IT-Sicherheit, Überwachungsbefugnisse, Sicherheitsrisiken durch Technologie – all das sind große Themen der Gegenwart. Informatik Austria startet eine Serie zu den Grundlagen der Wissenschaft in der Security. Den Anfang macht Matteo Maffei, Professor für Security und Privacy an der TU Wien.
Vorstellungen von IT-Sicherheit haben ja oft etwas geradezu Romantisches: Da belauern einander Verteidiger und Angreifer, finden neue Tricks, versuchen schlauer zu sein als die Gegenseite – und ständig entstehen neue Sicherheitslücken und Bedrohungen, die gefixed werden müssen, um das Schlimmste zu vermeiden. Und dann geht es wieder von vorne los. Ein Räuber und Gendarm-Spiel für das digitale Zeitalter.
Was hat das mit Wissenschaft zu tun? So weit gar nichts. Denn das Katz und Maus-Spiel wird sehr schnell überflüssig, wenn in Sicherheitsfragen wissenschaftlicher Methoden der Informatik zum Einsatz kommen.
IT-Sicherheit als Rechenaufgabe
Matteo Maffei ist neu in Wien und der erste Professor für Security an der Fakultät für Informatik der TU Wien. Sicherheitsfragen sind sein Kernthema, zu dem er eine Reihe von Forschungsarbeiten mit nach Wien bringt. Wie kommt also die Wissenschaft in das Wettrennen um IT-Sicherheit? Der wissenschaftliche Zugang bedeutet: „Wir berechnen alle möglichen Ereignisse. Wir befassen uns nicht mit Szenarien oder dem Versuch, die Absichten eines Angreifers vorherzusehen, wir berechnen alle möglichen Schritte, die rund um ein bestimmtes Stück Software in einem bestimmten Zustand ausgeführt werden können“, erklärt Maffei.
Sicherheit wird so zu einer Rechenaufgabe: Für jedes Stück Software kann präzise festgestellt werden, wie es unter welchen Voraussetzungen eingesetzt werden kann.
Offen bleibt allerdings die Bewertung dieser Ergebnisse: Sicherheit wird zu einer ökonomischen Frage. Verantwortliche müssen bewerten, welche unerwünschten Anwendungsfälle für sie Risiken und Bedrohungen darstellen und daraus ihre Schlüsse ziehen.
„Den Heiligen Gral der IT-Sicherheit gibt es nicht“, meint Maffei. „In verschiedenen Architekturen und verschiedenen Anwednungsfällen gibt es immer unterschiedliche Bedürfnisse.“
Praktische Anwendung: Sicherheitsfragen-Scan für Smartphone und Browser
Konkreter werden die Aussagen der Wissenschaft bei konkreten Aufgabenstellungen: HornDroid ist ein auf der Forschung von Maffei basierendes Analysistool, das den Datenhunger anderer Smartphone-Apps prüft. Appguard prüft neue Apps und deren Verhalten auf dem Gerät. Damit erhält der User Informationen darüber, auf welche Daten die neue App zugreift und ob die App grundsätzlich Daten weitergeben kann. Bestimmte Alerts sind dabei ebenfalls vorgesehen: So kann sich der User etwa warnen lassen, wenn eine Anwendung Internetverbindungen aufbauen will oder auf andere Daten auf dem Smartphone, etwa auf Kontakte oder Kalendereinträge, zugreifen will.
Sichere Apps, das stellt Maffei gleich klar, gibt es grundsätzlich nicht. Das ist aber nicht immer gleichbedeutend mit einem Sicherheitsproblem: „Aus technischer Sich leaken viele Apps Daten – das ist eine Frage des Anwendungsdesigns. Mit HornDroid hat der User ein Tool bei der Hand, dass diese Vorgänge transparenter macht.“
Aus sicherheitstechnischer Sicht wäre auch das Veröffentlichen eines Facebook-Posts ein Datenleak: Die Anwendung greift auf andere Daten (etwa Fotos) auf dem Gerät zu, kombiniert sie je nach Einstellungen mit anderen Informationen (etwa dem Ort) und veröffentlicht sie. Sicherheitstools wie HornDroid berechnen darüber hinaus noch, welche nicht offensichtlichen Daten dabei mitverwendet werden und welche anderen Zugriffsmöglichkeiten die Anwendung noch bietet.
„Wissenschaftlich können immer nur Momentaufnahmen sein“, betont Maffei. Mit jedem Softwareupdate kann die Sicherheitslage gleich wieder anders aussehen.
Weil aus der wissenschaftlichen Perspektive auf Sicherheitsfragen alle möglichen und nicht nur wahrscheinliche oder aktuelle Vorgänge überprüft werden sollen, sind Webanwendungen eine besondere Herausforderung für InformatikerInnen in der Sicherheitsforschung. Neben der Anwendung selbst sind noch die verwendeten Internetbrowser, Betriebssysteme, Einstellungen und Erweiterungen der User eigene Komponenten, die – um ein umfassendes Bild zu erhalten – eigentlich alle in allen erdenklichen Varianten und Kombinationen getestet werden müssten. Und das, wo schon einfachste Webanwendungen wie simple Webseiten schon als Kombination unterschiedlicher Sprachen und Softwarevoraussetzungen an sich eine eher komplex zu berechnen Angelegenheit sind.
