Um die Sicherheit im Internet+ ist es ziemlich schlecht bestellt. Die Bedrohungen nehmen zu, die Angreifer sind immer unverfrorener, und die Mittel zur Verteidigung sind immer unzulänglicher.
Die Technologie sollte jedoch nicht allein dafür verantwortlich gemacht werden. Entwickler wissen bereits, wie sich einige der von mir erwähnten Probleme beheben lassen. Mehrere Hundert Unternehmen und eine noch größere Zahl unabhängiger Forscher arbeiten an neuen und verbesserten Sicherheitstechnologien zum Schutz vor den auftretenden Bedrohungen. Die Herausforderung ist groß, gehört aber eher in die Kategorie »Einen Menschen zum Mond schicken« als in die Rubrik »Reisen mit Überlichtgeschwindigkeit«. Es gibt zwar kein Patentrezept, aber die Kreativität der Entwickler beim Erfinden neuartiger Lösungen für schwierige Aufgaben kennt fast keine Grenzen.
Dennoch glaube ich nicht, dass sich in absehbarer Zeit etwas verbessern wird. Mein Pessimismus ist vor allem auf die regulatorischen Herausforderungen zurückzuführen. Der gegenwärtige Zustand der Sicherheit im Internet ist das unmittelbare Ergebnis wirtschaftlicher Entscheidungen von Unternehmen sowie militärischer/geheimdienstlicher Entscheidungen von Regierungen. Ich habe das in Kapitel 4 ausführlich beschrieben. In den letzten Jahrzehnten haben wir erkannt, dass Computersicherheit eher ein menschliches als ein technisches Problem ist. Von Bedeutung sind Gesetz und Wirtschaft sowie Psychologie und Soziologie – entscheidend sind jedoch Politik und Regulierungsmaßnahmen.
Betrachten Sie beispielsweise Spam. Jahrelang war Spam ein Problem, mit dem Sie sich bei der Nutzung eines Computers auseinandersetzen mussten, vielleicht sogar mit Unterstützung Ihres Internetanbieters, wenn dieser lokale Anti-Spam-Dienste zur Verfügung stellte. Am effizientesten konnte Spam innerhalb des Netzwerks identifiziert und gelöscht werden, aber keiner der Betreiber des Internet-Backbones kümmerte sich darum, weil es ihnen eigentlich egal war, zumal sie diesen Aufwand auch niemandem in Rechnung stellen konnten. Die Situation änderte sich erst, als sich die wirtschaftlichen Rahmenbedingungen für den E-Mail-Dienst änderten. Als die meisten User schließlich Konten bei einem der wenigen großen E-Mail-Anbieter hatten und der Großteil des E-Mail-Verkehrs zwischen diesen Anbietern stattfand, war es für diese plötzlich sinnvoll, für alle User automatische Anti-Spam-Dienste bereitzustellen. Das hatte eine Reihe neuer Technologien zur Erkennung und zum Aussortieren von Spam zur Folge. Heutzutage besteht zwar immer noch mehr als die Hälfte aller E-Mails aus Spam, aber 99,99 Prozent davon werden blockiert. Hierbei handelt es sich um eine der Erfolgsgeschichten der Computersicherheit.
Betrachten Sie nun den Kreditkartenbetrug. In der Frühzeit der Kreditkarte gaben die Banken den größten Teil der durch Kreditkartenbetrug verursachten Kosten an die Kunden weiter. Das führte dazu, dass die Banken kaum etwas gegen Kreditkartenbetrug unternahmen. Das änderte sich 1974, als die USA den Fair Credit Billing Act einführten, der die Haftung der Kunden auf 50 Dollar begrenzte. Der Kongress schuf einen Anreiz, gegen Betrug vorzugehen, indem er die Banken zwang, sich an den Kosten des Kreditkartenbetrugs zu beteiligen. Das führte zu all den heute üblichen Sicherheitsmaßnahmen: Überprüfung der Karte in Echtzeit, Expertensysteme, die Transaktionslisten nach Anzeichen für Betrug durchsuchen, die Notwendigkeit manueller Kartenaktivierung, Chipkarten und so weiter. All diese Maßnahmen sorgten dafür, dass der Betrug zurückging. Wichtiger ist jedoch, dass es sich um Maßnahmen handelte, die die Kunden selbst überhaupt nicht hätten treffen können.
