Skip to content

Schneiers sicherheitspolitische Vision

9. August 2008

Einen interessanten Kommentar veröffentlichte kürzlich der US-amerikanische Sicherheitsexperte Bruce Schneier. Unter der Überschrift Memo to Next President — How to Get Cybersecurity Right stellt Schneier in seinem Blog einige Ideen vor, wie ein Land (Schneier bezieht sich primär auf die USA, seine Ideen sind aber ohne Weiteres auf andere Länder übertragbar) eine tragfähige IT-Sicherheitspolitik für die nahe Zukunft umsetzen kann.

Schneier legt dabei drei grundlegende „Forderungen“ fest. Die erste ist, die „immense Kaufkraft“ der Regierung zu nutzen, um „die Sicherheit“ kommerzieller Produkte und Dienstleistungen zu verbessern“ indem für staatliche Verwendung nur Software gekauft wird, bei der explizite Sicherheitanforderungen erfüllt werden. Die zu diesem Zweck entwickelten Verbesserungen, so Schneier, würden danach auch kommerziell erhältlich sein und somit der Allgemeinheit zugute kommen. Dies wird um so wichtiger, je größer die Rolle ist, die Computer in unserem Leben spielen- und diese Rolle ist bereits jetzt groß genug, um die Absicherung von Computern unverzichtbar zu machen für sowohl gesellschaftliche Abläufe als auch die Wahrung individueller Rechte. Wenn der Staat hier Einfluss nimmt, ohne zu überreglementieren, einfach indem er sinnvolle Sicherheitsstandards für Software wirtschaftlich attraktiv macht, können wir davon alle nur profitieren. Wie so viele Vorschläge von Bruce Schneier hört sich auch dieser täuschend einfach und selbstverständlich an- wenn man einmal darauf gekommen ist. Sicherheit ist eben oft nicht kompliziert und unverständlich, sondern eine Frage des Blickwinkels und des Gespürs für Zusammenhänge und mögliche Beeinflussungswege.

Schneiers zweiter Grundsatz ist, von staatlicher Seite Ergebnisse, aber keine Methoden vorzugeben. So wird die genaue Umsetzung den Experten überlassen, die in der Regel eher auf sinnvolle Lösungswege kommen als Politiker, für die IT-Sicherheit nur ein Thema unter vielen ist. Zuviel „Micromanagement“ von Seiten der Regierung trägt nicht dazu bei, die Kreativität der Fachleute zu fördern- teilweise kann sie diese sogar ernsthaft behindern, trotz wahrscheinlich bester Absichten der Verantwortlichen. „Ein schlechtes Gesetz ist schlimmer als gar kein Gesetz,“ betont Schneier- vor dem Hintergrund meiner Erfahrungen mit einigen Perlen der IT-Gesetzgebung (insbesondere §202c StGb) kann ich nur sagen: „Der Mann hat sowas von recht!“ Angetreten mit dem lobenswerten Ziel, die wachsende Cyberkriminalität zu bekämpfen, schafft dieser Paragraph (beziehungsweise seine mögliche, bisher nicht verlässlich auszuschließende Auslegung als Komplettverbot bestimmter Software) es statt dessen, die professionelle Arbeit, die Forschung Nachwuchsgewinnung der „White Hats“, der konstruktiv arbeitenden Sicherheitsexperten, zu erschweren, ohne die Kriminellen nennenswert zu beeindrucken. Auch hier wird statt eines Zieles („Einschränkung bestimmter Formen der Cyberkriminalität“) eine genaue Methode („Verbot bestimmter Tools“) vorgegeben.

