„Kaum einer weiß, was eine App auf dem Handy treibt“
Bund und Freistaat stecken Millionen in das Institut für IT-Sicherheit in Garching. Wie Bürger davon profitieren
Frau Professor Eckert, an diesem Mittwoch wird der Neubau Ihres Institutes, das sich vor allem mit IT-Sicherheit beschäftigt, offiziell eröffnet. In ihm sollen statt 170 bald 250 Fachleute arbeiten. Müssen Sie immer mehr Menschen beraten, wie Sie Ihren Computer schützen können?
Claudia Eckert: Wir arbeiten in erster Linie mit Firmen und der Öffentlichen Hand zusammen, um sie gegen Angreifer zu schützen – und nicht mit dem Endverbraucher. Aber unsere Zusammenarbeit kommt letztlich auch dem Endverbraucher zugute, da wir ja die Firmen unterstützen, sichere Produkte für Endverbraucher zu entwickeln.
Inwiefern?
Eckert: Jedes Unternehmen, das vernetzt ist, kann Ziel von Angreifern werden. Egal, ob das Angriffsobjekt letztlich ein Mobiltelefon, ein Auto oder ein Atomkraftwerk ist. Stellen Sie sich vor, man kann in der Autoproduktion durch Zugriff über das Internet einen Schweißroboter manipulieren und die Produktion dadurch schädigen, dass er die Schweißnaht falsch setzt. Wir schauen uns bei Firmen deshalb unter anderem genau an, wie ihre Kommunikationsnetzwerke geschützt sind.
Welche Arten von Angreifern gibt es? Eckert: Es gibt – grob eingeteilt – vier Gruppen. Organisierte Kriminelle dringen zum Beispiel über Schwachstellen in Rechner von Firmen ein, verschlüsseln deren Daten – und fordern Geld, damit sie die Daten wieder freigeben. Das ist natürlich Erpressung. Diese Vorgehensweise hat extrem zugenommen.
Und die anderen drei Gruppen? Eckert: Eine weitere große Gruppe ist die Konkurrenz, also Wirtschaftskriminalität. Dann kommen eigene Mitarbeiter oder frühere eigene Mitarbeiter, sogenannte Innentäter, die vielleicht unzufrieden mit ihrem Arbeitgeber sind und eine Möglichkeit suchen, ihn zu schädigen. Und zuletzt sind das Staaten. Nicht alle sind dazu technisch fähig. Aber gerade die großen Player – USA, Russland und China – sind in diesem Bereich sehr aktiv, um ihre Interessen zu schützen oder durchzusetzen.
Man sagt ja immer, dass Datenschützer immer nur den Angreifern hinterherlaufen. Stimmt das? Wie ist der Spielstand?
Eckert: Um auf dem Fußballfeld zu bleiben: Unserer Meinung nach spielen die Leute – bei uns also die Firmen – zu viel barfuß, anstatt sich vernünftige Stollenschuhe zu kaufen. Natürlich erkennt ein Virenschutz nur das, was er schon einmal gesehen hat. Aber es gibt dennoch gute Lösungen zum Schutz. Man muss sie halt anwenden.
Gilt das auch für den Normalverbraucher?
Eckert: Ja natürlich. Allerdings sollte der Schutz des Endverbrauchers sozusagen vorher ablaufen. Nämlich, dass etwa ein Rechner seine Datensicherheit weitgehend selbst organisiert. Um im Fußballbild zu bleiben: Der Verbraucher sollte gar nicht ohne Stollenschuhe auf das Spielfeld gelassen werden.
Der Neubau des Institutes hat 27 Millionen Euro gekostet, getragen je zur Hälfte vom Bund und vom Freistaat. Viel Geld. Auf der anderen Seite wird bei Ihnen auch viel geforscht. Woran denn zum Beispiel?
Eckert: Fast jeder nutzt Apps – etwa auf seinem Mobiltelefon. Aber kaum einer weiß, was eine App auf seinem Handy wirklich treibt, ob sie etwa insgeheim Kontakt zu anderen Servern aufbaut. Wir haben Programme entwickelt, die das analysieren, Probleme aufdecken und Hinweise zur Lösung geben.
Ein anderes Beispiel?
Eckert: Wir kümmern uns auch um das Thema Deep Fakes. Bilddaten und Tondaten werden inzwischen so gefälscht, dass das vom Menschen eigentlich nicht mehr erkannt werden kann. Ein digitales Bild etwa besteht nur aus Nullen und Einsen. Man kann es deshalb leicht manipulieren. In diesem Fall wird der Mensch getäuscht. Es gibt aber auch sogenannte adverserial attacks. Dabei werden Daten im Sinne des Angreifers so manipuliert, dass ein System sie anders interpretiert.
Klingt schwer verständlich…
Eckert: Ein Beispiel aus dem Bereich des autonomen Fahrens: Wenn ein Angreifer dafür sorgt, dass das Steuersystem ein Stoppschild als Geschwindigkeitsbegrenzung deutet, kann das fatale Folgen haben: Das Fahrzeug hält nicht an, sondern fährt weiter. Der Neubau liefert uns erstmalig die Möglichkeit, umfassende Untersuchungen anzustellen und so etwa Autos auf dem Rollenprüfstand solchen Angriffsversuchen auszusetzen und die Tragfähigkeit von Schutzmaßnahmen zu untersuchen. Interview: Markus Bär
Claudia Eckert ist Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit in Garching bei München.