SSL-Erfinder Elgamal

"Für Sicherheit gibt es keine Endstation"

11.10.2012
Von Axel Schmidt
Taher Elgamal begann seine Karriere als Kryptograf vor über 30 Jahren und gilt als der Erfinder von SSL. Im Gespräch mit der COMPUTERWOCHE skizziert er seine Sicherheitsphilosophie und betont wie wichtig es sei, die richtigen Risiken einzugehen.

CW: Herr Dr. Elgamal, wie sollte eine Organisation vorgehen, um vollständige Sicherheit zu erreichen?

Elgamal: Warum sollte man das anstreben? Ich halte das für albern.

CW: Albern? Seine Vermögenswerte zu sichern, um das Beste daraus zu machen, kann man doch kaum als albern bezeichnen.

"Die meisten Sicherheitsleute sind wie Linkshänder, die Rechtshändern das Schreiben beibringen wollen."
"Die meisten Sicherheitsleute sind wie Linkshänder, die Rechtshändern das Schreiben beibringen wollen."
Foto: Axway

Elgamal: Wenn Sie das Beste aus Ihren Vermögenswerten machen wollen, müssen Sie Ihr Geschäft richtig managen. Genau so müssen Sie auch an das Thema Sicherheit herangehen. Es ist ein Teil der Managementaufgabe. Es geht eben nicht nur darum, einige Technologien zusammenzustellen oder Leute anzuwerben. Es geht darum, welchen Teil des Betriebes Sie in die Hand nehmen wollen, um sicherzustellen, dass das Thema Sicherheit richtig umgesetzt wird.

CW: Das hört sich ziemlich ausweichend an.

Elgamal: Ich kann es auch philosophisch formulieren: Die Reise ist das Ziel. Ganz gleich, wie Sie es nennen, im Endeffekt muss jedem klar sein, dass es für Sicherheit keine Endstation gibt. Viele Leute meinen, sie können sich mit Sicherheit auseinandersetzen und dann einen Abschluss finden. Aber so funktioniert das eben nicht.

CW: Sie sagen also, dass Unternehmen mehr für das Sicherheitsbewusstsein tun müssen?

Elgamal: Was ich sage ist, dass Unternehmen lernen müssen, welche Risiken sie eingehen wollen, anstatt die falschen Fragen zu stellen. Die Absenz jedweden Risikos führt mit Sicherheit zum Scheitern. Alles läuft auf die Frage hinaus, welche Risiken man eingehen will, weil der daraus resultierende Nutzen interessant ist. Hinzukommt natürlich wie viel man investieren will, um einen Schaden zu verhindern.

CW: Aber gibt es nicht schon heute zu viele Benutzer, die bei weitem zu viele Risiken eingehen?

Elgamal: Zweifellos. Andererseits: Wie lange predigen Sicherheitsberater diesen Benutzern schon, dass sie vorsichtiger und wachsamer gegenüber offensichtlichen Risiken sein sollen? Trotzdem machen sie, was sie schon immer getan haben.

CW: Dann verraten Sie uns doch, warum Benutzer nicht auf Sicherheitsberater hören!

Elgamal: Die meisten Sicherheitsleute sind wie Linkshänder, die Rechtshändern das Schreiben beibringen wollen. Sie betrachten die Dinge aus einer vollkommen anderen Perspektive.

CW: Was heißt das?

Elgamal: Es bedeutet, dass wir uns zuerst mit den Prioritäten befassen müssen, bevor wir Lösungen oder Richtlinien entwickeln. Übrigens konnten sehr viele Lösungen aus diesem Grund keine wirkliche Sicherheit schaffen. Nehmen Sie E-Mail zum Beispiel: Mit Content Filtering oder Volumenbeschränkungen konnte man dafür sorgen, dass einige E-Mails nicht die Grenzen der eigenen Organisation verließen. Den Inhalt hat das aber nicht von der Reise abgehalten, denn die Benutzer fanden alternative Wege. Sie kopierten dann einfach sensible Daten auf USB-Sticks oder CDs und verschickten diese mit der Briefpost - in den meisten Fällen unverschlüsselt, damit der Empfänger auch keine Probleme beim Lesen der Daten hatte.