"Wir sind keine Strohmänner der NSA"

Interview mit Bill Larson, Geschäftsführer von Network Associates International.

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Bill Larson, seit fünf Jahren Chief Executive Officer des Softwarehauses McAfee Associates, hat den Virusspezialisten durch spektakuläre Übernahmen zu Network Associates International [NAI], dem führenden Anbieter im Bereich Netzwerksicherheit gemacht. Für besondere Aufmerksamkeit sorgten die kurz aufeinander erfolgten Akquisitionen des Verschlüsselungspioniers PGP Inc. und Trusted Information Systems [TIS], dem bevorzugten Firewall-Lieferanten der US-Geheimdienste.

Wie kommt es, Mr Larson, dass Ihr Unternehmen einerseits grosse Geschäfte mit US-Regierungsstellen und Geheimdiensten macht, andererseits durch den freien Vertrieb des hochsicheren Kryptographieprogrammes Pretty Good Privacy direkt gegen die Interessen dieser Dienste verstösst?

Bill Larson: Bei uns wird das nicht so gegensätzlich gesehen. Bei der DARPA [Defence Advanced Projects Agency] besteht zum Beispiel grosses Interesse, dass auch in der Industrie hohe Sicherheitsstandards herrschen.

Teilt die National Security Agency [NSA] diesen Wunsch auch?

Bill Larson: Natürlich gibt es da gewisse Vorbehalte, wie Weiterverbreitung an bestimmte Staaten, oder die Frage des Terrorismus. Diese legitimen Vorbehalte werden aber nicht durch eine adäquate Politik unterstützt. Die sieht nämlich so aus, dass sichere Verschlüsselungsprogramme in den USA frei erhältlich sind. Wer hindert denn einen potentiellen Terroristen daran, im nächsten Computershop Pretty Good Privacy zu kaufen und irgendwie ausser Landes zu bringen? Ausserdem verkaufen wir PGP völlig legal auch hier in Deutschland. Der Geist ist längst aus der Flasche und niemand kriegt ihn dorthin mehr zurück.

Dürfen Sie das überhaupt? Der Wassenaar-Vertrag erlaubt den freien Export von Kryptographieprogrammen, sofern diese in die "Public Domain" fallen, also frei erhältlich sind. Sichere Kryptographieprodukte für den Konsumentenmarkt unterliegen der Exportkontrolle.

Bill Larson: Das ist wohl eher eine Frage für die Völkerrechtsexperten. Ich kann nur sagen, dass wir ein ganz klares Interesse daran haben, PGP genauso frei weltweit zu verbreiten, wie wir es seit Jahren mit unseren Anti-Virus-Programmen getan haben.

Diese enge Zusammenarbeit mit diversen US-Geheimdiensten führt immer wieder zu Spekulationen, PGP habe Hintertüren eingebaut.

Bill Larson: Klar gesagt - wir sind keine Strohmänner der NSA. Wir sind die einzige Sicherheitsfirma, die auch ausserhalb der USA gute Umsätze mit starker Krypto macht. In diesem Quartal haben wir zum Beispiel einen grossen Deal mit der deutschen Bundesregierung abgeschlossen.

Welches Ministerium?

Bill Larson: Kann ich leider nicht sagen, genauswoenig wie ich über unsere Verträge mit der NSA etwas sagen darf. Nur soviel, unser Grundsatz ist, der Kunde muss die freie Wahl haben und ausserdem hat er immer Recht. Wenn er in jeder Hinsicht sichere Verschlüsselung will, verkaufen wir sie ihm. "PGP for Personal Privacy" hat nachgewiesenermassen keine Hintertüren, weil die Konsumenten das nicht wollen. Die Firmenversion arbeitet notwendigerweise mit "Trusted Keys", nicht weil das Führungspersonal die Mitarbeiter bespitzeln will, sondern weil in Firmen Fluktuation herrscht. Da kann es vorkommen, dass ein Angestellter seine Firma verlässt und nicht nett genug ist, seinen Schlüssel zurückzugeben, mit dem er alle Dokumente verschlüsselt hat. Deswegen haben wir in der Businessversion die Möglichkeit vorgesehen, Dokumente wieder lesbar zu machen, der "Trustee" ist typischerweise der Netzwerk-Administrator der Firma.

Sind es gute oder schlechte Nachrichten für Sie, wenn Sie erfahren, dass gerade ein PGP-kompatibles, Open Source Verschlüsselungsoprogramm namens GnuPG im Entstehen ist?

Bill Larson: Das sind vor allem neue Nachrichten für mich, die ich aber begrüsse. Jeder Programmierer hat das gute Recht, so ein Programm zu schreiben. Ich frage mich nur, ob der Aufwand notwendig ist, da wir ja nach wie vor PGP für den persönlichen Gebrauch freigeben. In die neue Version 6.0 haben wir ziemlich viel Aufwand hineingesteckt, es ist mit allen gängigen Mailern ohne Plugin zu verwenden und kann, von Verisign angefangen, mit allen digitalen Zertifikaten umgehen. Das hat unsere Website nicht nur unter die Top 40 gebracht, mit 15 Millionen Visits pro Monat sind wir unter den reinen Software-Sites die Nummer zwei hinter Microsoft.

