Wie Saarbrücker Experten die Cyber-Welt sicherer machen
An der Saar-Universität entsteht ein Zentrum für IT-Sicherheit der Helmholtz-Gemeinschaft. Es wird das Bild der Uni prägen und das Profil des Wissenschaftsstandorts tief greifend verändern.
SAARBRÜCKEN In der digitalen Welt hat jeder Mensch, ob er will oder nicht, ein zweites Ich. Es „lebt“in den Computernetzwerken, in denen Daten über uns gespeichert sind. Seine Bedeutung wächst rasant. Jede Aktion in sozialen Netzen, jeder Online-Kauf, jede Anfrage bei einer Suchmaschine erzeugen neue Datenspuren. Sie ermöglichen es heute, unser Leben minutiös nachzuvollziehen. Sie werden es morgen erlauben, unseren Lebensweg und unsere Krankheiten vorherzusagen. Doch obwohl wir unseren Klon ständig mit neuen Daten füttern, und Versicherungen, Banken und die Werbebranche sie bereits fleißig nutzen, wissen wir praktisch nichts über ihn.
Persönliche Informationen gelten in der Online-Welt – selbstverständlich – als bestens gesichert. Doch was wäre, wenn nicht? Wie lässt sich ein wenig Privatsphäre im Internet-Zeitalter bewahren? Wie lässt sich ausschließen, dass unser Daten-Klon digital missbraucht wird? Das sind Fragen, mit denen sich Forscher des neuen Helmholtz-Zentrums für Cybersicherheit, das in den nächsten Jahren in Saarbrücken aufgebaut wird (wir haben berichtet), befassen werden. Daten-Schutz in sämtlichen Facetten ist eines der zentralen Themen seiner wissenschaftlichen Arbeit.
Welche Bedeutung dem Thema Cybersicherheit in der deutschen Wissenschaftslandschaft beigemessen wird, zeigt die schiere Größe des neuen Forschungskomplexes neben der Uni. Sein Jahresetat von mehr als 50 Millionen Euro ist doppelt so hoch wie das Budget der 6000 Studenten zählenden Hochschule für Technik und Wirtschaft in Saarbrücken. Über 500 Forscher sollen im Endausbau im Helmholtz-Zentrum arbeiten, für das mehrere Neubauten am Saarbrücker Campus geplant sind. Allein durch sie wäre die Zahl der Computerspezialisten an der Uni verdoppelt. „Und das ist nur die Grundfinanzierung“, erklärt Professor Michael Backes, der Leiter des neuen Zentrums. „Durch Drittmittelprojekte dürfte das Zentrum ein gutes Stück größer werden.“Es werde nicht nur das Profil der Uni verändern, sondern das Bild des Informatik-Standorts Saarland in den nächsten Jahrzehnten prägen.
Die Helmholtz-Gemeinschaft finanziert das Saarbrücker Cybersicherheitszentrum zu 90 Prozent, zehn Prozent übernimmt das Saarland. Die einstige „Arbeitsgemeinschaft der Großforschungseinrichtungen“ist der Riese unter den Wissenschaftsorganisationen und investiert in großem Stil in Zukunftsthemen. Die IT-Sicherheit gehört dazu. „Wir wollen alle Aspekte dieses Themas bearbeiten“, erklärt Michael Backes.
Im kommenden Jahrzehnt werden die ersten autonomen Autos über unsere Straßen rollen. Sie benötigen im Prinzip kein Lenkrad mehr, sondern steuern sich selbst. Steuerzentrale ist ein Computersystem der Künstlichen Intelligenz (KI), das nach dem Vorbild des menschlichen Gehirns arbeitet und selbstständig Entscheidungen trifft. Wie geht das KI-Programm eines solchen Autos vor, wie trifft es Entscheidungen, von denen Menschenleben abhängen? „Es gibt viele KI-Verfahren, die wir sehr gut kennen“, erklärt Michael Backes. „Aber im Prinzip weiß die KI-Forschung noch nicht in sämtlichen Details, wie ein solches System funktioniert, insbesondere wenn es bösartige Manipulationsversuche gibt.“Das bereitet dem Sicherheits-Spezialisten Kopfzerbrechen. „Denn nur wer ein Softwaresystem wirklich bis ins Letzte verstanden hat, kann das Programm auch vor Manipulationen schützen.“
Und das ist nicht das einzige Problem bei autonomen digitalen Systemen, die künftig nicht nur in Autos, sondern auch in vielen anderen Maschinen Einzug halten werden. Die Elektronik eines Autos muss Entscheidungen immer in Echtzeit treffen, ohne jede Verzögerung. Schon ein halbsekundenlanger Aussetzer, wie ihn jeder Computerbenutzer regelmäßig beim Internet-Browser erlebt, wird im Straßenverkehr gefährlich. Stößt der Mensch am PC auf ein unlösbares Problem, dann drückt er die Reset-Taste. Beim Auto verbietet sich das, denn da kann das unlösbare Problem aus einer Betonmauer bestehen, auf die das Auto zufährt, oder aus einem Kinderwagen auf der Straße.
