Absolute Sicherheit in der elektronischen Datenverarbeitung wird es vermutlich nie geben. Davon ist Professor Michael Backes überzeugt. Er ist Direktor des CISPA, des Kompetenzzentrums für IT-Sicherheit in Saarbrücken.

Drei Zentren für IT-Sicherheit

Das CISPA ist eines von drei vom Bundesforschungsministerium finanzierten Zentren für IT-Sicherheit. Es analysiert multidisziplinär die durch das rasante Wachstum des Internets auftretenden Gefahren für Privatsphäre, Datensicherheit und Meinungs- sowie Informationsfreiheit. Beteiligt sind unter anderem Forscher der Universität und der beiden Max-Planck-Institute für Informatik in Saarbrücken.

Backes erklärt allerdings auch, dass die Forschung schon viel erreicht hat. So sind bestimmte frühere Angriffsziele heute nicht mehr gefährdet. Beispielsweise ist es unmöglich, eine verschlüsselte E-Mail zu knacken. "Wer das schafft, verdient den Nobelpreis", sagt Backes. Allerdings ist eine Verschlüsselung nur dann sicher, wenn die verschlüsselten Daten ohne Unterbrechung vom Sender zum Empfänger gehen. Es ist aufwändig, da beide Partner vorab ihre Schlüssel ausgetauscht haben müssen.

Dies geschieht jedoch in der Regel nicht. Die Daten laufen vom Sender zu einem Server, werden dort entschlüsselt und dann neu verschlüsselt zum nächsten Server geleitet, teilweise über eine Cloud – ein irgendwo auf der Welt stehender Datenspeicher - geführt. Wenn also jemand an die Daten herankommen will, kann er in den Server oder die Cloud einbrechen und dort die kurzfristig entschlüsselten Daten abrufen. Er kann auch in den Rechner von Sender oder Empfänger einbrechen und die Daten dort abfragen, bevor oder nachdem sie entschlüsselt werden.

Verschlüsselte Telefonate sind möglich

Das gilt in gleicher Weise für Telefonate. Spezielle Mobiltelefone, wie sie unter anderem von hochrangigen Politikern verwendet werden, verschlüsseln die Gespräche so sicher, dass diese nicht abgehört werden können. Das verlangt allerdings, dass beide Gesprächspartner über ein spezielles Telefon verfügen müssen und beide mit dem gleichen Schlüssel ausgestattet sind.

Wenn der Politiker jedoch eine Person anrufen will, die nicht über so ein Gerät verfügt, kann das Telefonat abgehört werden. Ob dies geschieht, ist dann keine Frage der Forschung mehr, sondern eine Frage des Vertrauens. Es wird aber gerade bei Menschen, die wichtige Entscheidungen zu treffen und zu besprechen haben, immer jemanden geben, der Interesse daran hat, diese Informationen abzurufen.

In Rechner einbrechen

Moderne Programme, vor allem die Betriebssysteme, sind so umfassend konstruiert, dass ein kompletter Schutz vor einem Angriff fast unmöglich ist. Das Windows-Betriebssystem besteht aus 70 Millionen Programmzeilen, die wiederum der Hersteller Microsoft als Quellcode nicht herausgibt. Dabei muss nicht einmal unterstellt werden, dass ein Programmierer bewusst eine Hintertür eingebaut hat.

Geschickte Hacker finden Schwachstellen, die es ihnen ermöglichen, Sicherheitsvorkehrungen eines Betriebssystems zu umgehen und dort einzudringen. Dies gilt in gleicher Weise für die Hardware. Die Prozessoren sind so komplex, dass auch hier Fehler und damit Angriffsmöglichkeiten unvermeidbar sind. Wenn ein Angreifer in einen wichtigen Internetserver eingedrungen ist, dann hat er auf alle Daten Zugriff. Wird der Angriff entdeckt und der Fehler behoben, so sucht der Eindringling weiter, bis er den nächsten Angriffspunkt findet.

Kampf gegen Windmühlen?

Professor Backes macht deutlich, dass die Forschung schon viel erreicht hat, beispielsweise bei Algorithmen zur Verschlüsselung. Heute ist es wichtig, dass bei der Entwicklung neuer Software von vornherein die Sicherheit berücksichtigt wird. So hat das Kompetenzzentrum EC SPRIDE in Darmstadt eine Instrument entwickelt, mit dem neue Programme der weit verbreiteten Sprache Java auf Sicherheitslücken getestet werden können. Dies kann jetzt geschehen, bevor ein neues Programm weltweit auf Computer und Smartphones installiert wird.

Die Hauptarbeit von CISPA in Saarbrücken besteht in der Analyse bestehender und neuer Systeme. Wie müssen Analysesysteme gestaltet ein, um Schwachstellen zu identifizieren?

Allerdings muss sich jeder bewusst sein, dass Daten, die wir bereitwillig ins Netz stellen, grundsätzlich nicht sicher sind. Was wir in einer Suchmaschine suchen, ist letztlich öffentlich und kann beispielweise für gezielte Werbung genutzt werden. Daten, die wir einer Firma nennen, sind nicht mehr privat. Die Forschung kann hier nur aufklären. Backes fasst zusammen: "Es hilft nur sich klar zu machen, was akzeptiere ich, wem vertraue ich, was toleriere ich und dementsprechend muss ich mich dann eben verhalten."

Das Bundesforschungsministerium fördert seit 2011 drei IT-Sicherheitsforschungszentren:

- CISPA - Center for IT-Security, Privacy and Accountability in Saarbrücken
- EC-SPRIDE - European Center for Security and Privacy by Design in Darmstadt
- KASTEL - Kompetenzzentrum für angewandte Sicherheitstechnologie in Karlsruhe

Die Einrichtungen haben sich zu anerkannten Partnern in Fragen der IT-Sicherheit in Deutschland und Europa entwickelt. So wurde beispielsweise ein Forschungsprojekt am Kompetenzzentrum CISPA in Saarbrücken mit dem höchstdotierten Forschungspreis "ERC Synergy Grant" der Europäischen Union ausgezeichnet. Das Projekt analysiert multidisziplinär die durch das rasante Wachstum des Internets auftretenden Gefahren für Privatsphäre, Datensicherheit und Meinungs- sowie Informationsfreiheit und erarbeitet dazu Lösungen.