"Software muss besser werden"
Bei der Weiterentwicklung von Sicherheitssoftware müssten Techniken zum Einsatz kommen, "die offen sind", "wo jeder, der sich dafür interessiert und das Know-how hat, draufgucken kann, es ausprobieren kann und wirklich durchtesten kann", sagt der Fachredakteur Philip Banse. "Alles, was heute Stand der Technik ist, ist auf diese offene Weise entstanden."
Ulrike Timm: Friede sei mit euch, so grüßen die Hacker beim diesjährigen Treffen des Chaos Computer Clubs, das derzeit in Berlin stattfindet. "We come in peace" – wie ironisch dieses Motto ist in Zeiten von Diskussionen um WikiLeaks-Enthüllungen bis zur Planung eines Cyber-Abwehrzentrums, wie es Bundesinnenminister de Maizière vorschwebt, auch darüber wird uns jetzt Philip Banse informieren direkt vom Kongress und mit jeder Menge Chaos im Hintergrund. Schönen guten Tag!
Philip Banse: Einen wunderschönen guten Tag!
Timm: Philip Banse, das scheint mir zumindest eine recht widersprüchliche Veranstaltung zu sein: Im Keller wird fröhlich gehackert und unterrichtet, wie man fremde Websites knackt, und auf dem Podium gibt es dann Vorträge über Datenschutz. Wie geht das zusammen?
Banse: Na ja, das ist ja keine homogene Truppe hier, diese Hacks der Webseiten sind auch unter Hackern umstritten. Und es gibt halt sehr viele Fraktionen: Es gibt die einen, die hier spielen und mit Technik rumprobieren, also hinter mir fliegt jetzt zum Beispiel so ein Quadrocopter, ein Hubschrauber mit vier Rotoren, er leuchtet und blinkt, das ist so eine Bastelei, und andere hacken eben Websites und die Dritten kümmern sich eben um Datenschutz oder um Sicherheit von Informationssystemen. Insgesamt ist einfach so der Ansatz der Leute hier, Technik auszuprobieren, sie anders zu verwenden, als das vielleicht von Herstellern erst gedacht ist, und sie transparent zu machen, damit wirklich alle verstehen, wie sie genau funktioniert, welche Vorteile und Risiken sie bietet. Und diese ganze Diskussion um WikiLeaks, die demonstriert das so ganz gut: Also es gibt neue Phänomene im Internet, das ist WikiLeaks, neue Publikationen, es gibt mehr, wenn man so will, Angriffe über das Internet, und die Frage ist jetzt, wie reagiert man dadrauf. Und der Staat sagt, ja, wir müssen mehr kontrollieren, wir müssen mehr überwachen, und die Leute hier würden, denke ich, mehrheitlich sagen, na ja, wir müssen eher mehr für Transparenz sorgen, wir müssen die Systeme, die wir haben, sicherer machen, und das geht nur, indem wir sie offenlegen, damit alle draufgucken können.
Timm: Wie soll man denn vor diesem Hintergrund, den Sie uns beschrieben haben, dieses Motto, "We come in peace", genau deuten?
Banse: Also ich verstehe das so, dass es hier eine wachsende Gruppe von Menschen gibt, die einfach grundlegendes Fachwissen über technische Systeme angehäuft haben über die ganzen letzten Jahre, wie man das eigentlich in der Industrie und in der Politik kaum findet. So, und dieses Wissen soll genutzt werden, um die Gesellschaft über Vor- und Nachteile dieser technischen Systeme aufzuklären, damit eben die Bürger, auch technische Laien vielleicht besser in der Lage sind, informierte Entscheidungen zu treffen, um wirklich einschätzen zu können, ja, das ist erst mal ein gutes System, was uns als sicher und vorteilhaft von der Politik, von Unternehmen verkauft wird, aber kennen wir auch wirklich den Preis, den wir dafür bezahlen? Und diese Abwägung zu treffen, da muss man einfach informiert sein, und das ist eigentlich so der Grundgedanke, der die Leute hier beseelt. Im spielerischen, kreativen Umgang mit Technik wirklich das ganze Potenzial und das ganze Zusammenwirken zwischen Technik und Gesellschaft auszuloten. Und deswegen, das ist eher eine wohlmeinende, aufklärerische Haltung, die, finde ich, mit diesem Motto verbunden ist.
