Wenn dieser Tage die
EU-Kommission ihre Forschungsgelder vergibt, darf das Thema Internet-Sicherheit
natürlich nicht fehlen. Nach den Enthüllungen der letzten Monate wurde uns
allen klar, mit welchen Risiken die Milliarden Nutzer des Internets tagtäglich konfrontiert
sind. Außer den Kleinkriminellen und dem Organisierten Verbrechen waren es vor
allem staatliche Dienste, die uns überrascht haben bezüglich des Aufwands, der
Rücksichtslosigkeit und der Cleverness, mit der sie ihre Ziele verfolgen. Das
massenhafte Ausspähen sämtlicher elektronischer Kommunikation schien uns die
Illusion eines freien und fairen Internets gründlich zu verderben. Alles, was
die auf dem Gebiet der Netzsicherheit tätigen Firmen und Forschergruppen
versprochen hatten, war plötzlich nichts mehr wert.
Sicherheitsforschung
Sicherheitsforschung
In meinem ersten Beitrag zur Snowden-Affäre warnte ich davor, der
Forschung den schwarzen Peter zuzuschieben. Dort konnten Sie lesen:
Es
wurden bisher viele Millionen in die Sicherheitsforschung investiert. Obwohl es
schwer ist, hierfür den Ertrag nachzuweisen, wäre es fatal, würde man die Bemühungen
jetzt reduzieren. Jeder Fall enthält neue Lehren. Diese zu erkennen und dem
Fachwissen, das weitervermittelt wird, hinzufügen, ist das Gebot der Stunde.
Meine Sorge war offensichtlich
unbegründet. Die Forschergemeinde hat überlebt und hat sich erstaunlich schnell
von dem Schock erholt. Zuerst meldete sich die nationale Forschung zu Wort. Ich
stieß unter anderem auf ein Positionspapier des Fraunhofer-Instituts für Sicherheit in
der Informationstechnik (SIT) vom September 2013. Darin hieß es: IT-Sicherheit
erfordert Forschung. Deutschland ist ein wichtiger und erfolgreicher
Forschungsstandort. Als konkrete Fragestellungen wurde unter anderem genannt:
- Wie kann man im Internet tatsächlich sicher und unbeobachtbar kommunizieren, im Allgemeinen oder zumindest vis-a-vis Massenüberwachung durch fremde Dienste?
- Wie geht man mit dem Konflikt zwischen Privatsphärenschutz einerseits und Online Social Networks, Big Data, Ubiquitären und mobilen Systemen andererseits um?
Förderung der EU
Dieser Tage verkündete die EU-Kommission per Presseverlautbarung vom 18.12.2013, dass der Europäische Forschungsrat Förderungen in Millionenhöhe an 13 EU-Forschungsprojekte vergeben hat.
Insgesamt sind 45 Forscher aus elf Ländern beteiligt, zwölf davon kommen aus Deutschland. Die so genannten Synergie-Finanzhilfen gehen an Teams von zwei bis vier Spitzenforschern, die sich aufgrund ihrer ergänzenden Fähigkeiten, Kenntnisse und Ressourcen einzigartige und bahnbrechende Ergebnisse zum Ziel setzen können. Die Projekte erhalten für die kommenden sechs Jahre jeweils bis zu 15 Mio. Euro.
Das Max-Planck-Institut (MPI) für Softwaresysteme in
Saarbrücken (mit Druschel) und Kaiserlautern (mit Majumdar) und das MPI für
Informatik (mit Weikum) in Saarbrücken und die Uni Saarbrücken (mit Backes)
sind anerkannte Forschungsgruppen. Sie setzten sich europaweit gegen rund 450
Anträge durch. Vier Teilthemen sind Gegenstand des Projekts: Schutz der
Privatsphäre (Privacy), Nachweis von Aktionen durch bestimmte Personen im
Internet (Accountability), Einhalten von Vereinbarungen vonseiten der Software
und der Plattformen (Compliance) und Vertrauen in die Korrektheit von Daten und
Diensten (Trust). Es ist ein Zeitrahmen von sechs Jahren vorgesehen.