Last but not least fordert Schneier als dritten Teil seines „Katalogs“, dass der Staat in Forschung, insbesondere die wirtschaftlich oft eher unattraktive und daher von kommerziellen Unternehmen vernachlässigte Grundlagenforschung, investiert. Dabei plädiert er (neben einer erneuten Betonung der Wichtigkeit wissenschaftlicher Freiheit) für eine möglichst breit angelegte Verteilung der Gelder, da man „nie vorhersehen kann, was einmal wofür nützlich sein wird“- eine Aussage, die gut zu Schneiers häufigen Plädoyers für die Einbeziehung von weit mehr verschiedenen Disziplinen und Blickwinkel in die Sicherheitsforschung passt und vor dem Hintergrund oft kontraproduktiver Animositäten und/oder Kommunikationsstörungen zwischen den Experten für verschiedene Themen und Fachbereiche wichtig bis überfällig ist. Allerdings erscheint es momentan doch etwas sehr optimistisch, auf mehr Gelder für Forschungsprojekte, insbesondere solche mit Bezug zum oft misstrauisch beäugten IT-Sicherheits-Bereich, zu hoffen. Schneiers Rat erscheint sinnvoll genug- ob irgendwer in der Politik darauf hören wird, steht leider auf einem anderen Blatt, auch weil, wie Schneier selbst im abschließenden Statement schreibt, effektive Sicherheitsmaßnahmen oft unpopulär sind und sich daher bei Politikern keiner allzu großen Beliebtheit erfreuen (insbesondere wenn sie Geld kosten).

Insgesamt hat Bruce Schneier hier einen sehr sinnvoll erscheinenden Maßnahmenkatalog zusammengestellt, über den wohl nicht nur amerikanische Politiker einmal ernsthaft nachdenken sollten. So könnte der Schritt vom durch Panikmache gerechtfertigten Sicherheitstheater hin zu sinnvolleren Maßnahmen gemacht werden- wenn das Interesse und die nötige Einsicht bestünden, das zu erreichen.

Advertisements
One Comment leave one →
  1. 9. August 2008 11:38 am

    >So wird die genaue Umsetzung den Experten überlassen, die in der Regel eher auf sinnvolle Lösungswege kommen als Politiker,

    Das mag korrekt sein in der Theorie fernab menschlichen Tun und Handelns, aber ebenso gibt es auch in den Gefilden der Experten genügend Ansatz für die Kritik. Ein sogenanntes gegenseitiges Micromanagement ist grundlegende Voraussetzung in einem jeden freiheitlich gesinnten Land.

    Der Trugschluß ist zudem, daß z.B. hierzulande Schäuble und Co quasi absolutistisch herrschen. Ganz im Gegenteil, auch diese werden von Experten beraten, die ihrerseits von Lobbyisten betört werden oder selbst Lobbyisten darstellen. Von daher wäre auch Schneiers These widerlegt.

    Bei meiner gänzlichen politischen Arbeit bisher, von der Gewerkschaft bis in die Partei hinein sah ich nur ein Übel, den Lobbyisten. Und da finden sich Informatiker drunter, Geisteswissenschaftler etc. Es ist nur der Glaube die Dummheit ob seltsamer legislativer Entscheidungen zu schauen, tatsächlich sieht man vielerorts das indirekte Wirken diverser echter Experten, für welche Moral und somit auch etwaige Kolateralschäden völlig belanglos sind.

    Der CC-Lessing erkannte dies auch, nicht die Propaganda für eine freie Lizenz ändert tatsächlich etwas, sondern der Kampf gilt der Ursache, den Lobbyisten. Und dies ist auch in diesem Bereich der Fall. Ich empfehle einen Blick in die Ministerien und die Legionen von echten Experten, die in der Regel nicht übergangen werden, sondern aktiv Einfluß nehmen.

    >wie Schneier selbst im abschließenden Statement schreibt, effektive Sicherheitsmaßnahmen oft unpopulär sind und sich daher bei Politikern keiner allzu großen Beliebtheit erfreuen (insbesondere wenn sie Geld kosten).

    Sie sind unattraktiv, weil andere diese torpedieren, Leute die einen eben solchen Ruf, abgesehen vom Habitus, wie Schneier genießen in der Branche. Schneier sieht die Welt aus der Sicht eines Technikers und diese Sicht kann auch recht unmenschlich werden, wie man an vielen von seinen Kollegen geförderten Beschlüssen sieht.

    Ich kann natürlich jeden als dumm bezeichnen und Schäuble, Bush etc. ursächlich sehen, damit bezeuge ich jedoch nur ein Unverständnis politischer Mechanismen. Das Problem sind Fortschrittsglaube und eine mit Scheuklappen bewehrte sicherheitstechnische Sichtweise, gerade auch bei vielen Experten.

    Cui bono gilt auch hier und somit also nicht die Frage der Inkompetenz, sondern wem zum nutzen.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: