CW: Welche Sicherheitsthemen sind aus Ihrer Sicht für Unternehmen am wichtigsten?
DIFFIE: Das größte Problem derzeit ist die Unmenge an unsicherer Software. Das ständige Patchen frisst den Sicherheitsexperten in den Unternehmen die Zeit.
CW: Sehen Sie ein Mittel gegen dieses Übel?
DIFFIE: Die Mehrheit der Anwender müsste zu Betriebssystemen wechseln, die nicht so leicht angreifbar sind wie Windows. Oder sie müssten wenigstens konsequenter sein, was das Aufspielen von Patches betrifft. Dann hätten viele der momentan kursierenden Würmer viel weniger Erfolg.
Ein eher langfristiges Problem stellt für mich das Thema Konfigurationskontrolle dar. Hier brauchen wir noch viele Verbesserungen, damit wir den Überblick behalten, welche Funktionen auf den verschiedenen Systemen aktiv sind, die Würmer oder Viren ausnutzen könnten.
Wir sollten aber auch die Chancen sehen: Indem wir die richtigen Sicherheitsmaßnahmen installieren, ermöglichen wir eine viel dynamischere IT-Umgebung. Diese erlaubt es Rechnern in einem viel stärkeren Maße als heute, ohne das Zutun des Anwenders selbständig nach einer Abhilfe für Probleme zu suchen. Natürlich müssen wir dazu auch die ökonomischen Modelle verbessern, weil sich das vor allem im B-to-B-Umfeld abspielen wird.
CW: Mit Hilfe von Web-Services?
DIFFIE: Genau darum geht es. Wir werden viele Bereiche sehen, wo wir uns nicht mehr um längerfristige Verträge für bestimmte Aufgaben kümmern müssen, sondern die Anwendungen das dynamisch von sich aus tun. Die Sicherheit stellt hierbei aber ein Schlüsselelement dar.
CW: Sicherheitstechniken gibt es ja genug. Liegt nicht die viel größere Herausforderung darin, das Zusammenspiel der unterschiedlichen technischen Ansätze endlich in den Griff zu bekommen?
DIFFIE: Unglücklicherweise leiden technische Visionen wie Web-Services darunter, dass es verschiedene Standards gibt und Konkurrenten versuchen, sich einen Markt unter den Nagel zu reißen. Stattdessen sollten sie sich stärker um die Interoperabilität ihrer Lösungen bemühen. Daher ist auch der Bereich Web-Services zurzeit noch sehr fragmentiert und von Wettbewerb geprägt.
CW: Kein befriedigender Zustand.
DIFFIE: Nein, aber der Markt wird für Klärung sorgen. Die einen oder anderen bleiben dabei auf der Strecke. Das ist aber auch ein großer Vorteil der IT im Internet-Zeitalter: Wir können uns aus einer Menge von technischen Lösungen die für unsere Verhältnisse am besten geeigneten aussuchen. In der KFZ-Industrie gibt es das nicht. Es wäre doch schön, wenn wir für unser Auto genau den Motor auswählen könnten, der uns am besten gefällt.
CW: Bleiben wir bei diesem Bild: Wenn sich ein Kunde ein Auto kauft, bekommt er die Sicherheit in Form von Bremsen, Gurten oder Airbags mitgeliefert. Um IT-Sicherheit muss sich aber jeder selbst kümmern - wann wird sich das ändern?
DIFFIE: (Lacht) Sie reden schon wie mein Chef, Scott McNealy, nur bezieht er es auf Computer insgesamt. Ich halte das für etwas illusorisch. Im Unternehmensumfeld haben wir es mit einer ganz anderen Dynamik zu tun, hier spielt die Kaufkraft eine wichtige Rolle. Das bedeutet auch eine Chance für Anwender. Dell hat das erkannt und baut deshalb individuelle Rechner für seine Kunden.
Ich glaube aber, dass Heimanwender ein Bedürfnis haben, einfach nur den Rechner anzuschalten und sich nicht um Sicherheit kümmern zu müssen. Das auf Unternehmensebene zu erwarten, halte ich für etwas verfrüht.
CW: Viele IT-Abteilungen scheinen aber mit den ständig neuen Herausforderungen im Bereich Sicherheit überfordert zu sein. Für sie wäre "Sicherheit als Voreinstellung", wie Microsoft es jetzt seit zwei Jahren wiederholt, sicher wünschenswert. Ich sollte mich als Unternehmen nicht mit der Frage befassen müssen, ob ich eine Firewall brauche oder welches Antiviren-Tool besser ist.
DIFFIE: Dem kann ich natürlich nicht widersprechen. Aber das trifft nur auf die Dinge zu, über die es sich nicht nachzudenken lohnt. Dazu gehören Firewalls beispielsweise nicht. Unternehmen und besonders die IT-Abteilungen müssen eine Menge Entscheidungen treffen, beispielsweise um Spam auszufiltern. Das führt dazu, dass viele legitime Mails nicht zugestellt werden. Spezialeinstellungen, um solche Fehler zu verhindern, kann kein Hersteller vorkonfigurieren, das muss der Anwender selbst leisten.
Ähnliches gilt für Entscheidungen, die Zugriffsrechte auf Ressourcen regeln. Hier müssen zum Teil sehr differenzierte Einstellungen vorgenommen werden, die davon abhängen, wer im Unternehmen arbeitet, wo sich eine Niederlassung befindet oder mit welchen Partnern ein Unternehmen kooperiert. Ich sehe nicht, wie ein Anbieter einem Anwender diese Arbeit abnehmen könnte. Was man vom Hersteller jedoch erwarten kann und soll, sind Tools, die einerseits dafür sorgen, dass diese Entscheidungen richtig getroffen werden, und anderseits dabei helfen, Fehler zu vermeiden. Das ist leider oft nicht der Fall.
CW: Können Sie ein Beispiel nennen?
DIFFIE: Schauen Sie sich C und Java an: C fordert Probleme mit Pufferüberläufen geradezu heraus, während Java das nicht tut.
CW: Würde es helfen, die Komplexität von Software zu reduzieren?
DIFFIE: Nur zu sagen, dass alles einfacher werden muss, bringt uns nicht weiter. Ich finde, wir sollten uns zunächst einmal auf die Programmiermethoden konzentrieren. Es geht dabei unter anderem um saubere Prozesse während der Programmierung. Dieser Aspekt ist gerade im Hinblick auf Sicherheit extrem wichtig. Es hat sich in den letzten Jahren zwar schon einiges gebessert, aber das reicht noch längst nicht aus.
Nehmen wir Unix als Beispiel: Seit wir von Sun OS auf Solaris wechselten, gab es keine größere Revision. Das war 1992. Wir könnten heute hergehen und das System komplett umschreiben, um sein Konzept zu vereinfachen, aber da es sich im kommerziellen Einsatz befindet, ist das keine praktikable Alternative.
CW: Glauben Sie, dass Microsoft im Hinblick auf Programmiermethoden genug tut?
DIFFIE: Nun, zumindest geben sie sich Mühe, und sie reden viel darüber, es zu tun. Ich kann es nicht beurteilen.