Nummerntafeln für die digitale Welt

Der Datenverkehr sollte genauer geregelt sein, sagt Reinhard Posch am Rande der Alpbacher Technologiegespräche. Der Informatikprofessor ist Österreichs Chief Information Officer.

Die Presse:Gerhard Eschelbeck, IT-Sicherheitschef bei Google, sagt, der einfallslose User ist die größte Herausforderung für die IT-Sicherheit. Wie sehen Sie das?

Reinhard Posch:Wenn Sie die Sicherheit Ihres Gerätes anschauen, ja. Wenn Sie sich die Sicherheit des Systems insgesamt anschauen, zeigt die Erfahrung: Sie werden nicht die Gesamtheit der User ändern. Es ist eine Illusion, dass die Österreicher plötzlich viel IT-affiner sind. Es ist für die meisten erledigt, wenn es geht. Das Hauptproblem ist nicht, dass die technischen Möglichkeiten fehlen, Risken einzufangen. Das Hauptproblem ist, dass dieses Rennen von Komfort und Sicherheit immer zugunsten des Komforts ausgeht. Man kann auch nicht erwarten, dass die Leute alle Techniker sind. Deswegen muss man die Infrastruktur stabiler machen.

Das bedeutet?

Wenn man Sicherheit anspricht, stellt man oft nur auf entstandene Attacken ab. Mir geht es eher darum, was sich in der Kommunikation in den vergangenen Jahren verändert hat und wie wir unsere Strukturen längerfristig anpassen, damit wir nicht immer hinten nach laufen. Das geht subtil aber noch viel weiter. Was ist eine Attacke? Ist es etwas, das Sie merken?

Die Antwort ist wohl nein.

Natürlich. Ein Beispiel: Wenn jemand einen Virus in Ihrem PC verpflanzt, bemerken Sie die Attacke. Früher oder später – vielleicht mit Zeitzünder – passiert etwas. Da gibt es die verschiedensten Tricks. Aber das könnte man noch sehen. Und dann gibt es auch ganz andere Attacken, wo jemand etwa nur die Existenz des Verkehrs, selbst wenn er verschlüsselt ist, beobachtet. Er sieht, wenn Sie plötzlich drei Tage lang nicht mehr von zu Hause aus kommunizieren. Jemand, der in Ihre Wohnung einbrechen will, ist gut beraten, sich diese drei Tage für die Tat auszusuchen.

Apropos zu Hause: Das Internet der Dinge vernetzt Gegenstände des Alltags immer stärker. Wo bleibt da die Sicherheit?

Wenn Sie automatisch den Lichtschalter oder das Garagentor betätigen oder Kühlschrank oder Kaffeemaschine einschalten: Da ist fast überall das Internet dabei. Die Frage ist, wie man es beteiligt. In den meisten Fällen handelt man sich schnell massive Sicherheitslücken ein. Das Problem ist, dass beim Erstellen dieser technischen Spielereien meist die Technologie des Dings im Vordergrund steht, also die Frage, wie etwas funktioniert, und nicht die Sicherheit. Auch die Leute, die das entwickeln, sind meistens nicht so eingestellt und nicht darauf ausgebildet.

Landet man mit dieser Argumentation nicht doch wieder beim Risikofaktor Mensch?

Ja, aber ich habe derzeit in der Technologie extreme Risken. Ein Beispiel: Wenn ich Sie jetzt anrufe, gibt es technisch gesehen keinen Grund, dass das Telefonat nicht über ein anderes, billigeres Land geroutet und vielleicht dort abgehört wird. Es gibt durchaus auch renommierte Länder, die die Mobilkommunikation nicht so tragisch nehmen. Dort können sich irgendwelche Organisationen in die Kommunikation einmengen. Das bedeutet, dass alles, was Sie machen, etwa ein SMS für E-Banking, interessant wird.

Was kann man unternehmen?

Man müsste so etwas wie Ländernummerntafeln schaffen. Wenn Ihr Gespräch, aber vor allem Ihre Daten, die Ländernummerntafel Österreich haben, und ein Provider diese nur dann weitergeben darf, wenn der Empfänger in Österreich oder zumindest in Europa ist, dann unterliegen beide einer gemeinsamen Rechtsbasis. Darum geht es ja.

Es gibt in Europa strenge Gesetze, und trotzdem haben wir viel mehr Spam als in Amerika . . .

Weil Umwege gewählt werden. Und das kann durchaus ein Österreicher sein, der damit das Rechtssystem verlässt und wieder zurückkommt. Sie brauchen die Klage gar nicht zu beginnen, weil Sie wissen, dass es Staaten gibt, die nicht kooperativ sind. Auch wenn Sie mit Google eine rechtliche Diskussion beginnen, merken Sie, dass es Google in Österreich als Firma rechtlich nicht gibt.

