„Sag nie: Ich habe nichts zu verbergen!“Ein Interview mit dem CEO von F-Secure Christian Fredrikson
5.1.2015 • Internet – Text: Ji-Hun KimEs scheint wie ein natürlicher Reflex: Passiert etwas Schlimmes, verschließen die meisten Menschen Augen und Ohren. Das war nicht anders, als Edward Snowden 2013 über die Massenüberwachung der NSA und anderen Geheimdiensten auspackte. Und noch heute tun viele so, als wäre nichts geschehen. Aber was bedeutet Sicherheit im 21. Jahrhundert und wie muss mit diesem heiklen wie wichtigen Thema umgegangen werden? Wir sprachen mit Christian Fredrikson, CEO der finnischen Sicherheitssoftwarefirma F-Secure, über milliardenschwere Cyberkriminalität, fehlende Ethik und ein Kampf gegen Windmühlen, den man trotzdem kämpfen sollte.
Als 2013 die ersten Snowden-Enthüllungen ans Licht kamen, muss das Auswirkungen auf die digitale Sicherheitsindustrie gehabt haben. Wie sahen diese Implikationen aus?
Zunächst muss man wissen, die Sicherheitsindustrie wandelt sich permanent. Das Internet wandelt sich, aber auch die Verhaltensweisen der Menschen verändern sich. Die Geräte, aber auch die Anzahl der Geräte ändern sich. Die Komplexität des Internet, die Komplexität der Globalisierung und die permanente Expansion haben daher auch Auswirkungen auf das Verhalten von Kriminellen. Ein ewiges Hin und Her. Wir finden heraus, diese Leute zu blocken. Die wiederum finden heraus, unsere Sperren zu umgehen. Wir werden besser, sie werden besser. Wie ein Spiel, das konstant komplexer wird. Bislang haben wir gegen „böse“ Jungs gekämpft: Cyberkriminelle und Terroristen. Heute müssen wir auch gegen Regierungen kämpfen. Durch Edward Snowden wurde allerdings erst deutlich, wie sophisticated und drastisch die Überwachung der NSA und anderer Geheimdienste ist. Mich hat das alles sehr an Orwell oder Machiavelli erinnert. Ein Szenario von Massenüberwachung, das man sich zuvor kaum hätte vorstellen können.
Wie kämpft man einen Kampf, den man eigentlich nicht gewinnen kann?
So ist das Leben! Überall gibt es Kämpfe auszufechten. Ob im Kleinen oder Großen. Die meisten von uns versuchen besser zu werden. Dann fällst du auf die Nase, stehst wieder auf und versuchst es noch mal. Als Firma machen wir das nicht anders. Wir glauben an das Internet. Es hat so viele großartige Dinge für die Menschheit geschaffen und unsere Aufgabe ist es nun für digitale Freiheit zu kämpfen. Wir kämpfen dafür, dass das Internet nicht zu einem Spionage- und Überwachungsinstrument wird.
Die meisten User tun aber noch immer so, als wäre nichts passiert. Was läuft falsch?
Ich glaube, es handelt sich um ein natürliches Verhalten. Menschen verschließen Augen und Ohren, wenn etwas Schlimmes passiert. Dann kommt hinzu, dass Konsumenten immer den bequemen Weg bevorzugen. Daher haben wir es zu unserer Aufgabe gemacht, Produkte zu schaffen, die so einfach und bequem wie möglich sind. Eine hochkomplexe Technologie, die mit einem Knopfdruck bedient werden kann. Der User muss nicht verstehen, was im Hintergrund läuft. Wichtiger ist es zu wissen: Bin ich sicher, ist meine Familie sicher und sind meine Geräte sicher? Wir reden von mehr als 100.000 neuen Viren am Tag, die durch unsere Technik gefunden werden. Eine intensive Arbeit. Die Snowden-Enthüllungen haben aber in vielen Bereichen ein neues Bewusstsein geschaffen. Man sieht es in Ländern wie Deutschland, Brasilien oder China. Dort diskutiert man mittlerweile über Fragen des Vertrauens oder auch wie man diese grenzenlose Überwachung regulieren kann.
Es schien früher einfacher gewesen zu sein, zwischen Freund und Feind zu unterscheiden. Oder anders, wie kann man nicht paranoid werden, wenn man nicht mal mehr seiner Regierung und der Polizei trauen kann?
Genau. Wer überwacht denjenigen, der alle überwacht? Privatsphäre und Freiheit sind grundlegende Rechte von Menschen. Wir haben aber auch gesehen, dass zwischen Demokratie und Totalitarismus nur eine schmale Trennlinie existiert. Diese Linie kann schnell überschritten werden. Das haben die NSA-Enthüllungen gezeigt. Vor allem aber muss bewusst sein, dass man seine Privatsphäre nicht so einfach verkaufen und hergeben darf. Das oft zitierte Motto: Ich habe ja nichts zu verbergen. Wie dumm ist das? Die Menschheit hat hart dafür gekämpft. Viele Kriege gab es, um dann im 21. Jahrhundert solch naive Behauptungen aufzustellen? Das finde ich gefährlich. Eines Tages ist unser politisches System vielleicht ein anderes. Stell dir vor, dein Land ist dir nicht mehr wohl gesonnen und dann sollen all deine privaten Daten und Informationen egal sein? Offenheit und Transparenz sind Prinzipien, an denen wir festhalten müssen. Es muss unser aller Anliegen sein, unsere Daten und Informationen nicht kampflos in die Hände von Geheimdiensten und anderen Institutionen zu übergeben.
Transparenz wird oft gesagt, aber selten umgesetzt.
Das meine ich ja. Die NSA hat ja durchaus auch legale Methoden angewandt. Aber irgendwann ist es außer Kontrolle geraten. Es wurde maßlos und hat alles gesprengt, was man sich im Bereich Überwachung und Ausspionieren vorstellen konnte. Transparenz kann Fragen klären wie: Wie konnte es passieren, dass im wörtlichen Sinne alles und wirklich jeder ausgeschnüffelt wurde? Wurde jede technologische Möglichkeit genutzt, nur weil es sie gab? Aber neben Transparenz spielen Kategorien wie Ethik eine Rolle. Wer übernimmt diese Rolle? Bislang keiner. Wir müssen uns also über die Implikationen bewusst werden, die diese Entwicklung mit sich bringt. Man muss vorsichtig sein. In Paranoia zu verfallen ist der falsche Weg. Viel eher muss man sich für absolute Transparenz engagieren. Das betrifft nicht nur Regierungen. Auch die Medien müssen dieses Thema auf der Agenda haben.
Ich erinnere mich an Diskussionen, in denen es um Big Data ging. Oft habe ich gehört, wir wären überhaupt nicht in der Lage die ganzen Daten angemessen zu analysieren. Es sei doch alles nicht so dramatisch.
Bedenke, dass alles, was du schreibst, wohin du gehst, mit wem du sprichst, worüber du sprichst bereits gespeichert wird. Wenn man jung ist, sagt man auch mal dummes Zeug, macht schlechte Witze. All das kann irgendwann gegen dich verwendet werden. Aber ja, die technischen Möglichkeiten sind heute noch limitiert. Aber wenn sich ein Bereich rasant weiterentwickelt, dann ist es die Datenanalyse. Ich schätze in zehn Jahren ist das Problem gelöst. Dann wird man Daten quasi in Echtzeit auslesen können.
Sicherheitsfirmen sind aber weiterhin private Firmen, die Produkte herstellen und verkaufen wollen. Inwiefern muss so ein Thema politisiert werden?
Es wäre furchtbar, wenn sich Regierungen nicht um die Problematik kümmern würden. Aber gerade die gesetzgebenden Instanzen taumeln oft hinterher und wissen häufig überhaupt nicht, was gerade im Internet passiert. Das muss angepasst werden. Zum einen sind Entwicklungen im Internet superschnell, wohingegen die Politik häufig sehr langsam ist, bis etwas umgesetzt werden kann. Das darf nicht der Grund sein, dass sich Politik aus dem Internet raushält, weil Privatsphäre ist die Essenz einer Demokratie. Das muss im Interesse jeder Regierung sein. Wir als Firma können nur unsere Konzepte auf den Tisch legen. Wir sind ein kommerzielles Unternehmen. Wir können auch nicht alles verschenken und den Samariter mimen und wollen das auch nicht.
Wir setzen aber auf Transparenz. Wir sagen, wer wir sind, was wir machen und wie wir es machen. Keine der großen Firmen wie Google, Apple oder Facebook kann sich wie wir hinstellen und behaupten, dass sie eine vertrauenswürdige Firma sind. Die politische Ausgangssituation in Finnland ist bereits wichtig, Hier gibt es die sichersten und besten Persönlichkeitsrechte weltweit. Wir würden verbotene Dinge tun, würden wir so arbeiten wie andere Sicherheits- oder Softwareunternehmen. Finnland ist politisch neutral, das Land ist klein. Das sind alles Aspekte, die von Bedeutung sind. In Ländern wie den USA können Regierungen Firmen unter Druck setzen und gerichtlich Daten und Informationen anfordern. Das geht bei uns nicht. Wir haben keine Hintertüren in unserem System. Keiner hat das Recht auf unsere Systeme zuzugreifen, auch die finnische Regierung nicht. Unsere Verschlüsselungen werden geheim gehalten. Und: Wir speichern keine User-Daten.
