SSL-Erfinder: “Ich wäre gerne ein Browser-Designer”

In diesem Interview erklärt der Starkryptologe und SSL-Erfinder Taher Elgamal, warum er Cyber-Identitäten unterstützt. Außerdem behauptet er, dass viele Unternehmen in Sachen Sicherheit den zweiten Schritt vor dem ersten tun und wartet auch mit einer überraschenden Karriereperspektive auf. Neben SSL schuf Elgamal auch die Signatur DSS. Der gebürtige Ägypter und Stanford-Absolvent ist zudem für verschiedene Unternehmen als Beirat und für Axway als Chief Security Officer tätig.

Taher Elgamal, Erfinder von SSL und heute unter anderem CSO bei Axway, glaubt, dass "Sicherheit in der Applikation verankert sein muss".
Taher Elgamal, Erfinder von SSL und heute unter anderem CSO bei Axway glaubt, dass “Sicherheit in der Applikation verankert sein muss”.

silicon.de: Als Sicherheitskoryphäe gehen Ihnen die Menschen doch bestimmt aus dem Weg?

Elgamal: (lächelt) Und warum sollten sie das tun?

silicon.de: Weil Sie sicher ein Kontroll-Freak sind, und das gefällt vielen einfach nicht.

Elgamal: Nun, es ist einfach die Hauptaufgabe eines CSO, Sicherheitsrichtlinien zu entwerfen.

silicon.de: Aber genau das sagen wir doch.

Elgamal: Nein, das tun sie nicht. Wenn man solche Richtlinien entwirft, kommt es darauf an, das Geschäft zu verstehen: Was ist für das operative Geschäft entscheidend und welche Vermögenswerte könnten bedroht werden? Zuerst müssen Sie also ein Designer sein, der das Geschäft versteht.

silicon.de: Aber ohne Kontrolle kann man keine Richtlinien durchsetzen.

Elgamal: Zugegeben, aber dabei kommt es vor allen Dingen auf die richtige Balance an. Sie müssen das Geschäft und die Menschen dahinter verstehen. Ich bin da ganz praktisch: Eine Sicherheitsrichtlinie ist eben nur so gut wie ihr schwächstes Glied. Und das ist in aller Regel der Mensch.

silicon.de: Aber das haben wir doch schon oft gehört. Was soll denn daran praktisch sein?

Elgamal: Praktisch ist, dass Sie Ihre Sicherheitsrichtlinie unter Umständen immer wieder anpassen müssen, damit sie auch den Bedürfnissen der Benutzer entspricht. Denn die können es zwar gut mit ihrem Arbeitgeber meinen, aber trotzdem seine Vorgaben umgehen.

silicon.de: Nennen Sie bitte einmal ein Beispiel!

Elgamal: Wenn Sie etwa bei der Filterung von E-Mail-Inhalten zu streng verfahren, fangen die Benutzer vielleicht einfach an, Daten auf CDs oder USB-Geräte zu kopieren, die sie dann per Post verschicken. In neun von zehn Fällen wahrscheinlich noch unverschlüsselt, damit man besser auf die Daten zugreifen kann. Und dieses Szenario ist nun nicht unbedingt wünschenswert oder?

“Sicherheit sollte ein integraler Bestandteil des Geschäftes sein”

silicon.de: Trotzdem: Die meisten Menschen entscheiden sich doch eher dafür, Sie auf Distanz zu halten oder?

Elgamal: Das ist vor allen Dingen eine Frage der Unternehmenskultur. Sicherheit sollte ein integraler Bestandteil des Geschäftes sein, und nicht so wahrgenommen werden, als ginge es darum, zu kontrollieren, was die Mitarbeiter tun. Je mehr der CSO Teil des Geschäftes ist, umso mehr werden die Mitarbeiter auch verstehen, was wichtig für das Geschäft ist. Also ist es am besten, die Rolle des CSO so zu definieren, dass sie jeder versteht.

silicon.de: Da wir gerade bei Verständnisfragen sind: Es fällt ein bisschen schwer zu verstehen, warum Sie dem Bestreben der Obama-Regierung applaudiert haben, Cyber-Identitäten einzuführen.

Elgamal: Mein Beifall galt der Initiative, das Konzept von interoperablen Cyber-Identitäten zu unterstützen und zu koordinieren.

silicon.de: Und bereitet es Ihnen keine Sorge, dass Regierungsbehörden so Zugriff auf zu viele sensible Daten bekämen?

