[futurezone.orf.at] Ivan Krstic, ehemaliger Sicherheitschef der
OLPC-Initiative, hat auf der Sicherheitskonferenz DeepSec zu mehr
Misstrauen im Internet aufgerufen: "Man sollte niemandem trauen, außer
es gibt einen guten Grund dafür." Viele Probleme wie Phishing seien
zudem sofort lösbar – wenn sich die Industrie zu einem klaren Schnitt
entschließen würde, so Krstic gegenüber ORF.at.
Am Freitag zeichnete Krstic in seiner Keynote auf der DeepSec ein
ziemlich klares wie düsteres Bild: Von der CPU über die Grafikkarte bis
hin zu den Monitorkabeln – nichts an seinem Rechner könne man mehr
vertrauen, fast alles könne zum Aushorchen des Nutzers verwendet werden.
Krstic forderte daher, das Vertrauen in Hard- und Software, von der
Industrie auch unter dem Begriff "Trusted Computing" zusammengefasst,
aufzugeben und stattdessen gesundes Misstrauen als operative Norm
anzuwenden. Im Gespräch mit ORF.at erklärt Krstic, dass es ihm dabei
vor allem um die Programme selbst, nicht um Misstrauen gegenüber dem
Nutzer geht.
ORF.at: Herr Krstic, in Ihrem Vortrag haben Sie erklärt,
weil man niemandem vertrauen könne, sollte man allem misstrauen. Was
genau meinen Sie damit?
Krstic: Aktuell wird auf dem
Desktop allem vertraut, und daher kommt meiner Meinung nach ein
Großteil unserer Sicherheitsprobleme. Sie können heute jede Software
herunterladen, und sie wird dieselben Rechte haben wie Viren oder
verdeckte Spionagesoftware. Die Industrie versucht, die Idee zu
konservieren, dass man allem trauen soll, und das schon seit Jahren,
und sie haben damit nicht gewonnen. Ich meine, es gibt bessere Wege,
mit Vertrauen umzugehen.Die Leute, die Sicherheitssysteme
konzipieren, sollten auf der Annahme aufbauen, dass man nichts
vertrauen sollte, außer es gibt einen guten Grund dafür. Ich sage, dass
die Nutzer nicht allen Programmen gleich viel Vertrauen entgegenbringen
sollten.
ORF.at: Es wird auch für mit der Materie
vertraute Nutzer immer schwieriger, Gefahren richtig einzuschätzen und
entsprechende Vorsichtsmaßnahmen zu treffen. Sollten Programmierer
nicht den Nutzern misstrauen?
Krstic: Nein, wir dürfen nicht
unseren Nutzern misstrauen. Ich glaube, wir müssen einfach besser
werden, indem wir die Sicherheitsabfragen stellen, die die Nutzer auch
wirklich beantworten können. Bisher gingen wir davon aus, dass die
Nutzer jede auch noch so komplizierte Frage beantworten können. Das ist
Unsinn, weil die Nutzer für die korrekte Beantwortung oft nicht genug
wissen. Vielmehr sollten die Fragen so formuliert werden, dass man
darauf vertrauen kann, dass die Nutzer die richtige Entscheidung
treffen.Wenn ich Sie frage: "Wollen Sie Ihre
Kreditkarteninformationen diesem Programm geben, weil es diese
Informationen irgendwohin schicken will", oder "Vertrauen Sie diesem
X5O9-Zertifikat für diese SSL-Transaktion", dann können Sie die erste
Frage beantworten, die zweite aber nicht wirklich. Es geht also darum,
bessere Fragen zu stellen. Ich hätte gerne, dass die Leute, die
Betriebssysteme entwickeln, sich auf den Nutzer konzentrieren und nicht
auf die Sicherheitsprotokolle und Zertifikate und so weiter. Der Nutzer
braucht Schutz.
ORF.at: Haben Sie für das Problem bereits eine Lösung?
