In einer Forschungs-Roadmap zum Schutz der Privatsphäre und Vertraulichkeit im Internet hat das Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt zwölf offene Forschungsfragen veröffentlicht. Über diese Probleme, „die erforscht und gelöst werden müssen, um Vertraulichkeit und Privatsphärenschutz im Internet angesichts der Gefahr von Massenüberwachung sicherzustellen", sprach CIO.de mit Michael Herfert, einem der Autoren und Abteilungsleiter Cloud ComputingCloud Computing, Identity & Privacy (CIP) beim Fraunhofer-Institut SIT. Alles zu Cloud Computing auf CIO.de

CIO.de: Haben Sie die Enthüllungen von Herrn Snowden überrascht?

Michael Herfert: Dass die NSA sehr großes Interesse daran hat, abzuhören und das auch tut, das war keine Überraschung. Aber dieses gigantische Ausmaß und wie viel sie vom Internetverkehr - zumindest tageweise - speichern können, das war auch für mich überraschend.

CIO.de: Es gibt hier viele offene Forschungsfragen, die geklärt werden müssen, schreiben Sie. Welche ist die wichtigste?

Michael Herfert: Eine besonders wichtige ist, wie man sich selbst schützt. Das geht, indem man seine Nachrichten verschlüsselt. Das Prinzip ist mit rund zwanzig Jahren sehr alt. Die meisten Tools, wie Browser und E-Mailprogramme, sind dazu auch in der Lage. Jedes E-Mail-Tool wie Thunderbird kann Nachrichten mit dem verbreiteten Standard S/MIME (Secure/Multipurpose Internet Mail Extensions) verschlüsseln.

Das Problem ist aber, dass die meisten Menschen keine Schlüssel haben. Deswegen sehen wir den Punkt, dass die Leute mit Schlüsseln versorgt werden müssen. Das Problem dahinter ist nicht neu. Dazu gibt es den Lösungsansatz der Public Key-Infrastruktur (PKI). Diese sind aber so kompliziert, dass sie nur wenig genutzt werden. Auch viele Firmen sind daran allein in ihrem eigenen Unternehmen gescheitert. Die Probleme sind dabei nicht technischer sondern organisatorischer Natur.

Wie kann man also Schlüssel mit einer sehr vereinfachten PKI-Infrastruktur verteilen - oder mit anderen technischen Maßnahmen? Ziel soll es sein, dass jeder auf sehr kostengünstige Weise an Schlüssel gelangen kann, um so verschlüsselt kommunizieren zu können.

CIO.de: Brauchen Sie dazu einen Auftrag oder Geld?

Michael Herfert: Ja. Die Grundidee der Fraunhofer-Gesellschaft besteht darin, Auftragsforschung zu betreiben. Unsere Arbeit soll so relevant sein, dass Auftraggeber bereit sind, Geld dafür auszugeben. Ich glaube, dass wir durch die gesellschaftliche Bedeutung des Themas genügend Relevanz für einen Auftrag vorweisen können.

"Security machen wir später"

CIO.de: Woran liegt es, dass das Thema Sicherheit oft so stiefmütterlich behandelt wird?

Michael Herfert: Bei IT-Security können Sie jahrelang irgendwelche Tools benutzen, die massive IT-Security-Schwächen haben, und Sie merken es gar nicht. Wenn ein Handy abgehört wird, dann merken Sie da gar nichts. Obwohl das Problem die ganze Zeit da ist.

Auch bei den Entwicklern steht das Thema SecuritySecurity oftmals nicht an erster Stelle. Wer eine Anwendung programmiert, etwa einen Webshop, will ein Problem lösen. Das steht bei ihm im Fokus. Und wenn man dann noch Security hinzufügt, ist das ein zusätzliches Problem, das die Entwicklung verlangsamt. Ein Bonmot bei uns lautet: „Security machen wir später." Das hört man oft. Das kann dazu führen, dass man es halt sehr viel später macht. Oder eben auch gar nicht. Alles zu Security auf CIO.de

CIO.de: Wie sehen Sie die Cloud? Ist sie nicht tot?