Timm: Spielerisch, kreativ und herumfliegende kleine Flugzeuge, die sind das eine. Aber muss dieses Treffen nicht dieser Tage naturgemäß ein sehr politisches sein?
Banse: Ist es ja auch. Es hat vielleicht nicht ganz so die politische Wucht wie da so ein, zwei andere Kongresse in den Vorjahren, aber gerade in der Eröffnungsansprache sagt der Rob, so ein niederländischer Hacker in seiner Eröffnungsansprache, dass er eben fürchtet, dass die Reaktion auf diese WikiLeaks-Veröffentlichung vor allem sein wird eben mehr Überwachung, mehr Kontrolle von Internet-Infrastruktur. Und das, denke ich, ist auch so ein bisschen die grundlegende Furcht, die damit einhergeht, dass neue Phänomene im Internet auftauchen und der Staat letztlich ähnlich reagiert meinetwegen wie die Musikindustrie vor zehn Jahren auf Napster. Napster war diese Tauschbörse, wo auf einmal illegale Daten ... ., urheberrechtlich geschützte Musik getauscht wurde, man hat reagiert mit sehr restriktiven Maßnahmen, von denen selbst die Musikindustrie heute wieder weg ist, und jetzt passiert es dem Staat, jetzt gibt es da im Internet Sachen, die den Staat, sagen wir mal, dem Staat seine Autorität nehmen, ihn untergraben, die Hierarchie, und der reagiert ähnlich wie die Musikindustrie damals, nämlich mit Überwachung und Repression. Und das ist, sagen wir mal, eine Sache, die den Leuten hier nicht passt. Und deswegen drehten sich natürlich viele Vorträge um Websperren im Internet, um Zensur-Infrastruktur im Rahmen dieser Websperren und Vorratsdatenspeicherung, also die vorverdachtslose Aufzeichnung all unserer Kommunikationsdaten. Das ist hier natürlich ein Riesenthema gewesen.
Timm: Das heißt aber auch, wenn ich Sie recht verstehe: Der Staat läuft den Hackern im Prinzip immer hinterher mit seiner Kontrolle? Die sind ihm voraus.
Banse: Ja, in gewisser Weise ist das so, und das ist ja auch das Selbstverständnis. Also sie sehen sich glaube ich auch schon, verstehen sich hier schon als so eine Art technische Elite, die eben aufgrund ihres Fachwissens und ihres Enthusiasmus sehr viel Wissen angehäuft hat, und viele Hacker arbeiten ja einfach auch beruflich in IT-Sicherheitsfirmen und verdienen damit einfach auch ihr Geld. Und jetzt gibt es natürlich einige, die missbrauchen das für den eigenen Vorteil, die nennt man dann Schwarzhüte vielleicht, aber hier sind halt eher so die ethischen Hacker versammelt, die das eben eher so sehen: Wir decken Sicherheitslücken auf und informieren dann die Betroffenen, also die Hersteller, die Politik, um eine Möglichkeit zu geben darauf zu reagieren, und erst wenn die nicht reagieren, veröffentlichen wir diese Sicherheitslücken, um eben Druck zu machen, diese dann auch zu schließen, wie das dann hier auf dem Kongress auch geschieht.
Timm: Das heißt, die Hacker, die Netze knacken, sind zugleich die Spezialisten, wenn es um den Schutz von Informationssystemen geht, und die sozusagen Thomas de Maizière, der Bundesinnenminister sogleich für seine Cyber-Abwehr engagieren könnte?
Banse: Theoretisch ist das so. Ohne das zu wissen, aber ich gehe mal davon aus, dass in diesen ganzen Aktivitäten auch sicherlich Hacker eingebunden werden. Und es ist ja schon seit Jahren so und nichts Ungewöhnliches, dass Konzerne Hacker engagieren, um ihre Websiten, ihre IT-Systeme anzugreifen und Sicherheitslücken offenzulegen, damit die dann gestopft werden können. Und viele der Hacker hier und auch viele Führungsfiguren im Chaos Computer Club verdienen ihr Geld bei Firmen, die ihr Geld damit verdienen, Software und Hardware sicherer zu machen.