Krstic: Die meisten Probleme, die
wir derzeit haben mit Viren, Malware, Spam, Phishing und so weiter,
können wir bereits lösen. Das Problem ist allerdings, dass die Firmen,
die dazu in der Lage wären, sie bisher nicht anwenden wollten.Ein
einfaches Beispiel: Phishing. Die Idee hinter Phishing ist, dass eine
präparierte Website Informationen bekommt, die Sie als Nutzer
eigentlich gar nicht hergeben wollten. Es gibt nun bereits
Möglichkeiten, dem zu entkommen. Man kann etwa anstatt des Passworts
nur den Beweis schicken, dass Sie das richtige Passwort haben. Die
Website kann mit dem Beweis alleine nichts anfangen, wenn sie das
Passwort nicht kennt. Wenn Sie diesen Beweis auf der richtigen Website
eingeben, werden sie eingeloggt – eine falsche Website kann mit der
gelieferten Zahlenmenge nichts anfangen, da diese nicht das Passwort
darstellt und für Phisher daher nutzlos sind. Damit wäre das Problem
des Phishings grundlegend gelöst – es gäbe keinen Anlass mehr dazu.Das
Problem ist, wenn Sie das implementieren, wäre die Authentifizierung
auf bereits existierenden Websites obsolet, daher ist das ein
schwieriges Thema. Auch für Spam haben wir bereits eine Lösung, wir
müssen nur herausfinden, ob wir bereit sind, den Preis dafür zu zahlen,
wenn wir diese wirklich umsetzen. Bisher haben alle gesagt, der Preis
ist zu hoch, aber wenn Sie sich den Anstieg bei Spam, Phishing oder
Malware ansehen, wird der Preis für den Bruch der Kompatibilität bald
niedriger sein, als wenn wir dem Treiben weiter zusehen.
ORF.at: Auf der von Ihnen vorgeschlagenen
Basis des Misstrauens, was soll sich da in Ihren Augen in zehn Jahren
verändert haben, wenn Sie sich Ihre perfekte Zukunft ausmalen?
Krstic: Ich glaube nicht, dass es
eine perfekte Zukunft gibt. Wir Menschen bedienen täglich sehr komplexe
und starke Maschinen. Diese können gefährlich sein, wenn man sie falsch
verwendet, und doch gibt es nicht so viele Unfälle, wie man meinen
möchte. Die Autoindustrie etwa hat Wege gefunden, wie man sehr komplexe
Probleme und fehleranfällige Maschinen so weit für Menschen
verständlich macht, dass Fehler nicht allzu oft passieren. Dorthin
sollten wir Computer auch bringen: Die Menschen sollten keinen
Abschluss in Computerwissenschaften haben müssen, um den Computer
sicher machen zu können. Vielmehr sollen jene Menschen, die einen
Universitätsabschluss in Computerwissenschaften haben, die Computer so
einfach machen, dass jeder sie sicher bedienen kann.
ORF.at: Was sind Ihre persönlichen Tipps für den Nutzer, um sich möglichst gut zu schützen?
Krstic: Es ist schwierig. Wenn es
einfach wäre, hätten wir unsere aktuellen Probleme nicht. Vielleicht
das Einfachste: Computer sind mittlerweile so billig, dass man einen
für die Arbeit und einen zweiten für alle privaten Angelegenheiten
haben kann, auf dem man möglichst wenig Software installiert, sondern
nur jene, die man wirklich braucht. Und wenn Sie wirklich Spiele,
Bildschirmschoner und Bildschirmhintergründe installieren wollen –
machen Sie das auf einem anderen Computer, der nur dafür benutzt wird.
Wenn etwas schiefgeht, können Sie das Betriebssystem löschen und neu
anfangen. Vor fünf Jahren konnte man das noch nicht sagen, damals waren
PCs noch richtig teuer, aber heute ist das vielleicht die einzige
einfache Lösung: Pfuschen Sie nicht an Ihrem Arbeits-PC herum, und
installieren Sie Spiele auf einem anderen Computer.
ORF.at: Aber auch mit dem Arbeitsrechner
surft man im Internet und muss manchmal Programme installieren, die
vielleicht nicht ganz sauber sind.
Krstic: Es gibt keine einfache
Lösung von Problemen wie Phishing, aber Sie könnten etwa Bookmarks zu
bestimmten Websites wie der für ihr Online-Banking setzen. Meiner
Meinung nach ist Malware, über die ein Computer ferngesteuert werden
kann, noch immer die größte Gefahr. Wenn man möglichst keine Programme
aus dem Netz installiert, würde das schon ein großes Stück des Problems
lösen. Natürlich gibt es immer Löcher, aber man muss etwas tun, um die
Gefahr zu minimieren.
ORF.at: Also gilt auch für die Nutzer: Vertrauen Sie Ihren Programmen nicht.
Krstic: Ja, absolut.
- Zombie-Abwehr bei Online-Wahlen
- "Vertraue niemandem"
- 80 Prozent aller E-Mails sind Spam
- Mehr Phishing als je zuvor
(futurezone/Nadja Igler)
Source: futurezone.orf.at