»Authentifizierung muss zum Hauptbestandteil des Internets werden«

PC Professionell: Sie sagen, dass die Situation aus Sicht der IT-Security derzeit unbefriedigend ist.
Carus: Letztendlich ist der Kampf der Anbieter von Sicherheitssoftware gegen Angreifer ein Hochrüsten. Man lernt aus dem anderen Lager und empfiehlt Gegenmaßnahmen. Das alles basiert aber im Kern auf veralteter Technologie, Protokollen von vor 30 Jahren. Es gibt keine grundlegenden Verbesserungen am Grundgerüst des Internets und des Netzwerkverkehrs. Und man weiß sich nicht besser zu helfen, als ständig aufzurüsten.

PC Professionell: Auf einer generell unsicheren Basis?
Carus: Ganz genau. Beide Lager verbessern ihre Methoden und heben das ganze auf ein höheres Niveau. Die Probleme bleiben aber die gleichen. Als Entwickler muss ich davon ausgehen, dass in meiner neuen Software schnell eine Sicherheitslücke gefunden und diese publiziert wird. Dann bring ich einen Patch heraus und alles beginnt von vorne.

PC Professionell: Wie kommt man aus diesem Teufelskreis heraus?
Carus: Man muss etwas am Grundgerüst des Internets ändern. Die derzeit tragenden Protokolle sind überhaupt nicht geeignet für Geschäftsmodelle im Internet.

PC Professionell: Wie würden Sie das Internet neu entwerfen, wenn Sie die Chance dazu hätten?
Carus: Das grundlegende Problem des Internets ist die Anonymität. Jeder Anwender kann Spam-Mails versenden, Phishing betreiben, Trojaner verbreiten oder die Kontrolle über fremde Rechner erlangen – und dabei unerkannt bleiben. Das ist der springende Punkt. Jeder kann sich ins Internet einwählen, ohne seine Kennung bekannt geben zu müssen. Wenn ich mich nicht zu dumm anstelle, kommt mir niemand auf die Schliche. Ich muss also die Authentifizierung des Users zum Hauptbestandteil des Internets machen. Wenn ich neue Protokolle erfinde, die erfordern, dass man sich eindeutig identifizieren muss, bevor man ins Netz kommt, dann traut sich auch keiner mehr Spam zu versenden. Und wenn er es doch tut, kann man ihn einfacher vor Gericht stellen. Wir benötigen eine Art fälschungssicheren Internet-Personalausweis, den jeder Internet-Nutzer vorzeigen muss, bevor er überhaupt einen Zutritt ins Netz erhält.

PC Professionell: Sie sprechen von unsicheren Protokollen. Was ist mit SSL?
Carus: SSL ist bloß ein kleiner, vager Schritt in die richtige Richtung. SSL bietet mir nur eine Verschlüsselung der Übertragung. Ob nun aber ein Trojaner verschlüsselt oder unverschlüsselt übertragen wird, das Problem bleibt. Damit ist nichts gewonnen. Ich muss Protokolle wie HTTP, SMTP, POP3 so ausrüsten, dass der Absender eines Netzwerkpaketes eindeutig zurückverfolgt werden kann – und zwar fälschungssicher. Das Internet wird also nur dann sicher, wenn die alten Protokolle abgeschaltet werden.

PC Professionell: Ist dieser Schritt realistisch?
Carus: Wenn man sieht, dass man 100 E-Mails bekommt, von denen 90 Spam-Nachrichten sind, muss man auch sehen, dass das, was wir heute haben, unbrauchbar ist. Wir brauchen eine grundlegende Verbesserung. Sicher wäre dieser Schritt radikal. Aber ich glaube, dass die Produkthersteller sich irgendwann zusammenschließen, um neue Standards zu schaffen. Allerdings wird das nicht so schnell passieren, weil die Schmerzgrenze noch nicht erreicht ist. Die ganze Seuche, die im Internet unterwegs ist, ärgert zwar jeden. A
ber es wird ertragen.

PC Professionell: Was ist die größte Lücke, die Sie in Firmennetzen immer wieder finden?
Carus: Die größte Lücke ist nicht technischer Natur. Sie ist vielmehr darin verankert, dass sich die meisten Firmen nicht darüber im Klaren sind, welche Informationen über ihr Netzwerk und über ihre Systeme von Dritten abgerufen werden können. Viele Firmen wissen auch nicht, welche Möglichkeiten Hacker schon mit wenigen Informationen und frei zugänglichen Tools haben, eine Sicherheitslücke auszunutzen.

PC Professionell: Das bedeutet, die größte Lücke ist das Unwissen?
Carus: Unwissenheit über mich selber und das, was über mich veröffentlicht wird. Ein Beispiel aus dem Privatbereich: Wie viele User gibt es, die etwa bei StayFriends private Daten zur Verfügung stellen und sich nicht darüber im Klaren sind, wie diese Daten und die Vernetzung untereinander von Dritten ausgenutzt werden kann? Wenn ich Spam verschicken würde, würde ich versuchen, hier einzusteigen und der Vernetzung in dem sozialen Netzwerk zu folgen. So könnte ich das Vertrauen, das die User untereinander haben, ausnutzen und mit einem fremden Account Spam-Mails an dessen Kontakte senden. Höchstwahrscheinlich würden die Empfänger die lesen, weil sie glauben, sie kämen von einem Freund. Über dieses Problem sind sich die wenigsten User im Klaren.