EU-Gelder zur Erforschung der Sicherheit des Internets

Wenn dieser Tage die EU-Kommission ihre Forschungsgelder vergibt, darf das Thema Internet-Sicherheit natürlich nicht fehlen. Nach den Enthüllungen der letzten Monate wurde uns allen klar, mit welchen Risiken die Milliarden Nutzer des Internets tagtäglich konfrontiert sind. Außer den Kleinkriminellen und dem Organisierten Verbrechen waren es vor allem staatliche Dienste, die uns überrascht haben bezüglich des Aufwands, der Rücksichtslosigkeit und der Cleverness, mit der sie ihre Ziele verfolgen. Das massenhafte Ausspähen sämtlicher elektronischer Kommunikation schien uns die Illusion eines freien und fairen Internets gründlich zu verderben. Alles, was die auf dem Gebiet der Netzsicherheit tätigen Firmen und Forschergruppen versprochen hatten, war plötzlich nichts mehr wert.

Sicherheitsforschung

In meinem ersten Beitrag zur Snowden-Affäre warnte ich davor, der Forschung den schwarzen Peter zuzuschieben. Dort konnten Sie lesen:

Es wurden bisher viele Millionen in die Sicherheitsforschung investiert. Obwohl es schwer ist, hierfür den Ertrag nachzuweisen, wäre es fatal, würde man die Bemühungen jetzt reduzieren. Jeder Fall enthält neue Lehren. Diese zu erkennen und dem Fachwissen, das weitervermittelt wird, hinzufügen, ist das Gebot der Stunde.

Meine Sorge war offensichtlich unbegründet. Die Forschergemeinde hat überlebt und hat sich erstaunlich schnell von dem Schock erholt. Zuerst meldete sich die nationale Forschung zu Wort. Ich stieß unter anderem auf ein Positionspapier des Fraunhofer-Instituts für Sicherheit in der Informationstechnik (SIT) vom September 2013. Darin hieß es: IT-Sicherheit erfordert Forschung. Deutschland ist ein wichtiger und erfolgreicher Forschungsstandort. Als konkrete Fragestellungen wurde unter anderem genannt:

•  Wie kann man im Internet tatsächlich sicher und unbeobachtbar kommunizieren, im Allgemeinen oder zumindest vis-a-vis Massenüberwachung durch fremde Dienste?
• Wie geht man mit dem Konflikt zwischen Privatsphärenschutz einerseits und Online Social Networks, Big Data, Ubiquitären und mobilen Systemen andererseits um?

Förderung der EU

Dieser Tage verkündete die EU-Kommission per Presseverlautbarung vom 18.12.2013, dass der Europäische Forschungsrat Förderungen in Millionenhöhe an 13 EU-Forschungsprojekte vergeben hat.

Insgesamt sind 45 Forscher aus elf Ländern beteiligt, zwölf davon kommen aus Deutschland. Die so genannten Synergie-Finanzhilfen gehen an Teams von zwei bis vier Spitzenforschern, die sich aufgrund ihrer ergänzenden Fähigkeiten, Kenntnisse und Ressourcen einzigartige und bahnbrechende Ergebnisse zum Ziel setzen können. Die Projekte erhalten für die kommenden sechs Jahre jeweils bis zu 15 Mio. Euro.

In Deutschland erhalten unter anderem Michael Backes von der Universität des Saarlandes sowie Peter Druschel, Rupak Majumdar und Gerhard Weikum vom Max-Planck-Institut knapp 10 Mio. Euro für ihr Forschungsprojekt zur Internetsicherheit. Die vier führenden Computerspezialisten wollen in ihrem Verbundprojekt imPACT gemeinsam mit Juristen, Sozialwissenschaftlern und Wirtschaftsexperten Lösungen für eine bessere Privatsphäre und mehr Datenschutzes finden. Ziel ist es, den Internetnutzern von morgen die Kontrolle über ihre persönlichen Daten zurückzugeben. Die Prototypen-Software, die sie in dem Projekt entwickeln und die Messdaten aus ihren Feldversuchen mit Internet-Dienstleistungen werden frei verfügbar sein.