Timm: Heißt das, die Anarcho-Szene wechselt komplett in die Politikberatung? Oder ist der Chaos Computer Club mittlerweile ein ganz, ganz vielfältiges Mosaik?
Banse: Letzteres. Also ich glaube, er ist jetzt ein vielfältiges Mosaik und er wird es auch bleiben. Es gibt halt diese Schicht sagen wir mal der ungefähr 3000 Mitglieder, von denen viele einfach Spaß an Technik haben und Spaß haben zu probieren, was geht, und so. Und dann gibt es so diese Schicht, die so, aus der Führungsebene, die hier in Berlin ansässig ist, das ist eine klassische Lobby-Organisation: Die gehen im Bundesinnenministerium aus und ein, die reden mit Abgeordneten, die reden mit Wirtschaftsverbänden, die werden eingeladen zu Anhörungen im Parlament, der Chaos Computer Club wird regelmäßig vom Bundesverfassungsgericht als Gutachter bestellt in technischen Fragen, um eben dieses Know-how und das Wissen abzuschöpfen, und denke ich das wird sich weiterentwickeln. Der CCC klagt glaube ich eher darüber, dass sie mittlerweile eigentlich die einzige Nichtregierungsorganisation sind, die so politische Message, politischen Einfluss verbinden mit umfassendem technischen Wissen. Und die fühlen sich manchmal sogar eher ein bisschen überlastet und würden sich wünschen, dass es da noch mal andere Organisationen gibt, die so ähnliche Kombinationen von Fähigkeiten und Kompetenzen mit einbringen.
Timm: Deutschlandradio Kultur, das "Radiofeuilleton". Philip Banse informiert uns vom diesjährigen Treffen des Chaos Computer Clubs. Herr Banse, wenn die Computerknackereien nun überall präsent sind und jedes Kind das mit ein bisschen Information schon hinbekommt – Sie haben vorab erzählt, jedes Handy könnte man abhören mit ein bisschen Fachkenntnis. Wie kann denn vor diesem Hintergrund eine Abwehr, ein Cyber-Abwehrzentrum überhaupt aussehen und gelingen?
Banse: Na ja, also das ist natürlich eine schwierige Frage, über die jetzt natürlich alle reden. Aber ich denke, es gibt darauf keine Antwort, es scheint aber klar zu sein: Software muss besser werden, so, das glaube ich kann man so allgemein sagen. Sie muss mehr getestet werden, sie muss aufwendiger programmiert werden und das alles wird sehr viel Geld kosten. Wir haben jetzt heute noch nicht die Software, die beste aller Tage, sondern viel wird unter Zeitdruck gemacht, viel wird gemacht, weil es keinen gibt, der das so richtig kontrolliert, Hauptsache, die Kiste läuft irgendwie. Aber wenn man sie mal anders benutzt als ursprünglich gedacht, dann macht der Fernseher auf einmal kein Bild mehr, sondern er lädt sich irgendwie Software auf dem Internet runter. Das ist alles möglich, und die andere Sache ist, dass eben bei dieser Software-Weiterentwicklung Techniken zum Einsatz kommen müssen, die offen sind. Es kann nicht sein, dass da Sicherheitstechniken eingesetzt werden, die Firma A sich im Geheimen ausbaldowert und dann geheim hält, und keiner weiß so richtig, wie sie funktioniert, nur die Firma sagt, ja, ja, jetzt ist alles sicher, sondern es müssen Sicherheitstechniken entwickelt und benutzt werden, die offen liegen, wo jeder, der sich dafür interessiert und das Know-how hat, draufgucken kann, es ausprobieren kann und wirklich durchtesten kann. Und erst dann wird es sozusagen eine Qualitätsverbesserung geben. Und alles, was heute Stand der Technik, State-of-the-Art in IT-Sicherheitstechniken ist, ist auf diese offene Weise entstanden. Und ich denke, das muss ein Weg sein. Man muss sich aber auch klar sein: Man kann Technik nicht sicher machen. Es wird immer sicherer im besten Fall, aber es wird nie ganz sicher. Und was wir lernen müssen, ist halt erstens das zu erreichen, und zweitens mit diesem Restrisiko umzugehen und damit zu leben.