Wie lässt sich mathematisch zweifelsfrei beweisen, dass eine Auto-Software unter allen Umständen sicher funktioniert? Auch diese Frage steht im Cybersicherheitszentrum zur Debatte. Wenn der Beweis erbracht werden kann, ließe sich mit einem Sicherheitssiegel international Furore machen, sinniert der Saarbrücker Software-Spezialist. „Es wäre einer der wenigen Fälle, dass typisch deutsche Tugenden, Gründlichkeit und Verlässlichkeit, in der Internet-Welt zum entscheidenden Qualitätsmerkmal werden.“Heute ist die Computerwelt voller Bananen-Software – sie reift beim Kunden. Beim autonomen Automobil lassen sich die Folgen eines Unfalls aber nicht durch ein Update reparieren. Steuersoftware mit einer Sicherheitsgarantie „Made in Germany“könnte deshalb in der Welt autonomer Maschinen ein wichtiges Verkaufsargument werden.
Sicherheit zu garantieren, ist bei den typischen Internet-Themen dagegen weit schwieriger. Dieser Aspekt spielte bei der Entwicklung des Computernetzwerks keine große Rolle. „Wir können die eingeführten und lange etablierten Datenprotokolle nicht ohne Weiteres in der Praxis durch neue ersetzen“, erklärt Michael Backes. Die Sicherheits-Spezialisten wollen jedoch Software entwickeln, die mit den Schwächen des Systems besser umgehen kann, die zum Beispiel versteht, wenn sie angegriffen wird und sich auch selbst repariert. Für den GoogleKonzern haben Forscher der Arbeitsgruppe von Professor Andreas Zeller bereits Analysetechniken entwickelt, die Apps, die in den Google Playstore übertragen werden, auf Sicherheitsmängel untersuchen.
Einer der größten Unsicherheitsfaktoren bleibt allerdings der Nutzer selbst. „Viele Menschen verstehen leider immer noch nicht, dass jede Information, die sie online hinterlassen, ausgewertet wird“, sagt Michael Backes. Außer den Daten, die Internet-Nutzer dabei freiwillig preisgeben, hinterlassen sie in Suchmaschinen und sozialen Netzwerken eine immer länger werdende Datenspur. Programme, die diese Daten analysieren und Verknüpfungen erstellen, versuchen, daraus ein Gesamtbild zu gewinnen. Wenn da am Ende nur noch wenige Puzzleteile fehlen, kann eine einzige Suchanfrage zu einem seltenen Thema oder die Eingabe eines Datums genügen, um zum Beispiel das Pseudonym eines Nutzers in einer Internet-Selbsthilfegruppe aufzudecken. „Oder ist stelle in einem Gesundheitsforum eine Frage zu einem Tumorleiden und auf einmal weiß jeder, dass ich Krebs habe“, warnt Michael Backes. Zu den IT-Sicherheitsprojekten der Saarbrücker Helmholtz-Forscher werde deshalb in jedem Fall der Schutz von Gesundheitsinformationen zählen, die in der personalisierten Medizin des 21. Jahrhunderts zuhauf anfallen und jeden Menschen zu einem gläsernen Wesen machen können.
Keines Menschen Gedächtnis ist leistungsfähig genug, um die Konsequenz aller Aktivitäten im Internet zu überschauen. Software mit ihrem praktisch unbegrenzten Speichervermögen vergisst dagegen nie. Das lasse sich für eine spezielle Variante von Datenschutzprogrammen nutzen, die uns im Internet vor Dummheiten warnen, hat Michael Backes zusammen mit Peter Druschel, Rupak Majumdar und Gerhard Weikum vor drei Jahren vorgeschlagen. Ihre Idee eines Programms zum Schutz der Privatsphäre, das mittlerweile von der EU gefördert wird, hat nun eine ganz spezielle Form der Anerkennung erfahren. Die Macher der Comic-Kultserie „Die Simpsons“haben im vergangenen Jahr die Idee des sogenannten Privacy Advisors übernommen. Dort wird in der Folge „The Girl Code“die Entwicklung einer solchen App, die ihren Benutzer vor Folgen unbedachter Einträge in sozialen Netzwerken warnt, Schritt für Schritt erklärt. „Das war ziemlich sicher bei uns abgekupfert“, schmunzelt Michael Backes. „Aber ein bisschen freut es mich doch.“
„Nur wer ein Softwaresystem bis ins Letzte verstanden hat, kann es vor Manipulationen schützen."
Prof. Michael Backes