Die britischen Banken konnten die Kosten weiter auf ihre Kunden abwälzen und brauchten daher länger, um diese Maßnahmen einzuführen. Durch die Zahlungsdiensterichtlinie der EU sollte der Schutz der Kunden an den US-Standard angeglichen werden, sie lässt den Banken aber noch Spielraum, wenn Kunden grob fahrlässig handeln. (Erstaunlicherweise könnte Großbritannien das sogar noch schlechter lösen.) Gleichermaßen wurden in den USA die Sicherheitsmaßnahmen für Debitkarten erst eingeführt, als ein Gesetz die Banken zwang, auch hier die Kosten der Betrügereien zu übernehmen.
Die beiden Beispiele zeigen, dass die entsprechenden Technologien entwickelt werden, wenn es gelingt, den richtigen Anreiz für Sicherheitsmaßnahmen zu schaffen. Bei Spam war eine Änderung der wirtschaftlichen Rahmenbedingungen erforderlich, damit sich die Maßnahmen für die E-Mail-Anbieter lohnten. Bei Kreditkarten war ein Gesetz notwendig, um den richtigen Anreiz für die Banken zu schaffen. Und beim Internet+ handelt es sich ebenfalls vor allem um eine Frage der richtigen Anreize – und um eine Frage der Richtlinien.
Bislang haben wir den Markt und die Regierung weitgehend sich selbst überlassen, sodass sie im Geheimen vorgehen konnten und sich auf die in Teil I des Buchs beschriebene Situation verständigt haben. Das ist der durch die gegenwärtigen Richtlinien bedingte unzulängliche Status quo der Sicherheit. Der Markt wird die Lage nicht verbessern, solange sich kurzfristig Gewinne erzielen lassen, indem wir ausspioniert und unsere Daten verkauft, Details der Sicherheit vor Verbrauchern und Usern geheim gehalten und Sicherheitsfragen ignoriert werden und solange nach der Devise »Hoffen wir das Beste« gehandelt wird. Und auch die Regierung wird nicht zur Verbesserung beitragen, solange sie weitgehend durch Wirtschaftslobbyisten und Organisationen wie die NSA und das Justizministerium kontrolliert wird, denen Spionage wichtiger ist als Sicherheit.
Wenn wir das Verhältnis von Einbußen durch mangelhafte Sicherheit zu Ausgaben für Sicherheitsverbesserungen zugunsten der Letzteren verschieben wollen, werden wir die Anreize ändern müssen. Es ist Aufgabe unserer repräsentativen Regierung, transparent daran zu arbeiten, die Dinge zum Besseren zu wandeln. Eben diese Mitwirkung der Regierung ist es, die heute bei der Ausgestaltung der Sicherheit des Internet+ fehlt. Obwohl dabei sicherlich jede Menge Probleme auftreten werden, sehe ich keine andere Möglichkeit, die anstehenden Herausforderungen zu bewältigen. Staatliche Eingriffe, ob in Form von Regulierung, Haftung oder direkter Förderung, sind zwar keine Patentlösung, ihr Ausbleiben aber auch nicht. Im besten Fall ermöglicht die Regierung uns allen, Probleme des kollektiven Handelns zu bewältigen, sie finanziert nicht auf kurzfristigen Gewinn ausgerichtete Anstrengungen und gibt Richtlinien für akzeptables Verhalten vor. Schlimmstenfalls lässt sie sich von privaten Interessengruppen vereinnahmen oder wird zu einer festgefahrenen Bürokratie, die mehr mit dem eigenen Überleben als mit dem Regieren beschäftigt ist. In der Realität werden sich vermutlich Verhältnisse ergeben, die irgendwo zwischen diesen beiden Extremen liegen.
In meinem Buch Liars and Outliers (dt. Titel Die Kunst des Vertrauens) habe ich geschrieben, dass »Sicherheit eine Besteuerung der Ehrlichen« ist. Ich meine das ganz allgemein: Es geht um die zusätzlichen Kosten, die wir alle tragen müssen, weil einige von uns unehrlich sind. Wir müssen in Ladengeschäften höhere Preise bezahlen, weil die Inhaber Wachpersonal einstellen und Überwachungskameras installieren, um Ladendiebstahl zu verhindern.