Wie kann man sich zu 100 Prozent sicher sein, wenn selbst Firmen wie Google nicht wussten, dass sie von der NSA ausspioniert wurden?
Eine wichtige Frage und ja, zu 100 Prozent kann ich das nicht garantieren. Aber, wir haben viele Schichten von Sicherheitssystemen und selbst die NSA wäre eine lange Zeit beschäftigt, um bei uns rein zu kommen. Das wird von uns täglich überprüft. Viel wichtiger ist aber, dass wir keine Daten sammeln. Kurz, es gibt bei uns nicht viel zu holen. Und wenn, sind die Informationen wertlos. Da liegt es auf der Hand, dass Kriminelle und Geheimdienste dort hingehen, wo man einfacher mehr über dich herausfinden kann. Das ist wie bei einem Einbrecher, der auf einen einsamen Berg steigt, um in eine gut gesicherte Hütte einzubrechen, wo aber nichts zu holen ist. Da gehe ich doch lieber in die Villa, bei der die Tür offen steht.
Brauchen wir im 21. Jahrhundert eine neue Definition von Sicherheit und Privatsphäre?
Neue Gesetze werden dringend benötigt. Ich wünsche mir eine einheitliche Lösung auf EU-Ebene, wenn jedes Land sein eigenes Konzept durchboxen will, werden wir für die Zukunft keine konsistente Sicherheit garantieren können.
Wie sieht Zukunft der Branche aus? Was wird auf uns zukommen?
Wer weiß schon, was morgen passiert. Keiner hätte vor zwei Jahren Snowden nur geahnt. Also muss man als Industrie genauso offen sein wie als Individuum. Gewisse Tendenzen lassen sich aber einschätzen. Einige Dinge sind sicher. Das Internet wird weiter wachsen. Das Netz wird noch komplexer. Immer mehr Geld, Industrien und Wirtschaftszweige werden digitalisiert. Vor einigen Jahren haben wir noch unseren PC geschützt. Eine große, graue Kiste in der Wohnung, die sich nicht bewegt hat und an ein Kabel angeschlossen war. Heute geht es unter anderem um mobile, sehr private digitale Devices, es geht also immer mehr um den Menschen.
Wir müssen dich aus vier Blickwinkeln schützen können: 1. Alle deine Geräte müssen geschützt werden. Egal um was es sich handelt. Nicht nur dein Smartphone sondern auch deinen Fernseher, dein Zuhause und deine Waschmaschine, wenn sie vernetzt sind. 2. Verschlüsselungen sind elementar. Es reicht nicht nur die Haustür zu schließen, umso schwieriger es gemacht wird, desto weniger wird man dich angreifen. 3. Wir müssen all deine Inhalte schützen. Und zuletzt müssen wir deine digitale Privatsphäre schützen können. Deinen Fußabdruck. Was hinterlässt du, was nicht? Vor allem, musst du die Wahl haben. Mache ich den Vorhang im Schlafzimmer auf oder nicht? Dann muss man sehen, dass auch die Kriminellen immer smarter und besser werden. Auch die denken wirtschaftlich. Das Geld, das am Anfang ergaunert wurde, wird in riesige Serverfarmen und neue Technologien investiert. Wir reden ja von einem Milliardengeschäft. Das ist Big Business und dass da gute Talente arbeiten, liegt auf der Hand. Wo Geld ist, gibt es immer auch smarte Leute.
Wenn Cyberkriminalität immer professioneller wird, muss man in dem Kontext von organisierten, internationalen Mafias reden?
In der Tat gibt es solche Strukturen. Wobei Internet-Kriminalität von vornherein international ist und kaum Landesgrenzen kennt.
Ein Klischee ist ja noch immer der Teenager, der aus irgendeinem Kinderzimmer heraus, Viren oder Trojaner programmiert und sich einen Spaß erlaubt und die NASA ärgert.
Ich nenne dir ein Beispiel. Es gibt eine Gang, die sich auf Ransom-Ware spezialisiert hat. Ransom-Ware ist die Art Schadsoftware, die all deine Daten verschlüsseln und wenn du Pech hast auch deine Backups, sobald die Festplatte mit dem Rechner und dem Internet verbunden ist. Gegen Zahlung eines Betrags, wird die Verschlüsselung wieder zurückgenommen. Ansonsten sind all deine Daten für immer weg. In einem Quartal hat diese Gang um die 40 Mio. Euro eingenommen, was eine Menge Geld ist. In England wurde eine ganze Polizeidirektion gekidnappt. Und auch die musste das Lösegeld zahlen, um überhaupt wieder ihre Arbeit aufnehmen zu können.
