«Es ist immer ein Kompromiss»

Die Digitalisierung erleichtert in vielen Bereichen unseren Alltag. Gleichzeitig entstehen dadurch auch neue Risiken. Srdjan Capkun, Professor für Informationssicherheit, erl?utert, wie man die richtige Balance zwischen Nutzen und Sicherheit findet.

Professor Capkun
Srdjan Capkun, Professor für Informationssicherheit, ist stolz, dass so viele Studierende eine eigene Firma gründen. (Bild: ETH Zürich)

Herr Capkun, Sie sagten kürzlich in einem Interview: ?Ein bisschen Paranoia schadet bei der IT-Sicherheit nicht.? Wie paranoid sollte man idealerweise sein?
Bei der IT-Sicherheit ist es tats?chlich gut, etwas paranoid zu sein und die Technik immer wieder zu hinterfragen. Aber dann stellt sich sofort die Frage: Was macht man damit? Vollst?ndige Sicherheit gibt es nur, wenn man auf viele Vorteile verzichtet. Es geht also um die richtige Balance zwischen Funktionalit?t und Sicherheit.

Das Hinterfragen setzt aber voraus, dass man eine gewisse Ahnung von IT-Systemen hat.
Das ist die Basis, ja. Das gilt auch für die Angreifer: Wenn man ein Auto, eine Drohne oder ein Kernkraftwerk manipulieren will, muss man genau verstehen, wie die Systeme funktionieren. Die Frage ist: Was wollen die Angreifer? Geht es ihnen um ein bestimmtes Ziel oder wollen sie nur Chaos anrichten?

Als Sicherheitsexperte müssen Sie also die Interessen der Angreifer stets mitbedenken?
Ja, man muss vorausschauen. Die M?glichkeiten des Verteidigers sind stets limitiert. Nehmen Sie ein Mobiltelefon: Wie k?nnen Sie dieses sicher machen? Die Chips in diesem Ger?t, das Betriebssystem, die Apps – all dies wurde von verschiedenen Firmen hergestellt, die Sie nicht kontrollieren k?nnen. Es ist sehr schwierig, das Ger?t wirklich sicher zu machen, ohne das Betriebssystem oder die Hardware zu ?ndern.

Hat sich die Art, wie Systeme angegriffen werden, in den letzten Jahren ver?ndert?
Eine neue Entwicklung ist die sogenannte Ransomware. Mit ihr kann man Daten verschlüsseln und die Opfer anschliessend erpressen. Solche Attacken gibt es schon l?nger. Neu ist, dass Erpresser mit virtuellen W?hrungen wie Bitcoin die M?glichkeit haben, unerkannt zu bleiben, wenn sie sich das L?segeld anonym überweisen lassen. Ohne dies würden solche Erpressungen nicht funktionieren.

Welche Ger?te sind besonders leicht zu knacken?
Das Spektrum an Ger?ten, die angegriffen werden, ist gross, weil viele Ger?te schlecht geschützt sind. Das h?ngt oft mit dem Preis zusammen. Wer eine günstige Wifi-Kamera produzieren will, kann nicht viel Geld in die Sicherheit investieren. So entstehen Schlupfl?cher.

Sie selbst forschen unter anderem am Schutz von medizinischen Ger?ten. Wie gut sind unsere Spit?ler vor Angriffen geschützt?
Die Situation ist komplex. Bei einem Herzschrittmacher zum Beispiel l?sst sich die Steuerungssoftware nur beschr?nkt verschlüsseln. So stellt sich die Frage: Wer hat den Schlüssel zu dieser Software? Der Arzt? Was ist, wenn er in den Ferien ist? Und wie gut geschützt sind die Ger?te, mit denen man den Herzschrittmacher programmiert? Solche Fragen untersuchen wir momentan in unserer Forschung.

Vor wenigen Monaten wurden – vor allem in England – etliche Spit?ler von Hackern angegriffen. Was war da das Problem?
In vielen Spit?lern gibt medizinische Ger?te mit veralteten Betriebssystemen, teilweise sogar mit Windows 98, obwohl das schon seit Jahren nicht mehr unterstützt wird. Wenn man die Software aktualisieren will, k?nnte es sein, dass die Ger?te nicht mehr richtig funktionieren, weil zum Beispiel Hard- und Software nicht mehr kompatibel sind. Es braucht also eine aufw?ndige Softwareentwicklung, und die Ger?te müssen neu zertifiziert werden. Beides kostet Zeit und Geld. Und die Ger?te einfach durch neue zu ersetzen, ist oft keine L?sung.