Die Ausgaben für Sicherheit entsprechen quasi dem Eigengewicht ohne Nutzlast: Sie tragen nicht zur Produktivität bei, sondern sollen verhindern, dass schlimme Dinge geschehen. Wenn Banken kein Geld für die Sicherheit ausgeben müssten, könnten sie ihre Dienste günstiger anbieten. Wenn Regierungen kein Geld für Polizei und Militär ausgeben müssten, könnten sie die Steuern senken. Wenn Sie und ich uns keine Sorgen um Einbrüche machen müssten, könnten wir Geld sparen, weil wir keine Schlösser, Alarmanlagen und vergitterte Fenster kaufen müssten. In manchen Ländern lassen sich rund ein Viertel aller Arbeitsstellen der Kategorie »Schutzdienste« zuordnen.
Bei der Sicherheit des Internet+ verhält es sich nicht anders. Das Marktforschungsunternehmen Gartner schätzt, dass die Ausgaben für Sicherheit im Jahr 2018 etwa 93 Milliarden Dollar betrugen. Wenn wir nach mehr Sicherheit verlangen, werden wir dafür mehr Geld ausgeben müssen. Wir werden für Computer, Smartphones, IoT-Geräte, Internetdienste und alles andere höhere Preise zahlen müssen. Es gibt schlicht und einfach keine andere Möglichkeit. Die Richtlinien werden auch die Frage klären müssen, auf welche Weise wir für Sicherheit bezahlen.
Manchmal ist es sinnvoll, als Einzelperson diese Kosten selbst zu tragen, beispielsweise bei der Absicherung des eigenen Hauses. Wir kaufen unsere eigenen Türschlösser, und manche von uns erwerben auch Alarmanlagen. Einige US-Bürger geben Geld für Schusswaffen aus, und die Wohlhabendsten leisten sich vielleicht einen Leibwächter, einen Schutzraum oder, falls es sich um einen James-Bond-Bösewicht handelt, eine Privatarmee. Hierbei handelt es sich um persönliche Ausgaben. Ihre Ausgaben sind von meinen völlig unabhängig und umgekehrt.
Es kann jedoch auch sinnvoll sein, gemeinsam für die Sicherheit zu bezahlen, wie im Falle der Polizeiarbeit. Wir fordern ja nicht: »Wenn Sie Polizeiarbeit wollen, müssen Sie selbst dafür bezahlen.« Stattdessen wird ein Teil der Steuern, die wir alle zahlen, für die Polizeiarbeit eingesetzt. Wir tun das, weil sich gemeinnützige Dienste am effektivsten durch gemeinschaftliche Entscheidungsfindung und Finanzierung bereitstellen lassen. Die Polizei schützt die Gesellschaft im Allgemeinen (zumindest theoretisch), und dabei spielt es keine Rolle, ob bestimmte Einzelpersonen danach verlangen.
Letztendlich wird die verbesserte Sicherheit im Internet+ wahrscheinlich durch eine Mischung individueller und gemeinschaftlicher Ausgaben finanziert werden, wie ich in Teil II des Buchs erläutern werde. Zu den individuellen Ausgaben gehören die Kosten für Sicherheitsprogramme zum Schutz des Computers und Firewalls zum Schutz des Netzwerks. Zu den gemeinschaftlichen Ausgaben gehören die Kosten für polizeiliche Ermittlungen im Bereich Cyberkriminalität, militärische Einheiten zur Cyberkriegsführung und Investitionen in die Infrastruktur des Internets. Unternehmen werden Sicherheitsmaßnahmen in ihre Produkte integrieren, entweder weil es der Markt verlangt oder weil sie von der Regierung dazu gezwungen werden. Es wird Rechtsstreitigkeiten um unsichere Produkte geben und Versicherungen, die vor Verlusten schützen. Die Sicherheit wird verbessert werden, um weitere Gerichtverfahren zu verhindern und die Versicherungsprämien zu senken. Was da entsteht, wird also kein großes Ganzes sein, sondern ein Flickenteppich – ganz so, wie auch die Sicherheit in der realen Welt.