Timm: "We come in peace", das friedliche Motto des Chaos Computer Clubs bei seinem Kongress in Zeiten von Informationskriegen. Unser IT-Experte Philip Banse informierte. Herzlichen Dank!
Banse: Ich danke Ihnen!
Philip Banse: Einen wunderschönen guten Tag!
Timm: Philip Banse, das scheint mir zumindest eine recht widersprüchliche Veranstaltung zu sein: Im Keller wird fröhlich gehackert und unterrichtet, wie man fremde Websites knackt, und auf dem Podium gibt es dann Vorträge über Datenschutz. Wie geht das zusammen?
Banse: Na ja, das ist ja keine homogene Truppe hier, diese Hacks der Webseiten sind auch unter Hackern umstritten. Und es gibt halt sehr viele Fraktionen: Es gibt die einen, die hier spielen und mit Technik rumprobieren, also hinter mir fliegt jetzt zum Beispiel so ein Quadrocopter, ein Hubschrauber mit vier Rotoren, er leuchtet und blinkt, das ist so eine Bastelei, und andere hacken eben Websites und die Dritten kümmern sich eben um Datenschutz oder um Sicherheit von Informationssystemen. Insgesamt ist einfach so der Ansatz der Leute hier, Technik auszuprobieren, sie anders zu verwenden, als das vielleicht von Herstellern erst gedacht ist, und sie transparent zu machen, damit wirklich alle verstehen, wie sie genau funktioniert, welche Vorteile und Risiken sie bietet. Und diese ganze Diskussion um WikiLeaks, die demonstriert das so ganz gut: Also es gibt neue Phänomene im Internet, das ist WikiLeaks, neue Publikationen, es gibt mehr, wenn man so will, Angriffe über das Internet, und die Frage ist jetzt, wie reagiert man dadrauf. Und der Staat sagt, ja, wir müssen mehr kontrollieren, wir müssen mehr überwachen, und die Leute hier würden, denke ich, mehrheitlich sagen, na ja, wir müssen eher mehr für Transparenz sorgen, wir müssen die Systeme, die wir haben, sicherer machen, und das geht nur, indem wir sie offenlegen, damit alle draufgucken können.
Timm: Wie soll man denn vor diesem Hintergrund, den Sie uns beschrieben haben, dieses Motto, "We come in peace", genau deuten?
Banse: Also ich verstehe das so, dass es hier eine wachsende Gruppe von Menschen gibt, die einfach grundlegendes Fachwissen über technische Systeme angehäuft haben über die ganzen letzten Jahre, wie man das eigentlich in der Industrie und in der Politik kaum findet. So, und dieses Wissen soll genutzt werden, um die Gesellschaft über Vor- und Nachteile dieser technischen Systeme aufzuklären, damit eben die Bürger, auch technische Laien vielleicht besser in der Lage sind, informierte Entscheidungen zu treffen, um wirklich einschätzen zu können, ja, das ist erst mal ein gutes System, was uns als sicher und vorteilhaft von der Politik, von Unternehmen verkauft wird, aber kennen wir auch wirklich den Preis, den wir dafür bezahlen? Und diese Abwägung zu treffen, da muss man einfach informiert sein, und das ist eigentlich so der Grundgedanke, der die Leute hier beseelt. Im spielerischen, kreativen Umgang mit Technik wirklich das ganze Potenzial und das ganze Zusammenwirken zwischen Technik und Gesellschaft auszuloten. Und deswegen, das ist eher eine wohlmeinende, aufklärerische Haltung, die, finde ich, mit diesem Motto verbunden ist.
Timm: Spielerisch, kreativ und herumfliegende kleine Flugzeuge, die sind das eine. Aber muss dieses Treffen nicht dieser Tage naturgemäß ein sehr politisches sein?