Man muss also einen Kompromiss finden?
Die Komplexit?t zeigt sich, wenn man eine Risikoeinsch?tzung durchführt. Wie heikel ist es beispielsweise, wenn ein CT-Scan in falsche H?nde ger?t? Das h?ngt – unter anderem – auch davon ab, wie das Gesundheitswesen reguliert ist. Nochmals: Ein Spital vor Hackerangriffen zu schützen, ist zwar eine technische Aufgabe, aber eben nicht nur.

Ein anderes Thema, das die ?ffentlichkeit gegenw?rtig stark interessiert, ist die Frage, ob Cyber-Attacken unsere Demokratie unterwandern. Wie sch?tzen Sie die Situation ein?
Problematisch ist nicht nur, dass Wahlen manipuliert werden k?nnten, sondern auch, dass die Menschen das Vertrauen in die demokratischen Prozesse verlieren k?nnten. Die Post entwickelt gegenw?rtig ein E-Voting-System für die Schweiz. Man kann zwar zeigen, dass dieses System kryptografisch sicher ist. Aber was kann jemand, der mit Kryptografie nicht vertraut ist, mit dieser Information anfangen? Wie überzeugt man die Menschen, dass bei einer Abstimmung oder Wahl alles mit rechten Dingen zuging? Das ist ein spannendes Thema, über das ich im Moment viel nachdenke.

Vor kurzem fand an der ETH der Cyber Risk Summit statt, der vom Zurich Information Security and Privacy Center (ZISC) organisiert wurde. Was ist Ihr Fazit?
Ich bin erfreut, dass wir auf eine so grosse Resonanz stiessen. Der Anlass best?tigte auch, dass wir in diesem Bereich an der ETH nicht nur in der Forschung stark sind, sondern dass auch unsere Lehre eine grosse Wirkung hat. Viele unserer Studierenden ihre eigene Firma gründen. Darauf sollten wir stolz sein, denn es zeigt, dass die ETH vieles richtig macht.

Wie wird sich das ZISC in den n?chsten Jahren entwickeln?
Wir wollen das Zentrum ausbauen. Kürzlich konnten wir weitere Partner gewinnen, beispielsweise die Post, die Zürcher Kantonalbank oder die Versicherungsgesellschaft Zurich. Bemerkenswert ist, dass wir auch mit Firmen, die in einem traditionellen Gesch?ftsbereich t?tig sind, spannende Projekte realisieren k?nnen. Denn auch diese Firmen erleben durch die Digitalisierung einen rasanten Wandel – mit entsprechenden neuen Herausforderungen im Bereich Informationssicherheit.

Die Forschung am ZISC orientiert sich also stark an konkreten Problemen?
Nicht nur. Wir machen auch Grundlagenforschung, indem wir aus Neugier Sachen ausprobieren, ohne im Vornherein zu wissen, ob das funktionieren wird. Dieser Teil ist sehr wichtig für uns.

Zur Person

Srdjan Capkun ist Professor für Informationssicherheit und Direktor des Zurich Information Security Center (ZISC) an der ETH Zürich. In seiner Forschung befasst er sich schwergewichtig mit dem Entwurf und der Analyse von Sicherheitsprotokollen für Funk- und Festnetze.

Schwerpunktthema Daten

Daten spielen in unserer Gesellschaft eine immer wichtigere Rolle. Die ETH Zürich wird sich deshalb in den kommenden Jahren vertieft mit diesem Themenschwerpunkt befassen. ETH News zeigt in einer Serie von Interviews exemplarisch auf, mit welchen Themen sich Forschende der ETH Zürich konkret befassen und wie sie die gesellschaftliche Entwicklung in ihrem Bereich einsch?tzen.

Bisherige Beitr?ge in dieser Serie:
- Lino Guzzella: ?Diese Chance müssen wir packen? (ETH-News 20.06.2017)

?hnliche Themen

Datenwissenschaft

JavaScript wurde auf Ihrem Browser deaktiviert