Realistische Erwartungen
Es besteht kein Zweifel, dass die beteiligten Forscher sich
sehr wichtige Themen vorgenommen haben. Das Internet ist inzwischen das
zentrale Thema für jede Informatik-Forschung. Die Sicherheitsaspekte des
Internets haben zwar Hochkonjunktur, sie sind aber nicht alles. Benutzbarkeit,
Zuverlässigkeit, Kapazität, Effizienz, Energieverbrauch und Abfallentsorgung
sind weitere Aspekte der Internet-Forschung.
Die vier für das Saarpfälzer Projekt angegebenen Teilthemen sind
alle äußerst relevant. Sie sind nicht erst jetzt entstanden als Folge der
Ereignisse des letzten Halbjahres. Es wurde daran schon seit Jahren gearbeitet.
Es ist nicht so, dass es für sie eindeutige und optimale Lösungen gibt. Die
Lösungen müssen Kriterien erfüllen, die sich teilweise widersprechen. So
widerspricht der Wunsch nach Anonymität der Forderung nach eindeutiger
Verantwortlichkeit. Eine Lösung muss nicht nur algorithmisch definierbar sein,
sie muss auch technisch realisierbar sein. Es reicht vor allem nicht, sie nur
in einer kontrollierten Umgebung zu implementieren, also in einem Schaukasten.
Sie muss im Feldversuch getestet werden, am lebenden Körper. Dieser ‚Körper‘
ist in seiner Größe und Gestalt nicht genau zu beschreiben, außerdem verändert
er sich laufend. Der Feldtest hat in der Informatik inzwischen dieselbe
Bedeutung wie in der Pharmaindustrie. Auch gibt es eine Schwelle für die
Produkteinführung, die einer Zulassung entspricht.
Es ist klug, keine kurzfristigen Antworten zu versprechen. Hochschulen
oder hochschulnahe Forschungsinstitute können bestenfalls Vorschläge für
Antworten machen. Ob diese von der Wirtschaft überhaupt in Betracht gezogen
werden, ist nicht selbstverständlich. Welche Lösung letztendlich implementiert
wird, hängt wieder von völlig anderen Kriterien ab. Es können auch mehrere
Lösungen sein. Eine Lösung, die in Deutschland oder Europa viele Anhänger hat,
mag es schwierig haben, international akzeptiert zu werden. Nicht alle
Implementationen werden zu einem Markterfolg.
Fazit: Das Internet ist viel zu wichtig, um abwarten zu
können, welche Lösungen aus der Forschung sich ergeben. Es gibt heute Hunderte
von sehr starken Akteuren, die sich ein ‚besseres‘ Internet wünschen oder von
ihm profitieren würden. Nur ein Teil von ihnen ist in der Lage, konkret und
konstruktiv einzugreifen. Wichtiger als auf die Forschungsergebnisse der EU zu
hoffen, ist es, dass diese Akteure zusammenfinden und beschließen, etwas zu
tun. Ich glaube nicht einmal, dass irgendeine Regierung etwas tun muss oder tun
kann, weder die amerikanische noch die EU, geschweige denn die deutsche
Regierung. Dass mag nicht allen Beteiligten gefallen, noch ist es aber so.
Nachtrag am 22.12.2013
Wie aus den von Snowden entwendeten Informationsquellen ersichtlich, hat die NSA der Firma RSA Millionen gezahlt, damit sie 'Hintertüren' in ihre Software-Produkte einbaut. Dagegen ist die beste Forschung machtlos. Der Ruf dieser von den drei Informatik-Professoren Rivest, Shamir und Adleman gegründeten Firma dürfte ruiniert sein.
Nachtrag am 22.12.2013
Wie aus den von Snowden entwendeten Informationsquellen ersichtlich, hat die NSA der Firma RSA Millionen gezahlt, damit sie 'Hintertüren' in ihre Software-Produkte einbaut. Dagegen ist die beste Forschung machtlos. Der Ruf dieser von den drei Informatik-Professoren Rivest, Shamir und Adleman gegründeten Firma dürfte ruiniert sein.