CW: Sind die Sicherheitssorgen mancher Anwender bezüglich Cloud-Services berechtigt?
Stikeleather: Das Security-Problem bezüglich Cloud Computing ist vielschichtig. Computer, die wir heute benutzen, waren niemals darauf ausgelegt, sicher zu sein, genau wie die Netzwerke. Sicherheit war noch nie ein primäres Design-Prinzip. Für sie wird nachträglich gesorgt - mit mäßigem Erfolg. Mit Cloud Computing haben wir so etwas wie eine Chance, nochmal von vorne anzufangen. Damit meine ich folgendes: Echte Utility-Provider werden eine unsichere Infrastruktur nutzen, sichere Services anzubieten.
Wenn ich mich an der Cloud anmelde, erzeugt der Provider zuerst eine virtuelle Maschine oder einen Hypervisor. Der Hypervisor schließt dann jeden weiteren Zugriff von außen aus. Dadurch wird eine sichere Umgebung erzeugt. Das ist viel sicherer, als wenn man per Browser verschiedene Webseiten nacheinander ansurft. Angreifern ist es dann nicht mehr möglich, Schadsoftware direkt auf dem Rechner des Anwenders zu platzieren. Mittel- bis langfristig wird die Cloud bedeutend sicherer sein, als unsere jetzige Umgebung.
Während sich die Cloud entwickelt, sind die Risiken hoch. Viele Leute drängen sich in die Cloud und diese Enge macht anfällig für Gefahren. Das ist ähnlich wie bei den Städten im Mittelalter. Durch die dichte Bevölkerung konnten sich Viren schnell verbreiten. Die Pest ist ein gutes Beispiel dafür. Langfristig war durch die hohe Population aber großes Innovationspotential vorhanden, so dass Großstädte heutzutage die beste medizinische Versorgung aufweisen. Bei Cloud Computing wird es ähnlich laufen, denke ich.
CW: Als Anbieter von Endgeräten, nach der Übernahme von Perot Systems aber auch als IT-Dienstleister, muss die Security-Diskussion in Ihrem Haus hohe Priorität haben. Was waren die Herausforderungen für Sie?
Foto: Fotolia, BD-Photography
Stikeleather: Ein Ergebnis unserer Diskussion ist, dass bezüglich Sicherheit die vorhandene Technologie kein Problem darstellt. Es kommt darauf an, dass Gesellschaften oder Regierungen als Vertreter der Gesellschaft sich erst einmal darüber klar werden müssen, was Sicherheit im Cyberspace bedeuten soll. Wo besteht Handlungsbedarf und wie sollen die Gesetze aussehen? Wenn das geklärt ist, ist die technologische Umsetzung das kleinere Problem. Wir benutzen dafür den Ausdruck "small MOP (Matter of Programming)".
Ein zweiter Punkt ist, dass Internet und Cyberspace fälschlicherweise als äquivalent betrachtet werden. Diese Begriffe bedeuten aber unterschiedliches. Internet umfasst die Technologien und Standards, die nötig sind, um den Cyberspace wie er heute existiert zu erzeugen. Diese Technologien werden sich weiterentwickeln. Das Konzept des Cyberspace mit seinen sozialen und moralischen Anforderungen bleibt jedoch eine Herausforderung. Daher geht es nicht nur um Sicherheit, sondern zunehmend um Themen wie Compliance, Datenschutz und Urheberrechte. Folglich wird die nächste Technologie-Generation Digital Rights Management oder Digital Restrictions Management im Fokus haben - je nachdem, von welcher Seite man das Pferd aufzäumt. Firmen sollten erkennen, dass Sicherheit von Anwendungen und Netzwerken nur die eine Seite der Medaille ist. Dieses Thema wird Teil der Infrastruktur werden.
Web 2.0 und der Generationskonflikt
CW: Mit Web 2.0 und Social Media entstehen Sicherheitssprobleme, die mit Datenschutz, Urheberrechten etc. zu tun haben. Wo sehen Sie Gefahren und was tut Dell, um sie in den Griff zu bekommen?
Stikeleather: Hier spielt eine Generationsfrage mit hinein. Ältere Menschen stellen wenig Persönliches ins Netz und interessieren sich nicht für Sicherheitsfragen. Jüngere Leute sind mitteilsamer und noch sorgloser. Damit entstehen Probleme. Die einen haben kein ausgeprägtes Bewusstsein für Sicherheit, die anderen scheren sich nicht darum. Mein Sohn ist zum Beispiel im Teenageralter. Er checkt seine E-Mails von überall: Von seinem Computer, von meinem Computer, im Internet-Cafe, in der Bibliothek und von sonstwo. Es ist ihm nicht klar, dass jeder dieser Plätze ein Gefahrenpotential bergen kann. Zurzeit entsteht eine ganz neue Generation von Malware. Nutzer werden auf Social-Media-Seiten gelockt und dort wird der Rechner infiziert, in der Hoffnung, dass er sich irgendwo hinter einer Firmen-Firewall befindet. Dieses Problem wird auch nicht wieder verschwinden - umso mehr da immer mehr Unternehmen das Potential sozialer Netzwerke entdecken. Für Dell heißt das, wir müssen die Technologie so gestalten, dass sich Nutzer gemäß ihres normales Verhaltens im Netz bewegen können, und dennoch keine Sicherheitsprobleme verursachen. Gleichzeitig wollen wir die Nutzer erziehen, so dass eine Generation entsteht, die weiß, wie man sich sicher im Netz bewegt.