Datensicherheit durch Verschlüsselung steckt noch in den Kinderschuhen, die wirkliche Nachfrage sowohl im Business als auch bei den Regierungsstellen setzt erst jetzt langsam ein. Ein Beispiel: Wir haben nur 6 Millionen User von PGP und das als Nummer Eins in der Welt, aber 60 Millionen benutzen bereits unsere Antivirus-Software.

Warum erst jetzt?

Bill Larson: Das hat sehr viel mit der Entwicklung des Internet zu tun. Die Leute verstehen langsam, dass auf ihre Rechner zugegriffen wird, dass ihnen Cookies gesetzt werden, dass Java ein Programm ist, das auf ihrer eigenen Festplatte ausgeführt wird. Erstaunlicherweise ist das bis jetzt fast allen noch egal, nur den Paranoiden oder auch gut Informierten nicht. Wir sind mit PGP mit echten Kampfpreisen auf den Markt gegangen, aber ein Durchbruch wurde bis jetzt nicht erreicht.

Die Open Source PGP Community hat sich beschwert, dass seit der Übernahme von PGP durch Network Associates die Unterstützung durch Ihre Firma praktisch nicht mehr vorhanden ist.

Bill Larson: Dazu müsste ich erst genau wissen, was diese Leute, die uns sehr wichtig sind, weil sie für das nötige Problembewusstsein sorgen, brauchen. Nur, Network Associates setzt fast eine Milliarde Dollar um, ich bin den Leuten schon etwas verpflichtet, die viel Geld in NAI gesteckt haben. Vor unserem Kauf hatte PGP, mit Wagnis-Kapital von 35 Millionen Dollar ausgestattet, gerade mal eine Million Umsatz gemacht.

Wenn Sie schon den US-Geheimdiensten nicht verpflichtet sein wollen, dann wenigstens Microsoft, auf deren NT Ihre gesamte Produktlinie aufsetzt.

Bill Larson: Auch wenn alle unsere Produkte auf Unix, Netware und NT laufen, sind wir zweifellos eine NT-zentrierte Firma. Gerade weil ich fünfeinhalb Jahre für Sun gearbeitet habe, setze ich jetzt lieber auf Bill als gegen ihn. Im Ernst: Das Geschäftsmodell von Netwok Associates ist PC-orientiert, nämlich "low price - high volume", während kommerzielles Unix genau das Gegenteil darstellt: hoher Preis bei niedrigem Volumen.
Wir glauben, dass eine Firma mehr Erfolg haben wird, die sich "upmarket" bewegt, als umgekehrt. Microsoft hat sich seinen Weg von Standalone-Maschinen über Netzwerke zu kompletten Systemlösungen hinaufgearbeitet. Diese Strategie verfolgen auch wir.

Gibt Ihnen der grosse Erfolg von Linux nicht zu denken?

Bill Larson: Mit den neuesten Versionen wurden zweifellos grosse Fortschritte gemacht. Wir bekommen auch ziemlich viele Anfragen von Netzwerktechnikern, die äusserst ungern Lizenzgebühren an Microsoft bezahlen wollen. Unsere Webshield-Implementation von Linux ist allerdings nicht gut angekommen. Das Problem bei Linux ist immer noch die Peripherie, wie Netzwerkkarten, Linux ist kommerziell einfach nicht so ausgehärtet wie Solaris oder eben NT.
Wir werden den Erfolg von Linux so verfolgen, wie den des Macintosh. Wenn dessen Comeback tatsächlich erfolgreich ist, werden wir auch Macintosh Produkte anbieten. Das hat alles nichts mit Politik zu tun, sondern ist pure Ökonomie.

Bleiben wir beim nackten Kapitalismus. Seit Ende 1997 ist Network Associates berüchtigt für seine aggressive Einkaufs- und Expansionspolitik. Sind Sie nach TIS, PGP, Dr Solomon's und all den anderen immer noch mit dem grossen Einkaufskorb unterwegs?

Bill Larson: Sie haben mir die Kreditkarte kurzfristig weggenommen. Im Ernst: Momentan sind wir noch etwas mit der Verdauung beschäftigt. Das Jahr 1998 war sozusagen die Neuerfindung der Firma MCAfee Associates. Vor der Übernahme von Network General waren wir eine nette, erfolgreiche Firma mit 350 Millionen Dollar Umsatz. Jetzt decken wir zusammen mit Dr. Solomon's 70 % des Firmenmarkts in Antivirus-Software ab. Wir haben die Möglichkeit genützt, die gesamte Palette der Netzwerksicherheit anzubieten, jeweils nur mit Spitzenprodukten. PGP ist einfach das beste Programm auf seinem Gebiet, wir haben ihm etwas von seiner religiösen Aura genommen, dafür haben wir es stark verbessert. Dasselbe geschah mit den Produkten von Trusted Information Systems. Gauntlett ist die Firewall, die nicht nur von der gesamten Intelligence Community, sondern auch von den grossen Netzbetreibern und Banken benützt wird. Wir haben dieses ursprünglich reine Unix-Produkt auf NT portiert, verbessert und mit den anderen Akquisitionen zu einem Paket gebündelt. Unser Cybercop Intrusion Detector arbeitet in dieser Firwewall genauso wie Webshield.
Natürlich haben wir sehr viel davon durch Übernahmen erreicht, die erste habe ich durchgezogen, als ich gerade zwei Monate CEO von McAfee war.

