Sicherheit bedeutet taktieren
CW: Kriegsführung?
Elgamal: Natürlich hat man seine Wachen im Einsatz, aber die können nur einen Teil der Aufgabe erledigen. Bestenfalls schlagen sie Alarm, wenn die Armee des Feindes auftaucht, doch man sollte stets auf den Ernstfall vorbereitet sein. Vielleicht wird die gegnerische Armee dann sogar abziehen, weil sie einen Angriff für zu gefährlich erachtet. Genauso gilt natürlich, dass man niemals an zu vielen Fronten gleichzeitig kämpfen sollte. Wenn man merkt, dass einige der eigenen Rechner etwas Eigenartiges tun, muss man verhindern, dass sich das im Netzwerk ausbreitet. Es macht einen beträchtlichen Unterschied, ob man einen einzelnen Rechner hat, der von Malware befallen ist oder ein komplettes Netzwerk.
CW: Wie würden Sie denn vorgehen, wenn Sie in das Netzwerk eines Unternehmens eindringen sollten?
Elgamal: Ganz einfach. Ich würde den oder die Assistentin des CEO anrufen und sagen, dass der CEO in einem Meeting mit einem hochrangigen Manager sitzt. Und weil er für das Gespräch Zugriff auf das eigene Netzwerk braucht, soll ich ihm nun seinen Benutzernamen und sein Kennwort besorgen.
CW: Das soll funktionieren?
Elgamal: Es ist der am meisten verwendete Hack.
CW: Das muss für einen Sicherheitsexperten wie Sie doch sehr frustrierend sein.
Elgamal: Nein, es ist nur ein Fakt, den ich über die Jahre gelernt habe. Aus diesem Grund sage ich auch, dass wir uns nicht nur auf Technologien verlassen können. Menschen werden sie umgehen, also müssen wir auch den sozialen Faktor berücksichtigen.
CW: Mal ehrlich, glauben Sie, dass überhaupt ein Fortschritt in Sachen Sicherheit erkennbar ist?
Elgamal: Definitiv. Sicherheit hat sich zu einer Branche entwickelt. Als ich vor über 30 Jahren mit Kryptografie begonnen habe, sah das noch ganz anders aus. Die einzigen, die sich damals dafür interessierten waren Nachrichtendienste. Erst das Auftauchen des Internets machte es möglich, dass Sicherheit sich als Branche etablieren konnte. An der ersten RSA-Konferenz 1990 nahmen 50 Besucher teil, bei der letzen waren es über 15.0000. Wir waren es, die diese Branche aufgebaut haben. Doch letztendlich konnte das nur gelingen, weil mit dem Internet ein Risiko für Anwender entstand, das man in den Griff kriegen musste. Bisweilen ist es nötig, sich in Geduld zu üben. Denken Sie nur daran, wie lange es bei den Automobilherstellern gedauert hat, bis sie Basisausstattungen wie Sicherheitsgurte implementiert haben.
CW: Also ist es schlussendlich dennoch Technologie, die Sie antreibt.
Elgamal: Technologie, die einen Zweck verfolgt - und das ist natürlich etwas ganz Anderes als Technologie um der Technologie willen. Man möchte vielleicht das eine verhindern oder das andere ermöglichen, doch es muss stets ein Grund für uns vorhanden sein, das zu tun. Vielleicht spart es Geld, schützt das Individuum oder ermöglicht die Interaktion zwischen Ländern. Dann wird Technologie interessant.
CW: Herr Dr. Elgamal, vielen Dank für dieses Gespräch! (ph)