Haben Sie Sicherheitstipps für unsere Leser?

Das Anklicken von Links ist wahrscheinlich die größte Gefahr, quer über die Systeme hinweg. Weil das, worauf Sie klicken, nicht mit dem übereinstimmen muss, was Sie erwarten. Eigentlich müssten Sie den Link jedes Mal in einen Browser eingeben und schauen: Ist das wirklich ein Link, den ich haben möchte? Wenn Sie es sicherheitstechnisch sauber lösen wollen, kommen sehr oft Mechanismen heraus, die unpraktikabel sind. Aber wenn es um etwas geht, sollte man es machen. Dann ist natürlich das Verwenden von Seiten, ohne https (Kommunikationsprotokolle zur sicheren Datenübertragung, Anm.) sehr kritisch und auch eine Mischung von gesicherten und ungesicherten Seiten.

Was ist denn Ihre Aufgabe als Österreichs Chief Information Officer?

Was ich seit dem Jahr 2001 in diesem Konzert mache, ist, die IT-Strukturen innerhalb der Bundesverwaltung einer gemeinsamen Strategie zu unterlegen: um wirtschaftlicher zu sein, aber auch, um sicherer und effizienter zu sein.

Sie sind Informatikprofessor. Wie geht es Ihnen in dieser Position nahe der Politik?

Was ich heute entwickle, wird vielleicht in zwei, drei Jahren wirksam werden. Wenn Sie das mit politischen Zielen in Einklang bringen wollen, wird es naturgemäß schwierig. Das sind langfristige strategische Entscheidungen, die keinen Verkaufseffekt haben. Da ist politisch nichts drinnen: Das ist nicht rot, schwarz, blau, braun oder was auch immer – das ist sozusagen politisch neutral. Mit dem Vorteil, den wir in Österreich im Unterschied zu anderen Ländern genutzt haben, dass wir über unterschiedlichste politische Perioden hinweg die Strategie beibehalten haben.

Die Kriminellen von heute sind deutlich höher qualifiziert als die von früher.

Die Kleinkriminellen machen weiter viel Blödsinn. Aber die intelligente Kriminalität gibt es auch schon lange – ich erinnere mich an einen Fall im Jahr 2000 in Oberösterreich, wo die Täter bereits verschlüsselt kommunizierten.

Es ist also ein ständiges Wettrennen mit der Höherqualifizierung der IT-Kriminellen?

Sie qualifizieren sich in gleicher Weise. Bei Massentechnologien ist es besonders gefährlich. Warum hat Windows so viel Viren und warum hat Mac weniger Viren? Ganz einfach, weil es so viel mehr Windowsrechner gibt. Wenn Sie mit dem Netz fischen, gehen Sie auch dorthin, wo mehr Fische sind.

Wie gelingt es also in der Verbrechensbekämpfung, mit dem Tempo der neuen Entwicklungen mitzuhalten?

In einem Land wie Österreich sind wir keinesfalls in der Lage, laufend bei den neuesten Dingen aktuell zu bleiben. Das ist eine sehr, sehr große Schwierigkeit. Daher muss man schauen: Was ist der Standardlevel, wo man tatsächlich 90 oder 95 Prozent oder noch mehr abschöpft. Und für den Rest muss man sich ad hoc Maßnahmen überlegen, wie man mit den Gefahren der Technologie zurechtkommt.

Kommen Sie eigentlich selbst noch zum Forschen?

Durchaus, mich interessiert etwa das Absichern des Internets der Dinge. Ich befasse mich oft mit Ideen, setze diese auch selbst um oder jemanden dort an, wo ich glaube, dass etwas drinnen ist. Ein Beispiel ist die Registrierkassa. Das Grobkonzept dafür habe ich allein gemacht. Ich habe mir das deutsche System, das zur Diskussion stand, angeschaut und gesehen: Eigentlich ist das ein Fall, wo man Block-Chain-Technologie einführen sollte. Dabei arbeiten die Registrierkassen völlig dezentral, trotzdem kann keiner nachträglich etwas verändern, weil alle Rechnungen eines Kassensystems verknüpft sind.

Sie waren einst der jüngste Ordinarius der TU Graz. Was raten Sie Jungforschern heute für Ihre Karriere?

Nicht zu stark auf die momentane Wirtschaftlichkeit des Themas abzustellen, sondern auf die Langfristigkeit. Wir müssen uns auch in den technischen Bereichen stärker auf den grundlagenorientierten Teil konzentrieren, der aber anwendbar ist. Nur wo Innovation herauskommt, gibt es langfristig einen kompetitiven Vorteil.

("Die Presse", Print-Ausgabe, 03.09.2016)