Das virtuelle Äquivalent holländischer Protestanten
Über Bruce Schneiers Buch "Secrets & Lies - Digital Security in a Networked World"
"Theoretisch gibt es keinen Unterschied zwischen Theorie und Praxis. Praktisch schon." US-Baseballlegende Yogi Berra hat diesen schönen Satz gesagt - und Bruce Schneier zitiert ihn nicht zufällig ziemlich zu Anfang seines Buchs "Secrets and Lies: Digital Security in a Networked Age". Denn genau um die Kluft zwischen der wunderbaren Welt kryptographischer Theorie und alltäglicher Netzwerk-Unsicherheit geht es.
Das Gemälde, das Schneier von der heutigen Landschaft der digitalen Sicherheit zunächst pinselt, scheint trist und hoffnungslos: Gefahren erwachsen allüberall wie eine ganze Horde Hydras mit vielerlei Gesichtern - vom bewussten Angriff mit dem Ziel von Diebstahl, Betrug, Vandalismus, Terrorismus über (halb)legales Sammeln und Verwerten privater Nutzerdaten bis zum Programmfehler mit verherenden Konsequenzen. Die Möglichkeiten aber, diesen Gefahren zu begegnen, mögen bestenfalls in Isolation narrensicher sein - im Zusammenspiel eines realen Systems sind sie es nie. "Sicherheit ist eine Kette, die immer nur so stark ist wie ihr schwächstes Glied" ist eine von zwei Grundweisheiten, die Schneier nicht müde wird zu wiederholen. Was hilft der mathematisch absolut wasserdichte Verschlüsselungsalgorithmus, wenn ein Programm ihn falsch anwendet? Was hilft der korrekt angewendete Algorithmus, wenn das Programm fahrlässige Hintertürchen zu den unverschlüsselten Daten offen lässt? Was hilft das perfekte Programm, wenn es auf einem Betriebssystem aufsitzt (noch dazu dem weitest verbreiteten), das durchsiebt ist mit haarsträubenden Sicherheitslücken? Und was hilft rundum sichere Software bei Anwendern, die ihre Passwörter auf Zetteln an den Monitor kleben?
Schneier analysiert und systematisiert in zwei großen Abschnitten die gesamte Bandbreite der Gefahren und der Sicherheitstechnologien mit klarem Blick und klarem Stil - nicht sonderlich elegant, aber auch für Laien auf dem Gebiet bestens verständlich, frei von technobabble, anektdotenreich, umgangssprachlich, witzig. Was sich danach einstellt ist zunächst ein gewisses Gefühl der Hoffnungs- und Ratlosigkeit, denn das Fazit ist klar: Es gibt keinen wirklichen Schutz. An diesem Fazit ändert auch Schneiers drittes Großkapitel nichts, aber in ihm naht die Rettung in Gestalt der Erkenntnis: "Macht nichts." Oder, weniger überspitzt formuliert: Die Suche nach der perfekten Sicherheitstechnologie ist zum Scheitern verurteilt, nicht aber die Suche nach Strategien, um mit imperfekten Technologien vernünftig zu leben. "Sicherheit ist kein Produkt, sondern ein Prozess" lautet die zweite Grundweisheit, die Bruce Schneier unzählige Male vorbetet. (Die größte Schwäche des Buchs ist sein stetig zunehmender Hang zur Redundanz.) Es gilt, den Blick umzustellen von der gewohnten Sichtweise, in der "digitale Sicherheit" eine Komponente ist, die man wie eine Festplatte oder Grafikkarte im System installiert, zu einer Sichtweise, die das gesamte System im Auge hat und Sicherheit eher als eines seiner emergenten Phänomene betrachtet.
Vor allem aber sieht Schneier als Ziel eine realistische Kalkulation der Risiken und die Entwicklung von Verfahren, mit ihnen sinnvoll umzugehen. So, wie unsere nichtvirtuelle Welt noch nicht daran zugrunde gegangen ist, dass Diebstahl, Einbruch, Bankraub, Erpressung, Terrorismus, Unfälle in ihr möglich sind, so sollen in der digitalen Welt Mechanismen heranreifen, die mit Bedrohungen nicht nur auf dem unzuverlässigen Weg der Prävention umzugehen wissen. Einerseits heißt das, Sicherheitsaufwand und zu erwartenden Schaden in einer klaren Kosten-Nutzen-Rechnung gegenüberzustellen - gewisse Verluste hinzunehmen und einzukalkulieren, sich gegen andere zu versichern. Andererseits bedeutet es, das Aufspüren, Verfolgen (und gegebenenfalls Bestrafen) von Sicherheitsverletzungen in ganz neuem Maßstab zu betreiben. Und siehe da: "Sicherheit ist kein Produkt, sondern ein Prozess." Und der Prozess ist das Produkt: Bruce Schneier, einer der Chefs einer Firma für "Managed Security Monitoring", einer privatwirtschaftlichen Sicherheits-Überwachungs- und Eingreiftruppe, sieht - Überraschung! - die wahre Zukunft digitaler Sicherheit in "Managed Security Monitoring". Was Schneier erst im Nachwort - und dort auch nur am Rande, halbbewusst - anspricht, ist der Grund dafür, warum im Bereich der digitalen Sicherheit ein solcher Paradigmenwechsel nötig ist.
