CW: Sicherheitsthemen boomen momentan. Wo sehen Sie das meiste Wachstumspotenzial?
SCHNEIER: Im Bereich Dienstleistungen. Die meisten Produkte sind für ganz spezielle Probleme konzipiert, den Unternehmen fehlt jedoch das spezifische Know-how, um sie richtig einzusetzen. Man kann von den Angestellten nicht verlangen, sich ständig in neue Techniken einzuarbeiten. Daher bin ich überzeugt, dass sich rund um Services für das Überwachen und Verwalten von Sicherheitskomponenten einiges tun wird.
CW: Also sollen Serviceanbieter die Probleme von den Anwendern fernhalten?
SCHNEIER: Der Anwender möchte sich nicht um die Technik kümmern, sondern verlangt, dass sie einfach funktioniert. Außerdem haben viele Firmen weder die Zeit noch das Personal für solche komplexen Aufgaben. Wie bei einem Auto: Es soll fahren, und wenn ein Problem auftritt, lässt man den Wagen von einem Spezialisten reparieren. Bei einem Sicherheitsleck ist es dasselbe.
CW: Um bei Ihrem Beispiel zu bleiben: Autos werden nicht ohne Bremsen oder Airbag geliefert. Anders bei der Datenverarbeitung: Hier haben wir immer noch eine deutliche Trennung zwischen der IT und den Mechanismen, die sie schützen sollen. Security ist längst nicht so integriert, wie sie sein sollte.
SCHNEIER: Das stimmt, aber es gibt auch Veränderungen. Sicherheit wird zur Appliance, einem Konsumprodukt, das nicht länger abgekapselt, sondern in das Produkt integriert ist, das der Kunde kauft. Ergänzend dazu werden sich Unternehmen Services bestellen, die das Management oder die Verfügbarkeit abdecken. Letztlich kommt es nur darauf an, dass diese Ziele erreicht werden, und nicht wie. Es ist mir egal, ob eine Firewall oder irgendetwas anderes benötigt wird, um einen Rechner zu schützen, solange mir garantiert wird, dass er sicher ist.
CW: Halten Sie eine Integration tatsächlich für möglich?
SCHNEIER: Sie muss einfach kommen. Vielleicht müssen wir noch fünf oder zehn Jahre warten, aber es gibt keine andere Möglichkeit.
CW: Ihr Glaube an eine bevorstehende Integration von Sicherheitsverfahren in Lösungen ist ziemlich optimistisch.
SCHNEIER: Sie ist aber einfach unvermeidlich. Wir können uns nicht leisten, dass das nicht klappt. Sonst schlägt das Internet fehl.
CW: Was sind aus Ihrer Sicht die derzeit größten Sicherheitsprobleme?
SCHNEIER: Der Faktor Mensch und Software.
CW: Was können Unternehmen da tun?
SCHNEIER: Keine Ahnung. Menschen sind auch die größte Ursache von Kriminalität, aber Sie und ich leben trotzdem noch. Wir haben einen Weg gefunden, um mit Verbrechen klarzukommen. Der Unterschied ist nur, dass IT-Sicherheit ein noch relativ neues Feld bildet, aber wir werden uns darauf einstellen. Es gibt ja auch keine Technik, die Mord verhindert. Es geht vor allem um die Menschen.
CW: Die man schulen muss?
SCHNEIER: Ja, schulen, aber auch abschrecken. Außerdem brauchen wir - wie in der realen Welt - Nachforschungen und Bestrafung, also klare Konsequenzen.
CW: Passiert in dieser Hinsicht heute genug?
SCHNEIER: Nein, überhaupt nicht. Unternehmen müssen diese Dinge viel ernster nehmen, den Ursachen für Sicherheitsprobleme auf den Grund gehen und entsprechend reagieren.
CW: Das klingt alles so, als würden Sie Sicherheit nicht als technisches Problem sehen.
SCHNEIER: Richtig. Der menschliche Faktor ist viel wichtiger als die Technik.
CW: Können Sicherheitsrichtlinien helfen?
SCHNEIER: Sicher, es muss Verhaltensrichtlinien in irgendeiner Form geben. Es kommt aber darauf an, welche Vorgaben sie enthalten.
CW: Anwender scheinen sich damit etwas schwer zu tun.
SCHNEIER: Mehr als das, sie haben meist überhaupt keine Ahnung, was sie machen sollen und wie.
CW: Was halten Sie von Web-Services?
SCHNEIER: Finde ich gut.
CW: Was ist mit ihren Sicherheitsproblemen?
SCHNEIER: Was soll damit sein? Sind Supermärkte sicher? Nein, aber ich kann dort trotzdem Dinge kaufen. Es gibt viele Möglichkeiten, diese Läden abzusichern, aber nicht immer werden sie genutzt. Die Maßnahmen hängen davon ab, welcher Grad an Sicherheit benötigt wird. Genauso ist es mit Web-Services. Amazon ist absolut unsicher, aber das ist denen egal, weil sie Geld verdienen.
CW: Das sollte ihnen aber nicht egal sein.
SCHNEIER: Vielleicht nicht. Solange der Kunde seine Ware bekommt, kümmert ihn das Thema aber nicht. Das ist Ökonomie: Risiko und möglichen Nutzen gegeneinander abzuwägen. Würde Amazon Diamanten verkaufen, hätten sie eine höhere Sicherheit. Unternehmen müssen eine Entscheidung treffen und eine der jeweiligen Situation angemessene Lösung finden.