Selbst die Polizei konnte nichts dagegen anstellen?
Es klingt fast witzig. Aber ja, selbst die Polizei hat in diesem Fall das Geld bezahlt. Es handelt sich quasi um „ehrliche“ Kriminelle. Wenn man zahlt, werden die Computer in der Tat wieder nutzbar. Wir haben FBI und Interpol helfen können, einige der Täter ausfindig zu machen. Am Ende konnten elf Personen festgenommen werden. Was wir dabei herausfinden konnten ist, dass die Täter über die ganze Welt verstreut arbeiten. In den USA, in Italien, überall. Es geht ihnen auch nicht um die Riesencoups. Man will ja nicht auffallen. Man geht aber von Millionen von befallenen Computern aus. Als Chef der Gruppe gilt der Russe Evgeniy Bogachev. Er zählt mittlerweile zu den meist gesuchten Kriminellen der Welt. Es ist schwierig diese Täter zu jagen und dingfest zu machen. Sie sind smart. Spuren werden gut verwischt. Das Geld wird durch viele Länder geschleust und da es in jedem Land andere Gesetze gibt, ist es umso langwieriger solche Fälle schnell zu verfolgen. Es werden nie Attacken innerhalb des gleichen Lands betrieben. Da muss man von Global Playern reden.
Wem kann man heute noch trauen und woher weiß ich das?
Wenn es im konkreten Fall um Sicherheitssoftware geht, schau wo das Land sitzt, die diese Software herstellt. Versuche zu verstehen, welche Gesetzeslage dort herrscht. Das sehen die wenigsten, aber das ist ein wichtiger Punkt. Versuche herauszufinden, ob die Firma, die dir so ein Produkt anbietet, überhaupt in der Lage ist, für die Sicherheit zu garantieren, die du suchst. Und vor allem: Denke niemals, dass eine Free-App umsonst ist. Wer sich so eine Software installiert, bekommt eigentlich das, was er nicht wollte. Das sollte allmählich klar werden. Wie oft suchen User nur nach einer billigen Lösung und nehmen das nächstbeste aus einem Land, von dem sie nichtmal wissen, wie die Gesetze dort sind. Selbst vor Software aus totalitären Staaten wird da nicht zurückgeschreckt. So was ist eben nicht vertrauenswürdig.
Wie sieht das Worst bzw. Best Case Scenario aus, das uns erwarten könnte?
Das ist einfach. Im schlimmsten Fall werden wir uns vom Internet verabschieden. Weil es dann zur größten Überwachungs- und Kriminalitätsmaschine geworden ist, die die Menschheit je entwickelt hat. Es gibt keine Kontrolle mehr und keiner traut dem anderen. Alle Regierungen spionieren ihre Bürger aus. Kriminelle können tun, was sie wollen. Ich glaube aber, dass wir diesen Weg nicht gehen müssen. Regierungen müssen darauf achten, was in ihren Ländern passiert. Was macht der Geheimdienst, wann muss interveniert werden? Die Polizei darf doch auch nicht machen, was sie will. Richter müssen unabhängig sein. Grundsätze jeder Demokratie, die teilweise offenbar aufgeweicht wurden und nicht mehr gelten. Die Medien müssen wachsam sein. Wir Bürger dürfen nicht mehr Aussagen wie: „Wir machen das nur zu Eurem Schutz!“ oder „Wir machen das im Namen Eurer Sicherheit!“ naiv Glauben schenken und Einschnitte der Privatsphäre in Kauf nehmen.
Und ein letztes Mal: Es gibt zum Himmelherrgott keine kostenlosen Apps. Man kann keine App oder Software der Welt umsonst bekommen, ohne dabei irgendwas von seiner Privatsphäre aufzugeben. Selbst bei den größten Idioten der Branche gibt es ein Business-Modell und das besteht in der Regel nun mal in der Verwertung von privaten Daten. Die Menschen müssen endlich aufwachen. Irgendwann muss doch diese Hirnregion anspringen, die dir sagt. Da stimmt vielleicht was nicht. Und noch was. Wir müssen nicht unser komplettes Leben auf Twitter, Facebook, Instagram und was auch immer abbilden. Social Media ist großartig und das Internet hat einen großartigen Nutzen. Aber sag niemals: Ich habe nichts zu verbergen. Lass uns nicht naiv sein. Die Menschheit hat jahrhundertelang dafür gekämpft, um genau das Gegenteil behaupten zu können. Die wenigsten sind sich über die Implikationen bewusst, die so eine Lebensweise mit sich bringen kann. Die Dimensionen, die uns in Zukunft beschäftigen werden, das können sich nur die wenigsten von uns vorstellen.