Banse: Ist es ja auch. Es hat vielleicht nicht ganz so die politische Wucht wie da so ein, zwei andere Kongresse in den Vorjahren, aber gerade in der Eröffnungsansprache sagt der Rob, so ein niederländischer Hacker in seiner Eröffnungsansprache, dass er eben fürchtet, dass die Reaktion auf diese WikiLeaks-Veröffentlichung vor allem sein wird eben mehr Überwachung, mehr Kontrolle von Internet-Infrastruktur. Und das, denke ich, ist auch so ein bisschen die grundlegende Furcht, die damit einhergeht, dass neue Phänomene im Internet auftauchen und der Staat letztlich ähnlich reagiert meinetwegen wie die Musikindustrie vor zehn Jahren auf Napster. Napster war diese Tauschbörse, wo auf einmal illegale Daten ... ., urheberrechtlich geschützte Musik getauscht wurde, man hat reagiert mit sehr restriktiven Maßnahmen, von denen selbst die Musikindustrie heute wieder weg ist, und jetzt passiert es dem Staat, jetzt gibt es da im Internet Sachen, die den Staat, sagen wir mal, dem Staat seine Autorität nehmen, ihn untergraben, die Hierarchie, und der reagiert ähnlich wie die Musikindustrie damals, nämlich mit Überwachung und Repression. Und das ist, sagen wir mal, eine Sache, die den Leuten hier nicht passt. Und deswegen drehten sich natürlich viele Vorträge um Websperren im Internet, um Zensur-Infrastruktur im Rahmen dieser Websperren und Vorratsdatenspeicherung, also die vorverdachtslose Aufzeichnung all unserer Kommunikationsdaten. Das ist hier natürlich ein Riesenthema gewesen.
Timm: Das heißt aber auch, wenn ich Sie recht verstehe: Der Staat läuft den Hackern im Prinzip immer hinterher mit seiner Kontrolle? Die sind ihm voraus.
Banse: Ja, in gewisser Weise ist das so, und das ist ja auch das Selbstverständnis. Also sie sehen sich glaube ich auch schon, verstehen sich hier schon als so eine Art technische Elite, die eben aufgrund ihres Fachwissens und ihres Enthusiasmus sehr viel Wissen angehäuft hat, und viele Hacker arbeiten ja einfach auch beruflich in IT-Sicherheitsfirmen und verdienen damit einfach auch ihr Geld. Und jetzt gibt es natürlich einige, die missbrauchen das für den eigenen Vorteil, die nennt man dann Schwarzhüte vielleicht, aber hier sind halt eher so die ethischen Hacker versammelt, die das eben eher so sehen: Wir decken Sicherheitslücken auf und informieren dann die Betroffenen, also die Hersteller, die Politik, um eine Möglichkeit zu geben darauf zu reagieren, und erst wenn die nicht reagieren, veröffentlichen wir diese Sicherheitslücken, um eben Druck zu machen, diese dann auch zu schließen, wie das dann hier auf dem Kongress auch geschieht.
Timm: Das heißt, die Hacker, die Netze knacken, sind zugleich die Spezialisten, wenn es um den Schutz von Informationssystemen geht, und die sozusagen Thomas de Maizière, der Bundesinnenminister sogleich für seine Cyber-Abwehr engagieren könnte?
Banse: Theoretisch ist das so. Ohne das zu wissen, aber ich gehe mal davon aus, dass in diesen ganzen Aktivitäten auch sicherlich Hacker eingebunden werden. Und es ist ja schon seit Jahren so und nichts Ungewöhnliches, dass Konzerne Hacker engagieren, um ihre Websiten, ihre IT-Systeme anzugreifen und Sicherheitslücken offenzulegen, damit die dann gestopft werden können. Und viele der Hacker hier und auch viele Führungsfiguren im Chaos Computer Club verdienen ihr Geld bei Firmen, die ihr Geld damit verdienen, Software und Hardware sicherer zu machen.
Timm: Heißt das, die Anarcho-Szene wechselt komplett in die Politikberatung? Oder ist der Chaos Computer Club mittlerweile ein ganz, ganz vielfältiges Mosaik?