Michael Herfert: Das würde ich nicht sagen. Das Vertrauen in Cloud-Computing hat jedoch definitiv gelitten. Die User sind noch mehr verunsichert. Ich glaube aber, dass sich das mit der Zeit legen wird. Was aber nichts daran ändert, dass jeder, der seine Daten aus der eigenen Hand gibt, sehr stark auf die Sicherheitsmaßnahmen bei den Diensten achten muss.

Fraunhofer SIT entwickelt die Omnicloud für Unternehmen

Bei Dropbox etwa, einem schön gemachten Dienst mit einer genialen Oberfläche, gibt es das Problem, dass der Anbieter alle Daten im Klartext bekommt und dann mit einem eigenen Schlüssel verschlüsselt und in der Cloud ablegt. Der Cloud-Anbieter sollte aber gar keine Daten im Klartext haben. Die Daten sollten bereits auf dem Rechner des Benutzers verschlüsselt und erst dann abgeschickt werden.

Solche Lösungen sollten stärker im Fokus stehen. Die gibt es ja heute schon. Wir selbst entwickeln gerade das Produkt Omnicloud für kleine und mittlere Unternehmen. Das soll genau das umsetzen. Die Nutzer bekommen dort ein Laufwerk zur Verfügung gestellt. Alles was geschrieben wird, wird im Hintergrund automatisch verschlüsselt zu einem Cloud-Anbieter nach Wahl des Unternehmens hochgeladen. Es ist so ähnlich wie Boxcryptor oder Cloudfogger. Wir haben aber noch zusätzliche Features eingebaut. Bei Omnicloud werden etwa Duplikate automatisch erkannt. Man kann so Speicherplatzkosten sparen.

CIO.de: Wann wird es das geben, und was wird es kosten?

Michael Herfert: Es wird im Frühjahr kommenden Jahres herauskommen, und es wird etwas kosten, aber das Preis-Leistungs-Verhältnis wird sehr attraktiv sein.

CIO.de: Die Themen Sicherheit und Datenschutz sind beide im Bundesinnenministerium angesiedelt. Das gibt Probleme. Sehen Sie hier Versäumnisse? Man hätte eine PKI-Infrastruktur ja auch mit dem neuen Personalausweis aufbauen können.

Michael Herfert: Das sehe ich so nicht: Der neue Personalausweis ist wirklich eine sehr vorbildliche und datenschutzfreundliche Technologie. Ich hätte es auch begrüßt, wenn dort von Anfang an eine Signaturfunktion drauf gewesen wäre. Ich bin mir aber nicht sicher, ob das geschehen wäre, wenn es in einem anderen Ministerium angesiedelt gewesen wäre.

CIO.de: Die De-Mail wäre ja auch eine Möglichkeit gewesen, einfach zu verschlüsseln.

Michael Herfert: Die De-Mail hat ein großes Akzeptanzproblem. Hinter der Ende-zu-Ende-Verschlüsselung verbirgt sich wieder das Problem der Schlüsselverwaltung. Man braucht ja immer den Schlüssel des Empfängers. Freiwillig verschlüsseln kann man auch mit De-Mail. Die meisten haben aber keine Schlüssel, um zu das zu tun.

CIO.de: Wann sind denn Ihre offenen Fragen bezüglich der Sicherheit geklärt?

Michael Herfert: Das ist ganz schwer zu sagen. Innerhalb eines Jahres kann man vielleicht mit dem Aufbau der Schüsselinfrastruktur beginnen. Die wird nicht auf einen Schlag da sein. Man wird Angebote haben, die die Bürger annehmen können. Wie schnell das geht, kann heute keiner sagen. Man kann sich ja auch heute schon Schlüssel kaufen, das ist aber teuer. Die Preise müssen sehr günstig oder kostenlos sein.

CIO.de: Benutzen Sie selbst Verschlüsselungstools?

Michael Herfert: Ich benutze sie, aber ich habe es auch einfacher. Bei Fraunhofer haben wir eine PKI-Infrastruktur. Jeder Mitarbeiter bekommt eine Smartcard, mit der man Daten verschlüsseln und signieren kann. Und ich habe einen selbst erzeugten Schlüssel für das Verschlüsselungsprogramm PGP.