IT-Sicherheit als Grundlage für politische Sicherheit
Deshalb kommt Matteo Maffei auch immer wieder auf einen seiner Lieblingssätze über IT Sicherheit zurück: „Wie gesagt, den Heiligen Gral gibt es in Sicherheitsfragen nicht. Die Informatik liefert Fakten. Wer auf moderne wissenschaftliche Methoden setzt, ist nicht mehr auf Annahmen und Vermutungen von Experten angewiesen.“ Aber die Bewertung der Fakten ist immer noch eine ökonomische Angelegenheit.
Für Maffei steht dabei fest: Nachträgliche Reparaturen und die langwierige Suche nach nicht abgeklärten Sicherheitslücken sind jedenfalls teurer als Investitionen in solide Tests, die für Sicherheitsexperten klare Ergebnisse liefern.
Und IT-Sicherheit ist nicht nur eine komplexe, sondern auch eine zentrale Angelegenheit: „Sicherheitsfragen verschieben sich mehr und mehr in digitale Bereiche“, erklärt Maffei. „Alles hängt von Computern ab – und wenn die nicht sicher sind, ist auch die Gesellschaft nicht sicher.“
Risiken reichen dabei von durch schlechte Programmierung bedingten Systemausfällen über durch nicht abgesicherte Datenträger wie USB-Sticks eingeschleuste Malware bis hin zu gezielten Attacken. Deshalb sieht Maffei in Fragen der IT-Sicherheit durchaus auch die Politik gefordert: „Wenn Sicherheit der Gesellschaft ein wünschenswertes Ziel ist, dann sollte auch in IT-Sicherheit und in Grundlagenforschung in Securityfragen investiert werden.“
Was Maffei mit politischen Maßnahmen zur IT-Sicherheit allerdings nicht meint, sind erweiterte Überwachung- und Beobachtungsbefugnisse für Sicherheitsbehörden, schon gar nicht auf Basis fragwürdiger technischer Maßnahmen. Eine solche fragwürdige Maßnahme wäre die immer wieder diskutierte staatliche Spionagesoftware, die zur Überwachung verschlüsselter Kommunikation (etwa über den WhatsApp-Messenger) dienen soll.
„Hier muss man ganz klar sagen: Security und Privacy sind kein Gegensatz. Beides sind wichtige Bedürfnisse, keines kann ohne das andere gewährleistet sein.“
Gegen erweiterte Überwachungswünsche der Behörden führt Maffei drei wesentliche Argumente ins Treffen: „Polizei und Geheimdienste haben alle Möglichkeiten, um aufklären und vorbeugen zu können. Es kann genug Information gesammelt werden. Zweitens: Der gezielte Einbau von Sicherheitslücken, über die verschlüsselte Nachrichten von den Behörden entschlüsselt werden können, ist ein unabschätzbares Sicherheitsrisiko. Sobald diese Sicherheitslücken vorhanden sind, können sie von jedermann aufgespürt und eingesetzt werden – nicht nur von den Behörden, die sie ursprünglich nutzen wollten.“ Damit führt der vermeintliche Schritt in Richtung Sicherheit zu neuen Risiken und Gefahren – und Behörden berauben sich damit selbst wichtiger Möglichkeiten. Das ist Maffeis drittes Argument: „Der Browser Tor, über den User anonym im Internet surfen können und keine brauchbaren Spuren hinterlassen, wird ebenfalls oft als Verbrecherwerkzeug dargestellt. Zugleich ist Tor aber auch ein wichtiges Werkzeug in der Aufklärungsarbeit: Viele Behörden verwenden genau diese Technologie, etwa wenn sie anonym Netzwerke infiltrieren. Gäbe es also diese – angebliche – Verbrechertechnologie nicht, hätte auch die Polizei weniger Werkzeuge für ihre Arbeit zur Verfügung.
„Securityforschung ist eine wichtige Grundlage in der Informatik“
Während diese Fragen aus der Perspektive des Wissenschaftlers recht einfach zu beantworten sind, gibt es noch immer ausreichend knifflige Problemstellungen für SecurityforscherInnen. Neben einfacheren Überprüfungsmethoden für Webanwendungen und dem Dauerbrenner sichere Infrastruktur sieht Maffei neue Aufgabengebiete für InformatikerInnen in der Erforschung von Grundlagen für einfachere und benutzerfreundlichere Kryptographie-Mathoden, in allem, was Finanzen und Zahlungsmöglichkeiten betrifft – und in der Onlinewerbung. „Man hat lang nur darüber geredet, wie Medienangebote ohne Werbung finanziert werden können, dass Werbung oft Daten missbraucht und dass User – Menschen – auf diesem Weg zum eigentlichen Produkt werden. Warum wechseln wir hier nicht die Perspektive und suchen nach neuen Möglichkeiten, wie Onlinewerbung kommerziell ähnlich funktionieren kann wie jetzt, aber ohne Daten zu leaken und die Privatsphäre von Usern zu gefährden? Da sehe ich noch viele Fragestellungen für die Informatik.“
Derart komplexe Anwendungsgebiete beschreiben schließlich auch Maffeis generellen Zugang zu Sicherheitsfragen in der Informatik: „Security hat oft den Ruf, etwas sehr Praktisches zu sein. Security-Arbeit wird oft mit Hacking gleichgesetzt. Hacking ist ein wichtiger Teil in Sicherheitsfragen – aber eigentlich entscheidend sind der theoretische Überbau und das Konzept, mit dem man sich einer Sicherheitsfrage nähert.“ Deshalb auch in Richtung aller Studierenden oder jungen Wissenschaftlerinnen: „Wissenschaftlich betrachtet ist Security großteils Mathematik. Und genau deshalb ist Security gerade für theoretisch interessierte ForscherInnen eine wichtige Grundlage …“