Das Max-Planck-Institut (MPI) für Softwaresysteme in Saarbrücken (mit Druschel) und Kaiserlautern (mit Majumdar) und das MPI für Informatik (mit Weikum) in Saarbrücken und die Uni Saarbrücken (mit Backes) sind anerkannte Forschungsgruppen. Sie setzten sich europaweit gegen rund 450 Anträge durch. Vier Teilthemen sind Gegenstand des Projekts: Schutz der Privatsphäre (Privacy), Nachweis von Aktionen durch bestimmte Personen im Internet (Accountability), Einhalten von Vereinbarungen vonseiten der Software und der Plattformen (Compliance) und Vertrauen in die Korrektheit von Daten und Diensten (Trust). Es ist ein Zeitrahmen von sechs Jahren vorgesehen.

Realistische Erwartungen

Es besteht kein Zweifel, dass die beteiligten Forscher sich sehr wichtige Themen vorgenommen haben. Das Internet ist inzwischen das zentrale Thema für jede Informatik-Forschung. Die Sicherheitsaspekte des Internets haben zwar Hochkonjunktur, sie sind aber nicht alles. Benutzbarkeit, Zuverlässigkeit, Kapazität, Effizienz, Energieverbrauch und Abfallentsorgung sind weitere Aspekte der Internet-Forschung.

Die vier für das Saarpfälzer Projekt angegebenen Teilthemen sind alle äußerst relevant. Sie sind nicht erst jetzt entstanden als Folge der Ereignisse des letzten Halbjahres. Es wurde daran schon seit Jahren gearbeitet. Es ist nicht so, dass es für sie eindeutige und optimale Lösungen gibt. Die Lösungen müssen Kriterien erfüllen, die sich teilweise widersprechen. So widerspricht der Wunsch nach Anonymität der Forderung nach eindeutiger Verantwortlichkeit. Eine Lösung muss nicht nur algorithmisch definierbar sein, sie muss auch technisch realisierbar sein. Es reicht vor allem nicht, sie nur in einer kontrollierten Umgebung zu implementieren, also in einem Schaukasten. Sie muss im Feldversuch getestet werden, am lebenden Körper. Dieser ‚Körper‘ ist in seiner Größe und Gestalt nicht genau zu beschreiben, außerdem verändert er sich laufend. Der Feldtest hat in der Informatik inzwischen dieselbe Bedeutung wie in der Pharmaindustrie. Auch gibt es eine Schwelle für die Produkteinführung, die einer Zulassung entspricht.

Es ist klug, keine kurzfristigen Antworten zu versprechen. Hochschulen oder hochschulnahe Forschungsinstitute können bestenfalls Vorschläge für Antworten machen. Ob diese von der Wirtschaft überhaupt in Betracht gezogen werden, ist nicht selbstverständlich. Welche Lösung letztendlich implementiert wird, hängt wieder von völlig anderen Kriterien ab. Es können auch mehrere Lösungen sein. Eine Lösung, die in Deutschland oder Europa viele Anhänger hat, mag es schwierig haben, international akzeptiert zu werden. Nicht alle Implementationen werden zu einem Markterfolg.

Fazit: Das Internet ist viel zu wichtig, um abwarten zu können, welche Lösungen aus der Forschung sich ergeben. Es gibt heute Hunderte von sehr starken Akteuren, die sich ein ‚besseres‘ Internet wünschen oder von ihm profitieren würden. Nur ein Teil von ihnen ist in der Lage, konkret und konstruktiv einzugreifen. Wichtiger als auf die Forschungsergebnisse der EU zu hoffen, ist es, dass diese Akteure zusammenfinden und beschließen, etwas zu tun. Ich glaube nicht einmal, dass irgendeine Regierung etwas tun muss oder tun kann, weder die amerikanische noch die EU, geschweige denn die deutsche Regierung. Dass mag nicht allen Beteiligten gefallen, noch ist es aber so.

Nachtrag am 22.12.2013

Wie aus den von Snowden entwendeten Informationsquellen ersichtlich, hat die NSA der Firma RSA Millionen gezahlt, damit sie 'Hintertüren' in ihre Software-Produkte einbaut. Dagegen ist die beste Forschung machtlos. Der Ruf dieser von den drei Informatik-Professoren Rivest, Shamir und Adleman gegründeten Firma dürfte ruiniert sein.