Interview mit Karsten Nohl : Gemisch aus Gut und Böse

Bild 1 vergrößern +

Dr. Karsten Nohl, Kryptospezialist bei Security Research Lab

Was ist inzwischen eigentlich alles hackbar?

Immer mehr. Im Grunde ist alles hackbar, was heute einen Computer hat. Das sind unsere Telefone, das sind unsere kritischen Infrastrukturen, Logistik, die Wasserversorgung, Stromversorgung. Das sind aber auch zunehmend Flugzeuge und Autos und andere technische Systeme, die um Computer erweitert werden. Allerdings geht Hacking natürlich noch weit über die Technik hinaus. Das Hacken ist das Umgehen von Sicherheitsmaßnahmen und das kann auch eine physische Maßnahme wie das Social Engineering sein, also das Beeinflussen von Menschen. Hacken passiert immer dann, wenn Einer eine Sicherheitsmaßnahme aufbaut und ein Anderer einen Weg drumherum findet.

Das heißt: Hacking kann in unserem Leben im Worst Case alles zunichtemachen, also die komplette Infrastruktur von Gesellschaften lahmlegen und auch noch die Menschen beeinflussen?

Im Worst Case ja. Das wird als Schreckensszenario schon seit vielen Jahren diskutiert, ist aber zum Glück noch nie vorgekommen. Was vermutlich nicht unbedingt darauf hinweist, dass unsere technischen Infrastrukturen sehr gut vor Hacking geschützt sind, sondern vielmehr darauf, dass niemand sie wirklich fundamental hacken will. Niemand hat Interesse dran, uns vom Strom, vom Wasser oder von Lebensmitteln abzuschneiden.

Wie gut wäre die Welt denn vor einem solchen Worst-Case-Szenario geschützt?

Schockierend wenig. Die Welt hat sich auf den Cyber-Krieg oder Cyber-Terrorismus, wie es häufig genannt wird, bisher kaum vorbereitet. Unsere Infrastrukturen werden immer mal wieder von Amateuren gehackt, die machen das meist gutmütig und erklären den Betreibern, wie man Schwachstellen beseitigt. Aber wenn es selbst Amateure schaffen, dann schafft es selbstverständlich auch eine staatliche Organisation. Und solche gibt es mittlerweile in fast jedem Staat. Angefangen haben die Amerikaner mit der virtuellen Kriegsführung im Schlag gegen das iranische Atomprogramm. Aber selbstverständlich haben die Iranis mittlerweile auch aufgerüstet und jedes andere Land gleich mit. Das heißt, es stehen Cyberarmeen bereit - die wurden zum Glück aber noch nie großflächig eingesetzt.

Cyberarmee klingt so abstrakt - was muss an sich darunter vorstellen?

Das sind Hacker, die in irgendeinem Keller in Peking, Moskau oder auch Berlin sitzen und staatliche Aufträge ausführen, zum Beispiel dann im wirklichen Kriegsfall die Infrastruktur eines anderen Landes zerstören. Es geht dann wirklich vom Effekt Richtung Flächenbombardements. Man schadet Gesellschaften und nicht nur Armeen. Und das haben wir auch in der konventionellen Kriegsführung, zumindest in Europa, lange nicht gesehen. Das Schlimme an einem Cyberkrieg wäre, dass die Nachweisbarkeit der Taten schwierig bis unmöglich wird. Im Internet kann sich jeder sehr schnell anonymisieren. Das Internet lädt zu so etwas wie einem Partisanenkrieg ein. Das ist das Szenario, das derzeit viel diskutiert wird. Und in fast allen Diskussionen kommt raus: Wir wären davor nicht geschützt.

In einem internationalen Sicherheits-Ranking – wo würde sich Deutschland da befinden?

Schwierig zu sagen. Ich glaube von den Schutzfähigkeiten her ist Deutschland schlecht aufgestellt. Wir haben wenig aktive Cyberkompetenz. Das heißt, wir bereiten uns nicht darauf vor, andere Länder anzugreifen, was ja sehr gut ist. Aber die gleiche Kompetenz wäre nötig, um sich zu verteidigen. Andere Länder - allen voran sicher die USA, aber auch China, Russland, jetzt der Iran - investieren sehr viel mehr in diesen Wettlauf zu den schnellsten und besten Cyberwaffen. Und Deutschland - als kriegsmäßig eher zurückhaltendes Land - ist da hinterher.

Was versteht man unter dem "Internet der Dinge"?

Das Internet der Dinge beschreibt ganz verschiedene Entwicklungen, die alle daraufhin wirken, dass das Internet mit der echten Welt verwächst. Vor allem dadurch, dass Sensoren aufgestellt werden, die Daten über die echte Welt - Temperaturmessungen, Bewegungsmessungen und in der Zukunft viel mehr Kamerabilder und sowas alles - ins Internet bringen und dort analysiert werden. Im zweiten Schritt wirken Aktoren wieder auf die echte Welt ein. Das Internet erfährt mehr und mehr über die Welt und wirkt mehr und mehr auf die Welt ein. Das hat mit unseren Telefonen angefangen, wo jetzt das Internet plötzlich immer weiß wo wir sind und was wir machen. Das wird aber bei den Telefonen nicht aufhören. Solche Sensoren werden sich bald in der Kleidung finden, werden sich bald in allen anderen Elektroniken finden, werden teilweise als Sensoren einfach ausgestreut, um dem Internet mehr Einblick in die echte Welt zu geben.

Gibt es dem Ganzen denn auch etwas Positives abzugewinnen?

Ein großes Versprechen des Internets der Dinge ist es, alles in der Welt optimal zu arrangieren. Das wird nicht überall klappen, aber an vielen Stellen ist es vorstellbar. Zum Beispiel Stromverbrauch und Stromerzeugung perfekt aufeinander abzustimmen. Oder Medikamente perfekt auf den jeweiligen Körper, dem sie verabreicht werden, einzustellen. Oder Bewässerungssysteme perfekt auf das Ökosystem einzustellen das bewässert wird. All sowas ist algorithmisch sehr leicht möglich, aber heute fehlt noch die Datengrundlage.

Was braucht das Internet? Gesetze, eine moralische Instanz?

Als Hacker habe ich über die letzten Jahre gelernt, dass das Internet sich seine eigene Moral gibt und dass es Gesetze grundsätzlich umgeht. Insoweit brauchen wir informiertere Nutzer. Das Internet wird ein Gemisch aus Gut und Böse bleiben, wobei vermutlich das Positive immer überwiegen wird. Aber auf die bösen Seiten muss man geschult werden. Es kann nicht sein, dass der Anspruch ist, dass die Bürger vor dem Internet geschützt werden. Das kann kein einzelner Staat erreichen und würde wenn überhaupt die Innovationsfähigkeit einschränken. Die Hacker allerdings nicht. Das heißt: wir müssen uns alle einzeln darauf einstellen, vom Internet aus angegriffen zu werden, müssen verstehen, wie solche Angriffe ablaufen würden und müssen darauf reagieren. Indem wir weniger wichtige Daten weit streuen, indem wir weniger auf E-Mails reagieren, nach denen wir nicht gefragt haben, indem wir sicherere Passwörter und grundsätzlich bessere Schutzmethoden verwenden.