hardware mit den besten Absichten hergestellt wurde. Entweder sie konnte einen schützen oder sie war nicht gut genug und war dann weniger brauchbar. Was wir uns aber nicht vorstellen konnten, war, dass die USA Produkte regelrecht requiriert und bewusst Vulnerabilitäten eingebaut haben. Sie haben Hersteller wie Microsoft dazu verdonnert, Skype unsicher zu machen und niemandem etwas davon zu sagen. Jetzt wissen wir, dass wir niemandem vertrauen dürfen – mit verheerenden Folgen für die Industrie, die zurecht verärgert ist. Diverse Hersteller beklagen Umsatzeinbussen. Und die Cloud Alliance, eine Vereinigung der US-Cloud-Anbieter, beklagt, dass ihre Dienstleistungen weniger nachgefragt werden. Das ist ein schwieriges Problem. Inzwischen wehrt sich die Industrie. John Chambers hat Präsident Obama eine Brief geschrieben und sich über die Machenschaften beschwert.

Schneier: Klar, alles hat einen Einfluss, aber nichts wird alles verändern. Nie wird ein einziger Brief oder eine einzige Protestaktion für Änderungen sorgen, aber alles wird helfen, schlussendlich Veränderungen herbeizubringen.

Schneier: In Randbereichen ja, aber grundlegend sehe ich keine Änderungen. Das tönt alles sehr ernüchternd.

Schneier: Klar, nicht kurzfristig aber langfristig. Dieser Skandal ist zwar schlimm aber nicht das Ende unserer Gesellschaft. Deshalb wird es Gesetze und moralische Standards geben, die hier eingreifen werden. Aber Veränderungen und Verbesserungen brauchen ihre Zeit. Und wir haben noch einen langen Weg vor uns, auf dem wir die Unterstützung Aller brauchen. Deshalb auch meinen Rat an alle Anwender, die ihre Privatsphäre gefährdet sehen: Werden Sie politisch aktiv, denn es handelt sich hier um ein politisches Problem. Nächste Seite: «Auch die Schweiz könnte NSA-Methoden anwenden» Durch die NSA-Files sind deren Methoden nun bekannt.

Schneier: Natürlich. Wobei: Die Techniken der NSA waren nichts Spezielles. Das ist eines der für mich erstaunlichsten Ergebnisse des Skandals. Die NSA hat vielleicht das grösste Budget auf dem Planeten, aber deren Mitarbeiter sind keine Magier. Die Technologie wurde schon weltweit von Forschern, von Hackern, von Kriminellen, von anderen Regierungen verwendeten. Die grossen NSA-Tools sind dieselben, die alle anderen auch haben. Somit ist klar: Technisch gesehen hätte die Schweizer Regierung schon vor zwei oder fünf Jahren ähnliche Überwachungstätigkeiten durchführen können, denn Hacker taten genau dies.

Schneier: Ja, wir sind ziemlich sicher, dass die meisten Länder diese oder ähnliche Methoden verwenden, ziemlich sicher auch China und Russland. Letztere Länder wollen aber nicht nur Daten sammeln, sondern ihre Bürger kontrollieren. So gesehen – und ich hasse diese Aussage, aber sie ist politisch rationell – ist es besser, ich werde von den USA bespitzelt als von China. Daher kaufe ich auch lieber Equipment aus den USA, bei dem die NSA eine Backdoor eingebaut hat als von einem chinesischen Hersteller, weil die USA mir der angenehmere Feind ist.

Schneier: Sicher, aber es ist eine intelligente und rationelle Kapitulation.