Banse: Letzteres. Also ich glaube, er ist jetzt ein vielfältiges Mosaik und er wird es auch bleiben. Es gibt halt diese Schicht sagen wir mal der ungefähr 3000 Mitglieder, von denen viele einfach Spaß an Technik haben und Spaß haben zu probieren, was geht, und so. Und dann gibt es so diese Schicht, die so, aus der Führungsebene, die hier in Berlin ansässig ist, das ist eine klassische Lobby-Organisation: Die gehen im Bundesinnenministerium aus und ein, die reden mit Abgeordneten, die reden mit Wirtschaftsverbänden, die werden eingeladen zu Anhörungen im Parlament, der Chaos Computer Club wird regelmäßig vom Bundesverfassungsgericht als Gutachter bestellt in technischen Fragen, um eben dieses Know-how und das Wissen abzuschöpfen, und denke ich das wird sich weiterentwickeln. Der CCC klagt glaube ich eher darüber, dass sie mittlerweile eigentlich die einzige Nichtregierungsorganisation sind, die so politische Message, politischen Einfluss verbinden mit umfassendem technischen Wissen. Und die fühlen sich manchmal sogar eher ein bisschen überlastet und würden sich wünschen, dass es da noch mal andere Organisationen gibt, die so ähnliche Kombinationen von Fähigkeiten und Kompetenzen mit einbringen.
Timm: Deutschlandradio Kultur, das "Radiofeuilleton". Philip Banse informiert uns vom diesjährigen Treffen des Chaos Computer Clubs. Herr Banse, wenn die Computerknackereien nun überall präsent sind und jedes Kind das mit ein bisschen Information schon hinbekommt – Sie haben vorab erzählt, jedes Handy könnte man abhören mit ein bisschen Fachkenntnis. Wie kann denn vor diesem Hintergrund eine Abwehr, ein Cyber-Abwehrzentrum überhaupt aussehen und gelingen?
Banse: Na ja, also das ist natürlich eine schwierige Frage, über die jetzt natürlich alle reden. Aber ich denke, es gibt darauf keine Antwort, es scheint aber klar zu sein: Software muss besser werden, so, das glaube ich kann man so allgemein sagen. Sie muss mehr getestet werden, sie muss aufwendiger programmiert werden und das alles wird sehr viel Geld kosten. Wir haben jetzt heute noch nicht die Software, die beste aller Tage, sondern viel wird unter Zeitdruck gemacht, viel wird gemacht, weil es keinen gibt, der das so richtig kontrolliert, Hauptsache, die Kiste läuft irgendwie. Aber wenn man sie mal anders benutzt als ursprünglich gedacht, dann macht der Fernseher auf einmal kein Bild mehr, sondern er lädt sich irgendwie Software auf dem Internet runter. Das ist alles möglich, und die andere Sache ist, dass eben bei dieser Software-Weiterentwicklung Techniken zum Einsatz kommen müssen, die offen sind. Es kann nicht sein, dass da Sicherheitstechniken eingesetzt werden, die Firma A sich im Geheimen ausbaldowert und dann geheim hält, und keiner weiß so richtig, wie sie funktioniert, nur die Firma sagt, ja, ja, jetzt ist alles sicher, sondern es müssen Sicherheitstechniken entwickelt und benutzt werden, die offen liegen, wo jeder, der sich dafür interessiert und das Know-how hat, draufgucken kann, es ausprobieren kann und wirklich durchtesten kann. Und erst dann wird es sozusagen eine Qualitätsverbesserung geben. Und alles, was heute Stand der Technik, State-of-the-Art in IT-Sicherheitstechniken ist, ist auf diese offene Weise entstanden. Und ich denke, das muss ein Weg sein. Man muss sich aber auch klar sein: Man kann Technik nicht sicher machen. Es wird immer sicherer im besten Fall, aber es wird nie ganz sicher. Und was wir lernen müssen, ist halt erstens das zu erreichen, und zweitens mit diesem Restrisiko umzugehen und damit zu leben.
Timm: "We come in peace", das friedliche Motto des Chaos Computer Clubs bei seinem Kongress in Zeiten von Informationskriegen. Unser IT-Experte Philip Banse informierte. Herzlichen Dank!
Banse: Ich danke Ihnen!