Es wird zwar teuer werden, aber der entscheidende Punkt ist: Wir werden so oder so die Kosten tragen. Es ist schwierig, belastbare Zahlen darüber zu finden, wie viel die Sicherheit im Internet kostet, es gibt jedoch obere und untere Grenzen. Ein Bericht des Ponemon Institute aus dem Jahr 2017 kommt zu dem Schluss, dass voraussichtlich jedes vierte Unternehmen gehackt werden wird und dass dabei im Schnitt Kosten von jeweils 3,6 Millionen Dollar anfallen. Ein Bericht von Symantec schätzt, dass 2017 etwa 978 Millionen Menschen in 20 Ländern von Cyberkriminalität betroffen waren, wobei ein Schaden von 172 Milliarden Dollar verursacht wurde. Die umfassendste mir bekannte Untersuchung ist eine Studie von RAND aus dem Jahr 2018, deren Ergebnisse denkbar breit gestreut sind:
Wir haben festgestellt, dass die resultierenden Werte sehr stark von den Eingabeparametern abhängig sind. Bei der Verwendung von drei verschiedenen realistischen Parametergruppen ergeben sich durch Cyberkriminalität beispielsweise Kosten für das direkte weltweite Bruttoinlandsprodukt (BIP) zwischen 275 Milliarden und 6,6 Billionen Dollar. Die Gesamtkosten (direkte und systemische Beiträge) liegen zwischen 799 Milliarden und 22,5 Billionen Dollar (das entspricht 1,1 bzw. 32,4 Prozent des BIP).
Es spielt keine Rolle, welche Schätzung Sie verwenden, in jedem Fall ist das viel Geld. Und diese Kosten werden die Wirtschaft belasten, wobei es keinen Unterschied macht, ob wir direkt die Verluste tragen oder ob ein Teil der Kosten durch die Sicherheitsmaßnahmen entsteht, die zur Verringerung der Verluste dienen. Allerdings sind alle direkten Verluste reine Geldverschwendung. Wenn wir hingegen für die verbesserte Sicherheit bezahlen, führt das zu besseren Sicherheitstechnologien, weniger Kriminellen, sichereren Verhaltensweisen von Unternehmen und so weiter – alles Dinge, die sich zukünftig Jahr für Jahr bezahlt machen werden.
Es gibt einen Witz darüber, dass Technologen sich dem Gesetz zuwenden, um ihre Probleme zu lösen, während Rechtsanwälte sich zum Lösen ihrer Probleme der Technologie zuwenden. Tatsächlich jedoch müssen Technologie und Gesetz zusammenwirken, wenn die Probleme gelöst werden sollen. Das ist die wichtigste Lehre, die aus Edward Snowdens Dokumenten zu ziehen ist. Wir wussten schon immer, dass Technologie das Gesetz untergraben kann. Snowden hat uns gezeigt, dass auch der Gesetzgeber – insbesondere durch geheime Gesetze – die Technologie untergraben kann. Gesetz und Technologie müssen zusammenarbeiten, denn sonst kann weder das eine noch das andere funktionieren.
Teil II beschreibt, wie wir diese Aufgabe in Angriff nehmen können.
Vor einigen Jahren habe ich mir einen Thermostat gekauft. Ich reise viel und wollte an den Tagen, an denen ich nicht zu Hause bin, Energie sparen. Mein neuer Thermostat ist ein mit dem Internet verbundener Computer, den ich mit meinem Smartphone steuern kann. Ich kann Programme speziell für die Zeiten einstellen, in denen ich zu Hause, und für die, in denen ich abwesend bin, und mir die Temperatur im Haus anzeigen lassen – und all das aus der Ferne. Wirklich überzeugend.
Leider habe ich mir damit jedoch auch einige potenzielle Probleme eingehandelt. 2017 prahlte ein Hacker im Internet damit, dass er aus der Ferne Thermostate der Firma Heatmiser übernehmen könne – zum Glück verwende ich ein anderes Modell. Unabhängig davon führte eine Forschergruppe eine Ransomware vor, die zwei in den Vereinigten Staaten verbreitete Thermostatmodelle kapern konnte – mein Modell war wieder nicht dabei – und eine Lösegeldzahlung in Bitcoin verlangte, um auf die Steuerung der Geräte zu verzichten. Wenn sie in der Lage waren, die Ransomware zu installieren, hätten sie den Thermostat auch zum Teil eines Botnets machen und ihn zum Angriff auf andere Rechner im Internet einsetzen können. Hierbei handelte es sich um ein Forschungsprojekt; keins der funktionierenden Thermostate wurde beschädigt, und es gab auch keine geplatzten Heizungsrohre. Aber beim nächsten Mal könnte mein Modell betroffen sein, und die Folgen wären womöglich nicht so harmlos.