Während NAI einen etwa gleich hohen Buchwert wie ihr Mitbewerber Security Dynamics (RSA) aufweist, liegt das Verhältnis von Aktienpreis zu den Einkünften bei der Konkurrenz um ein Drittel besser.

Bill Larson: Als ich vor fünf Jahren bei McAfee anfing, hatte das Unternehmen einen Firmensitz, 40 Angestellte und war in den Büchern 20 Millionen Dollar wert. Jetzt haben wir 972 Millionen Umsatz, 2700 Mitarbeiter in vierzig Orten. Allein 50 Mitarbeiter sind durch ihre Aktienbeteiligungen Millionäre geworden. Der Umsatz ist im letzten Jahr um 34 Prozent gewachsen, die Gewinnsteigerung um 48 Prozent. Ich habe 22 Quartalsberichte in dieser Firma hinter mir und in jedem einzelnen haben wir die Prognosen in Folge übertroffen. Sind wir zufrieden damit? Natürlich nicht, wir wollen mehr.

Gehen die Rekordgewinne an der Hightech-Börse NASDAQ immer weiter, oder ist jetzt endlich eine Korrektur angesagt?

Bill Larson: Die Börse hat Internet-Werte in letzter Zeit weit höher bewertet als uns Netzwerker. Wir setzen fast eine Millarde um bei 8 Milliarden Markt-Kapitalisation. Der Umsatz von Yahoo liegt bei 200 Millionen, der Börsenwert ist aber 35 Milliarden. Sie können das altmodisch finden, aber mir geht es in erster Linie darum, ein für lange Zeit profitables Unternehmen auf seinen Weg zu bringen. Die Börse hat das bis jetzt nicht genügend honoriert.

Als im Dezember die Aufregung mit der Entdeckung des "Remote Explorer" Virus im Netzwerk von MCI/Worldcom passierte, sind die NAI-Aktien ebenfalls senkrecht in die Höhe geschossen.

Bill Larson: Der Höhenflug hat schon vorher begonnen, aber es stimmt schon. Der Remote Explorer ist ein äusserst raffinierter Virus, vor allem seine Fähigkeit, sich von selbst im Netz weiterzuverbreiten und wahllos exe.Programme zu verschlüsseln. Dabei war er nicht einmal richtig bösartig programmiert, der Virus hätte seine Administratorenrechte genausogut benützen können, um alle Festplatten zu formatieren. Die Tatsache, dass er im Netz des grössten Internet-Providers auftrat und da mehr symbolisch, verstehen wir als politische Botschaft. Das wahrscheinlichste Information Warfare Szenario der RAND Corporation sieht ganz ähnlich aus: Ein mit wenig Aufwand vorgetragener Virusangriff auf die elektronische Infrastruktur der USA. Die Intelligence Community weiss, dass sich allein drei befreundete Staaten damit beschäftigen.

Welche Staaten?

Bill Larson: Zwei aus der EU, einer aus dem Nahen Osten. Das erschreckende ist, dass Virenattacken dem Terrorismus mit biologischen oder chemischen Waffen strukturell gleichen. Einmal gestartet, kann er überhaupt nicht mehr kontrolliert werden und trifft wahllos und zufällig. Ein gängiges Szenario wäre ein Angriff auf moderne Flugkontrollsysteme, die sehr leicht anzugreifen sind. Oder nehmen wir den Geldverkehr, da häufen sich schon die längste Zeit Erpressungsversuche. Erst wird eingebroche, hunderte Millionen Dollar werden auf andere Konten geleitet um dann, sagen wir, eine Million zu erpressen. Banken neigen dazu, darauf einzugehen, ohne es den Regierungsstellen zu melden, weil sie Angst haben, dass es unter dem Freedom of Information Act öffentlich werden könnte. Banken müssten davon ausgenommen werden, wie es das zuständige Komitee dem Präsidenten auch neulich empfohlen hat. Erst dann könnte die Regierung die dringend notwendige Rolle eines Koordinators übernehmen, dem alle diese Fälle gemeldet werden. Es ist unwahrscheinlich, dass die Industrie selbst eine solche konzertierte Aktion zur Datensicherheit schafft.

Wenn Sie sich für eine koordinierende Rolle des Staats aussprechen, müssten Sie auch für die EU-Direktive zum Schutz der Privatsphäre begrüssen, gegen die sich die US-Industrie so vehement wehrt.

Bill Larson: Einerseits ist mehr Datenschutz sehr begrüssenswert, aber als amerikanischer Geschäftsmann bin ich natürlich sehr gegen staatliche Vorschriften, wenn sie uns, wie diese Direktive, grosse operative Schwierigkeiten bescheren.