Elgamal: Unterstützung und Koordinierung dieses Konzepts ist nicht damit gleichzusetzen, dass die Regierung die Infrastruktur besitzen würde. Und selbst wenn die Regierung, die Infrastruktur in der Hand hielte, heißt das noch lange nicht, dass sie Zugang zu den vertraulichen Daten einer Identität hätte.

silicon.de: Und daran glauben Sie?

Elgamal: Nun, nehmen wir doch einmal an, ich gebe Ihnen eine Smartcard, auf der hinterlegt ist, dass Sie deutscher Staatsbürger sind. Darüber hinaus erlaubt Ihnen diese Karte vielleicht, auf Ihre Bankkonten zuzugreifen. Selbst wenn die Regierung dann die Infrastruktur für die Cyber-Identität verwaltet, können Sie Ihre Daten immer noch durch einen Initialisierungsprozess schützen. Trotzdem würde die Regierung immer noch verstehen, dass es sich dabei um eine Cyber-Identität handelt, eben weil diese den von der Regierung festgelegten Anforderungen entspräche. Und das ist das Entscheidende an der Idee: Das Verständnis dafür und die Möglichkeit, sie interoperabel zu machen.

silicon.de: Aber Sie verstehen schon, woher die Sorge kommt?

Elgamal: Tatsächlich kommt es natürlich auf die Identitäten-Muster an, die eine Regierung verwendet. Natürlich hat man immer Befürchtungen, dass eine Regierung Zugriff auf zu viele Daten hat. Aber in meinen Augen hängt das nicht mit der Etablierung einer Cyber-Identität zusammen, sondern mit einer Reihe anderer Faktoren. Noch einmal: Es geht hier um Unterstützung und Koordinierung. Und zwar für ein Projekt, bei dem man die Technologien und Prozesse etablieren will, mit deren Hilfe Cyber-Identitäten funktionieren können. Wenn man Zugriff auf private Daten erlangen will, benötigt man dazu also weitere Informationen.

“Die Browser bereiten mir Sorge”

silicon.de: Trotzdem scheinen Sie kein großes Vertrauen in die Regierung zu haben, denn Sie sagen, dass man bei einem Projekt dieser Größe die Unterstützung der Privatwirtschaft benötigt.

Elgamal: Hier geht es ja nicht um Vertrauen. Der Regierung kommen dabei vor allen Dingen zwei Aufgaben zu: Die erste ist die Standards für die Regularien zu definieren, die andere ist, eben diese Standards zu fördern. Ehrlich gesagt, glaube ich, dass es der Regierung ziemlich egal ist, wo Ihre Bankdaten liegen. Dagegen ist es für die Regierung sehr wichtig, dass Ihre persönlichen Daten richtig geschützt werden. Wenn die Regierung also einen oder mehrere Standards festlegt, wird das gerade für sehr stark regulierte Branchen wie den Bankenbereich ein Anreiz sein, diese Standards zu verwenden. Und das wiederum wird den privaten Sektor dazu veranlassen, die Technologien zu entwickeln, die man braucht, um der Idee Leben einzuverleiben.

silicon.de: Bei solchen Themen kommen Sie unaufhörlich auf Regeln und Regularien zu sprechen.

Elgamal: (nickt) Das liegt in der Natur der Sache.

silicon.de: Und es ist genauso natürlich, sich zu fragen, wie manche Dinge anders verlaufen hätten können. Wenn Sie also eine Zeitreise machen und SSL noch einmal entwerfen könnten, was würden Sie anders machen?

Elgamal: Ehrlich, wenn ich eine Zeitreise machen könnte, würde ich mich nicht so sehr um SSL sorgen. Mit dem technischen Wissen von heute könnte man da natürlich manches anders machen. Aber was mir viel eher Sorgen bereitet, sind die Browser. Wenn ich also die Möglichkeit für eine Zeitreise hätte, würde ich Browser-Designer werden und bessere Browser machen.

silicon.de: Wenn Sie da nicht mit dem Finger auf andere zeigen?

Elgamal: Haben Sie sich je gefragt, warum es im mobilen Bereich weit weniger Sicherheitsprobleme gibt? Ohne Zweifel haben der drahtgebundene und der mobile Web-Zugriff dieselben Schwachstellen, die die Nutzung des Internets eben mit sich bringt. Aber wenn Sie von einem mobilen Gerät aus auf das Internet zugreifen, benutzen Sie dazu meist eine App und nicht den Browser. Und das ist ein Stück Wahrheit, das man generell für Sicherheitsanliegen im Kopf behalten sollte.

silicon.de: Was genau meinen Sie damit?