Kryptographie, Computer, Internet - allesamt sind sie in ihrem Ursprung rein militärische Entwicklungen. Und das hat nicht nur sie selbst geprägt, sondern auch die Weise, wie über sie nachgedacht wurde und wird. Militärische Sicherheitsbedürfnisse aber sind eine recht binäre Angelegenheit: Ihr Ideal ist vollkommene Sicherheit, alles darunter ist faktisch wertlos. Die relevanten Informationen müssen gänzlich zuverlässig geschützt sein, weil sie schlacht-, ja kriegsentscheidend sein können - und eine Versicherung gegen einen verlorenen Krieg bei Lloyds keine Option ist. (Dass in der Realität auch das Militär nicht mit perfekten Sicherheitssystemen aufwarten kann, tut dabei nichts zur Sache: Das ZIEL ist Perfektion, und entsprechend ist die Ausrichtung der Theorie und Forschung.)
Das momentane Hauptinteresse an Computersicherheit ist aber inzwischen ein ganz anderes - ein wirtschaftliches. Der Grund, warum dieses Thema derzeit einen solchen Stellenwert hat, ist schlicht der, dass es um Absicherung von Eigentum geht. Die Forschung und die Diskussion würde nicht auf solchen Touren laufen, ginge es nicht um Geld. In einem wirtschaftlichen Paradigma sind die Vorgaben aber ganz andere: Ziel ist nicht Perfektion, sondern Gewinnmaximierung. Und da lässt sich mit Unzulänglichkeiten plötzlich prima leben. Denn da geht es nur um ein Aufrechnen von Aufwand und Ergebnis, da kann eine mit unzähligen Risiken behaftete Lösung auf einmal die optimale sein, weil sie, die Schäden mit eingerechnet, die preisgünstigste ist. (So viel Schneier übrigens über "Denken auf Systemebene und über Grenzen hinaus" schwadroniert: Ein Nachdenken über unsere Vorstellungen von Eigentum steht bei ihm nicht mit einem Wort zur Debatte.)
Mit seinem letztendlichen Durchbruch zum Optimismus begeht Schneier aber an den LeserInnen deshalb auch das, was man auf Amerikanisch "bait and switch" nennt - mit einer Sache ködern und diese dann unbemerkt gegen eine andere austauschen: Denn der Optimismus ist eben nur da wirklich berechtigt, wo digitale Sicherheit eine wirtschaftliche Angelegenheit ist. Keine Frage: Die reichen Landstriche der von Schneier beschriebenen "security landscape" finden in seinem Buch Trost und Rat. Die ganze Frage des individuellen Datenschutzes aber verschwindet klammheimlich aus Schneiers Werk. Denn da hätten wir es ja wieder mit einer Entweder-Oder-Situation zu tun: Wenn ich nicht will, dass gewisse Informationen über mich anderen zugänglich werden, dann will ich das überhaupt nicht. Da hilft mir keine Gewinn-Verlust-Rechnung und keine Datenschutz-Versicherung. ("Der Versicherungsfall gilt als eingetreten, sobald die Vorliebe des Versicherten für gesellschaftlich nicht akzeptierte Sexualpraktiken an die Öffentlichkeit gelangt ist," oder so...) Gerade in diesem Bereich aber sieht das Bild, das Schneier implizit malt, äußerst düster aus:
Es scheint unaufhaltbar, dass immer mehr und mehr persönliche Daten in digitaler Form vorliegen, und es scheint immer unwahrscheinlicher, dass man über diese als Individuum in irgendeiner Weise Kontrolle behalten könnte, den Zugriff auf sie wirklich regulieren - zumal gegen die Interessen von Regierungen und kapitalkräftigen Lobbys. Das ist (ganz besonders versteht sich in Ländern, in denen keine sog. freiheitlich-demokratische Grundordnung herrscht) alles andere als ein triviales Problem. Ein Problem, für das Mr. Schneier und seine Firma - so weit ich sehe - keinerlei Lösung anzubieten haben.
Vielleicht sollten wir uns also an den Gedanken gewöhnen, zum virtuellen Äquivalent holländischer Protestanten zu werden: Die haben aus Prinzip keine Vorhänge oder Jalousien vor den Fenstern. Als Beweis, dass es in ihrem Lebenswandel nichts zu verbergen gibt.
Bruce Schneier: Secrets & Lies - Digital Security in a Networked World, New York (Wiley) 2000, 412 pp., $29.99
Bruce Schneiers kostenloser Newsletter Crypto-Gram