CW: Mit welchen Security-Partnern arbeitet Dell zusammen?
Stikeleather: Eines unserer wichtigsten Mantras bei Dell ist "offen, leistungsfähig und günstig". Deshalb ermutigen wir jeden mit uns zusammenzuarbeiten. Der Cyberspace ist unser gemeinsames Gut und deshalb sollten wir ihn auch gemeinsam schützen.
Internationale Zusammenarbeit ist nötig
CW: Einige Leute meinen, im Kampf gegen Cyberkriminalität sei internationale Zusammenarbeit nötig. Würden Sie dem zustimmen?
Stikeleather: Ja. Die entscheidende Frage ist "wo, wann, wie und wie intensiv"? Das Problem mit Cybercrime ist, dass der Feind nicht sichtbar ist. Wird ein Mafiaboss festgenommen, bekommen wir eindeutige Bilder in den Nachrichten zu sehen. Wie soll das bei einem Botnet funktionieren? Die beteiligten Computer stehen bei irgendwelchen Privatpersonen herum. Dasselbe gilt für Kreditkartenbetrug, weil die Täter nur die Daten stehlen und Codes benutzen. Überdies gibt es international noch keine eindeutigen Richtlinien, was überhaupt als Internet-Verbrechen zu betrachten ist. Hier sollte eine einheitliche forensische Basis geschaffen werden, anhand der ein Richter gegen Täter vorgehen kann. Dazu sollten Richtlinien entstehen, nach denen ein Richter in einem Land Informationen an einen Richter in einem anderen Land weitergeben darf. Wir müssen keine internationale "Wir-hassen-Cybercrime-Organisation" ins Leben rufen, aber unsere jetzigen Gesetze sind durchaus verbesserungswürdig.
Entstehen dabei keine Probleme bezüglich der Privatsphäre von Nutzern und Datenschutz ?
Foto: Pixelio
Stikeleather: Natürlich entstehen da Komplikationen. Es gibt sensible Bereiche wie das Gesundheitswesen, wo strikt keine Daten weitergegeben werden dürfen. Wenn ein Datendiebstahl in Amerika passiert, die Person kommt aus Frankreich und der ISP sitzt in China, in welchem Land wurden dann eigentlich die Gesetze gebrochen? Welche Instanzen müssen informiert werden und welche Informationen darf man herausgeben? Die Probleme sind vielfältig. Man hätte sie aber auch, wenn die physikalischen Patientenakten abhanden gekommen wären. Das eigentliche Problem liegt in der Geschwindigkeit mit der aus gestohlenen Daten Geld gemacht werden kann, während die Mühlen der Justiz relativ langsam mahlen. Außerdem erkalten die Spuren der Täter im Cyberspace sehr schnell.
Panik schüren ist einfach
CW: Die Cybermafia organisiert sich immer besser. Woran liegt das?
Stikeleather: Es entstehen ganz eigene Wirtschaftszweige in der Internet-Kriminalität. Niemand muss heutzutage mehr sein eigenes Botnet aufsetzen. Man muss noch nicht mal mehr ein Computerfreak sein um einen Virus zu bauen. Im Internet findet man Dienste die Malware je nach den gewünschten Funktionen zusammenstellen. Der Grund für den Erfolg des Cybercrime liegt in den hohen Gewinnspannen - so banal das klingt. Ein weiter Grund ist, dass es so viele potenzielle Opfer gibt. Warum sind die Spam-Mails der Nigeria-Connection noch nicht ausgestorben? Weil immer wieder jemand darauf hereinfällt. Dazu kommen fehlende Gesetzte zur Verfolgung von Internet-Straftaten auf internationaler Ebene. Die erhofften Gewinne plus die erschwerte Strafverfolgung lassen viele Investitionen in das kriminelle Internetgeschäft fließen. Dadurch wird es möglich, sich immer besser zu organisieren.
CW: Was können wir dagegen unternehmen? Sind wir hilflos?
Foto: Flickr/rpongsaj
Stikeleather: Ich denke nicht, dass irgend jemand hilflos ist. Große Fortschritte sind durch die Erziehung von Nutzern möglich. Ich habe keine genauen Prozentzahlen parat, aber ein ungeheuer großer Anteil von Internet-Kriminalität könnte verhindert werden, wenn Privatnutzer einfach ihre Antiviren-Programme und Firewalls auf dem neuesten Stand halten würden. Es ist so leicht mit Meldungen über Computer-Verbrechen Panik zu schüren. Dabei vergessen wir immer wie viele Milliarden Transaktionen tagtäglich im Internet stattfinden. Der Prozentsatz der Transaktionen, die schiefgehen, ist relativ gering. Wir sollten unsere Gegner aber auf jeden Fall ernst nehmen.