Zum mittlerweile achten Mal wird dieser Tage die IT-Sicherheitskonferenz Deepsec in Wien abgehalten. Neben vielen Fachvorträgen spielen dabei auch grundlegende Themen eine wichtige Rolle. So betont Linus Neumann, Sprecher des Chaos Computer Club, in einem Pressegespräch die gesellschaftspolitische Dimension.

Widerspruch

Durch ihr ambivalentes Verhältnis stünde die Politik der IT-Sicherheit derzeit eher im Wege als sie zu befördern. So sei es bezeichnend, dass dieser Bereich üblicherweise in den Innenministerien angesiedelt ist - und damit exakt dort, wo auch massive Anstrengungen unternommen werden, jegliche Computersicherheit zu unterwandern.

Finanzierung

Ein Beispiel: Der deutsche Bundesnachrichtendienst hat gerade erst angekündigt, in den kommenden Jahren 4,5 Millionen Euro für Zero-Day-Exploits zu Spionagezwecken ausgeben zu wollen. Damit werden aber genau jene Kreise finanziert, die solche Lücken aus finanziellen Motiven gezielt zurückhalten.

Selbstleger

Eine Doppelstrategie in IT-Sicherheitsfragen funktioniere aber schlicht nicht. Wer willentlich Sicherheitslücken in Kauf nehme, um einen Spionagevorteil zu haben, gefährde damit auch die eigene Infrastruktur. Ähnlich verhalte es sich mit Hintertüren wie jene zur "Lawful Interception" bei Telekomunternehmen: Jeder Angreifer wisse, dass es diese gebe, also sei sie ein lohnendes Ziel, da man an einem Punkt garantiert alle Daten bekomme.

Alternativen

Dabei könnten Staaten auch ganz anders agieren. Etwa indem mit öffentlichen Geldern Bug Bounties ausgeschrieben werden, um Sicherheitsforschern einen Anreiz zu geben, diese zu melden, anstatt sie gewinnbringend am Schwarzmarkt zu verkaufen. Immerhin werden aktuell bereits tausende Euros für Zero-Day-Exploits geboten. Den Wert einer Lücke wie Heartbleed würde Neumann gar ab einer Viertel Million Euro beziffern.

Fehlernder Wille

Hohe Preise für Bug Bounties würden zwar zweifellos auch die Preise am Schwarzmarkt steigen lassen, trotzdem zeigt sich der Sicherheitsexperte von den positiven Auswirkungen einer solchen Initiative überzeugt. Immerhin gebe es genügend Personen, die keine bösen Absichten hegen, und lieber auf diesem Weg ihr finanzielles Auskommen finden. Derzeit scheint aber der politische Wille für solche eine proaktive Sicherheitspolitik zu fehlen.

Investitionen

Zumindest ortet Neumann zarte Fortschritte im Unternehmensbereich. Nach dem "Super-GAU" mit Hearbleed und Shellshock hätten endlich die ersten Firmen damit begonnen in die Sicherheit von weit verbreiteten Open-Source-Programmen zu investieren. Aber auch hier gibt es natürlich noch viel Luft nach oben. (apo, derStandard.at, 20.11.2014)