Wenn es um die Sicherheit geht, sind beim Internet+ zwei entscheidende Punkte zu beachten:
Erstens: Die Sicherheitseigenschaften unserer Computer und Smartphones werden zu den Sicherheitseigenschaften von allem werden. Wenn Sie an unsichere Software denken oder an mit dem Anmelden und Authentifizieren verbundene Probleme oder an Sicherheitslücken und Softwareupdates – alles Themen, die in Teil I des Buchs zur Sprache kommen –, müssen Sie nicht nur Computern und Smartphones Beachtung schenken, sondern auch Thermostaten, Autos, Kühlschränken, implantierten Hörhilfen, Kaffeetassen, Straßenlaternen, Verkehrsschildern und praktisch allem anderen. Computersicherheit wird gleichbedeutend mit Sicherheit im Allgemeinen sein.
Und zweitens: All die Lehren, die wir aus der Computersicherheit gezogen haben, werden überall anwendbar sein. Diejenigen unter uns, die auf dem Gebiet der Computersicherheit tätig waren, haben in den vergangenen Jahrzehnten eine Menge gelernt: über das Wettrüsten zwischen Angreifern und Verteidigern, über Rechnerausfälle und über die Notwendigkeit von Stabilität – wiederum alles Themen, auf die wir noch zu sprechen kommen. Früher bezogen sich diese Lehren nur auf Computer, aber heutzutage gelten sie für alles.
Es gibt allerdings einen entscheidenden Unterschied: Jetzt steht sehr viel mehr auf dem Spiel.
Die Risiken eines Internets, das seine Umgebung direkt physisch beeinflussen kann, nehmen immer katastrophalere Ausmaße an. Zu den heutigen Bedrohungen zählen die Möglichkeit, dass Hacker Flugzeuge aus der Ferne zum Absturz bringen, dass sie Autos lahmlegen oder an medizinischen Geräten herumpfuschen, um Menschen zu töten. Wir müssen uns Sorgen machen, dass GPS-Geräte gehackt werden, um den weltweiten Warenversand fehlzuleiten, oder dass die Ergebnisse elektronischer Abstimmungssysteme manipuliert werden, um Wahlen zu entscheiden. Beim Smart Home können Angriffe zu Schäden an der Immobilie führen. Bei Banken können sie wirtschaftliches Chaos verursachen und bei Müllverwertungsanlagen zu Umweltkatastrophen führen. Bei Autos, Flugzeugen und medizinischen Geräten können sie tödlich sein. Und bei Angriffen von Terroristen oder Nationalstaaten kann die Sicherheit ganzer Wirtschaftssysteme und Nationen auf dem Spiel stehen.
Sicherheit ist ein Wettrüsten zwischen Angreifern und Verteidigern. Denken Sie zum Vergleich an die Schlacht, die sich Werbetreibende und Adblocker im Internet liefern. Wenn Sie – wie weltweit rund 600 Millionen Menschen – einen Adblocker verwenden, werden Sie bemerkt haben, dass einige Websites jetzt Adblocker-Blocker einsetzen, um Ihnen ihre Inhalte vorzuenthalten, wenn Sie Ihren Adblocker nicht abschalten. Auch beim Thema Spam findet ein Wettrüsten statt zwischen den Spammern, die immer neue Techniken nutzen, und den Anti-Spam-Unternehmen, die an Gegenmaßnahmen arbeiten. Beim Klickbetrug verhält es sich ganz ähnlich: Die Betrüger setzen verschiedene Tricks ein, um Unternehmen wie Google davon zu überzeugen, dass echte Menschen auf einen Weblink geklickt haben und dass Google den Betrügern Geld schuldet, während Google versucht, die Klickbetrüger zu enttarnen. Kreditkartenbetrug ist ein permanentes Wettrüsten zwischen den Kriminellen, die neue Verfahren entwickeln, und den Kreditkartenunternehmen, die darauf bedacht sind, Betrug zu verhindern und die Schwindler zu entdecken. Moderne Geldautomaten sind das Ergebnis eines jahrzehntelangen Wettrüstens zwischen Angreifern und Verteidigern, der auch heute noch stattfindet. Die Betrüger verwenden immer kleinere und unauffälligere sogenannte Skimmer, um Bankkarteninformationen und PINs auszulesen, und greifen die Automaten sogar über das Internet an.
Um zu einem besseren Verständnis der Sicherheit des Internet+ zu gelangen, müssen wir uns zunächst einmal mit dem aktuellen Zustand der Internetsicherheit befassen. Wir müssen die technologischen, wirtschaftlichen, politischen und kriminellen Entwicklungen verstehen, die zum gegenwärtigen Zustand geführt haben und weiterhin wirksam sind, sowie die technologischen Trends, die festlegen und beschränken, was überhaupt möglich ist. Dann zeichnet sich ab, was in Zukunft zu erwarten ist.