Elgamal: Wir müssen uns viel stärker mit den Applikationen befassen. Statt immer mehr Sicherheitstechnologie auf jede neue Applikation oben drauf zu schichten, sollten wir mehr Sicherheit in die Applikation selbst bringen. Wir müssen den Tatsachen ins Auge sehen: Wenn wir neue Sicherheitswerkzeuge zu einer bestehenden Infrastruktur hinzufügen, ist das so, als ob wir Löcher in eine bestehende Infrastruktur bohren. Da ist es zumindest fragwürdig, ob wir so für mehr Stabilität sorgen.

“Technologie ist der zweite Schritt”

silicon.de: Immer wieder haben Sie gesagt, dass Technologie alleine nicht die Antwort sein könne. Ist das ein weiteres Beispiel dafür?

Elgamal: Exakt, und wir sehen das eben in diesem Kontext sehr genau. Technologie ist der zweite Schritt. Viel zu viele Unternehmen kümmern sich aber um diesen zweiten Schritt, bevor sie den ersten getan haben.

silicon.de: Und was wäre denn dieser erste Schritt Ihrer Meinung nach?

Elgamal: Unternehmen müssen sich zuerst über potenzielle Gefahren Gedanken machen, und genau das tun sie sehr oft nicht. Statt einfach nur eine Technologie anzuschaffen, müssen sie sich damit befassen, worum es für sie eigentlich geht. Gerade auch dann, wenn sie sich mit neuen Ideen wie der Cloud auseinandersetzen.

silicon.de: Mit Blick auf die Cloud empfehlen viele Berater, nach Features wie SSL-Verschlüsselung, Firewalls und ähnlichem zu schauen. Ist das etwa kein guter Rat?

Elgamal: Wenn man Daten in einem Netzwerk ablegt, das nicht vollständig unter der eigenen Kontrolle ist, muss man sich fragen, wovor man eigentlich Angst hat. Wenn es nur um die Datensicherheit geht, dann ist SSL nicht ausreichend, denn SSL wurde nie dazu entworfen, diese Aufgabe zu übernehmen. In so einem Fall muss man die Daten dann verschlüsseln, wenn sie in der Cloud gespeichert werden. Wenn man sich über die Art der möglichen Bedrohungen im Klaren ist, kann man dann auch die entsprechende Technologie auswählen. Letzteres trifft auch auf den Entwurf von Applikationen zu. Das Vernachlässigen dieser Belange ist zum Beispiel auch der Grund dafür, warum viele Applikationen nicht gegen Insider-Bedrohungen gesichert sind. Es kommt vielen Entscheidern gar nicht in den Sinn, dass dies eine sehr naheliegende Bedrohung ist.

“Sicherheit aus der Applikation herauszunehmen, ist sehr teuer”

silicon.de: Wenn man aber mehr und mehr Sicherheitsvorkehrungen in die Applikation einbindet, fördert man damit nicht isolierte Silos, die dann auch nicht interoperieren können?

Elgamal: Sicherheit in der Applikation heißt nicht, dass man isolierte Silos schafft. Es bedeutet vor allem, Zugriffskontrollen in der Applikation zu verankern. Das sollte man insbesondere auch deshalb tun, weil die Anwendung der Ort ist, der den Wert von Daten versteht. Für das Netzwerk sind Daten vielleicht einfach nur Dateien. Die Applikation kann daraus jedoch Sinn machen. Das lohnt sich aber auch, weil es sehr teuer ist, Sicherheit aus der Applikation herauszunehmen und sie stattdessen irgendwo in der Infrastruktur zu platzieren.

silicon.de: Lassen Sie uns noch einmal vorausschauen. Was sehen Sie als einen sich abzeichnenden Trend?

Elgamal: Ganz gleich, ob es einem gefällt oder nicht: Ich glaube, auch Business Communities werden mehr und mehr wie soziale Netzwerke funktionieren.

silicon.de: Aber Business Communities brauchen doch sicheren Datenaustausch. Da ist es schwer vorstellbar, dass sie wie soziale Netzwerke funktionieren können.

Elgamal: Ja, natürlich besteht hier Sicherheitsbedarf. Und ich sage nicht, dass sensible Daten über Facebook ausgetauscht werden. Aber ich glaube, dass wenn man die richtige Architektur bereitstellt, die es Unternehmen erlaubt, sichere Communities mit sicheren Applikationen zu schaffen, es Organisationen auch gelingt, die Lücke zwischen Kundenmanagement und technischer Konnektivität zu schließen.