Datenschutz trotz globaler Rechenzentren

Der Verein – die Mitgliedschaft ist so etwas wie ein Adelsprädikat für Hochschullehrer – nahm sich des Themas unter dem Gesichtspunkt Staat, Gesetz und Business an. Rund 170 Experten versuchten sich einen Überblick über die Auswirkungen der kriminellen Schattenwirtschaft zu verschaffen, die mit viel Geld, und oft mit nicht zu unterschätzender staatlicher Protektion, Schwachstellen in der Informationstechnik aufspürt und gnadenlos ausnutzt.

Die Motivation, sich für das Kellerkindthema IT-Sicherheit nun plötzlich in so breiter Öffentlichkeit zu beschäftigen, ist wohl weder die Einsicht in die real steigenden Risiken und Schäden, noch der Wunsch nach echter Problemlösung mittels ausreichen durchdachter und getesteter Technik. Vielmehr geht es um das Modethema Cloud Computing.

Der weltweite Verschiebebahnhof von Daten und Rechenleistungen stößt längst nicht auf das große Interesse, das sich die Besitzer der gigantischen Rechenzentren wünschen würden. Gerade die Mittelständler fürchten um die Sicherheit von Daten und Geschäftsprozessen. Schließlich muss man keine Bank sein, um sich vor Erpressung, Datendiebstahl und Manipulation zu sorgen. Immerhin gibt es inzwischen in ganz Europa 150 Sicherheitszentren, Certs genannt, die Attacken penibel detektieren und untereinander austauschen.

Europa strebt nach einem vergleichbaren Niveau staatlicher Computerforensik. Das war nicht immer so. Während vom Nordkap bis zu den Alpen die Schadenserfassung und die anschließende Kommunikation schon seit vielen Jahren funktioniert, ist das Problembewusstsein südlich davon erst in jüngster Zeit gewachsen.

Nach wie vor existiert aber ein deutliches Nord-Süd-Gefälle, wie Prof. Udo Helmbrecht von der Europäischen Agentur für Netz- und Informationssicherheit Enisa erläuterte, aber es bewegt sich in die richtige Richtung. „Wir haben vielen Ländern geholfen, funktionierende Certs zu errichten“, sagte der frühere BSI-Präsident.

Auf diplomatisch/juristischer Seite versucht man ähnliches, wenngleich mit deutlich weniger Erfolg. Da läuft die transnationale Hacker-Verfolgung zuweilen ins Leere, vor allem, wenn die Angriffswege über Länder wie Russland und China laufen. Internationale Abkommen sollen helfen, wie Martin Schallbruch, IT-Direktor im Bundesministerium des Innern, erläuterte. Bis es zu tragfähigen, globalen Übereinkünften kommt, dürfte es noch „eine ganze Weile dauern“, wie Prof. Helmbrecht meint: „In absehbarer Zeit sehe ich das nicht.“

Immerhin ist über Europol das Thema Cybercrime im innereuropäischen Polizeialltag angekommen – ein Hoffnungsschimmer für die ausstehende globale Lösung, so Helmbrecht.

Und was tut man mit Ländern, die das Internet als Waffe einsetzen? Die USA setzen in solchen Fällen nicht nur auf passive Mittel, sondern verwandeln Server per Computerbefehl zuweilen in einen Haufen Elektronikschrott. In Deutschland ist dergleichen selbst im Krisen- und Verteidigungsfall nicht erlaubt. Ein Thema, das der Münchner Kreis ganz bewusst nicht im großen Kreis diskutieren wollte. „Dafür“, so die wissenschaftliche Leiterin des Programms, Prof. Dr. Claudia Eckert vom Fraunhofer Institut Aisec in Garching, „gibt es kleinere Diskussionsforen.“

Die Bedrohungen nehmen aber an allen Fronten zu, egal ob bei Wirtschaft, Militär oder Politik – surfen und kommunizieren doch alle über das Internet. Der nicht abreißende Strom neuer Features in Browsern und Skriptsprachen beschert einen Schwall neuer Probleme, denn zunächst werden multimediale Ideen umgesetzt, und dabei ist Sicherheit nur hinderlich.

„XHTML hat sich leider nicht durchgesetzt“, resümiert Prof. Jörg Schwenk, Inhaber des Lehrstuhles für Netz- und Datensicherheit an der Ruhr-Universität in Bochum, „der Markt bevorzugt klar HTML5 als universelle Sprache für Internet und Smartphones.“ Doch diese Sprache lässt viele Optionen und Varianten zu, die Angreifer ausnutzen könnten. Klar definierter Code ist gut für die Sicherheit, aber schlecht für jene Marktteilnehmer, die sich vom Wettbewerber unterscheiden wollen.

Auch beim zentralen Punkt der Veranstaltung, der Sicherheit für das Cloud Computing, sieht es nach Meinung von Schwenk nicht viel besser aus. „Wichtige Elemente der Sicherheitsarchitektur halten vermutlich nicht das, was sie versprechen.“ Bei Cloud Controllern wie Eucalytus, Open Nebula und Nimbus sieht der Wissenschaftler genauso Nachholbedarf wie bei den Browser basierten Kontrollinterfaces der Cloud.