Beim Auto haben wir das ja ganz gut hinbekommen!

Manuel Koschuch hat Telematik studiert. Nach dem Studium hat er sich auf Kryptografie in eingebetteten Systemen spezialisiert. Heute forscht er im Kompetenzzentrum für IT-Security an der FH Campus Wien. Und findet, dass Security-Systeme so gebaut sein müssen, dass auch Nicht-Expert*innen sie verwenden können.

© FH Campus Wien/Schedl

 

Immer mehr Daten werden im Internet der Dinge miteinander vernetzt und global ausgetauscht. Wie sicher sind unsere Daten und wovor müssen wir sie schützen?

Die grundsätzliche Frage, die man sich immer stellen muss, ist: Sicher gegenüber wem? Wovor habe ich Angst? Was möchte ich verhindern? Wenn ich z. B. Angst davor habe, dass ein Staat mitliest, wo ich im Internet surfe, dann ist das mit der heutigen Technologie für Benutzer*innen nicht so ohne Weiteres zu verhindern. Wenn ein Staat es darauf anlegt, wird er mitlesen können. Auch der Internetprovider wird prinzipiell immer mitlesen können. Dass allerdings irgendwelche Kriminellen mitlesen können, ist dank der steigenden Verbreitung von HTTPS mittlerweile deutlich schwieriger geworden. 

Was sind die größten Gefahren in der IT-Security?

Das Auslesen von Daten und dass jemand von außen Systeme lahmlegt oder verschlüsselt und sie nur gegen Zahlung eines Lösegeldes wieder entschlüsselt. Zweiteres ist aus Sicht eines Angreifers übrigens sehr kommod: Solche Verschlüsselungs­trojaner gibt es bereits fertig zu kaufen, die muss man nur mehr z. B. über einen Mailanhang einschleusen, um einzelne Rechner oder ganze IT-Systeme lahmzulegen. Und in ein paar Jahren vielleicht Ihr Auto oder mein Türschloss.

In der Security-Community meinen viele, dass Sicherheitsrisiken immer etwas mit den Nutzer*innen zu tun haben und man deren Awareness steigern müsse!?

Sicher, aber wir Expert*innen müssen uns auch selbst an der Nase nehmen – es sind nicht immer nur die Endbenutzer*innen schuld. Wir müssen Security-Systeme bedienungsfreundlicher machen, mehr in Richtung „Usable Security“ denken und entwickeln. Ich kann nicht davon ausgehen, dass alle Expert*innen sind. Aber ich verlange, dass wir in der IT-Security die Komplexität so reduzieren, dass auch Nicht-Expert*innen sie verwenden können. Beim Auto haben wir das ja auch ganz gut hinbekommen: Nicht alle Autolenker*innen können einen Motor reparieren!

Wie soll das funktionieren?

Indem wir die Nutzer*innen stärker einbeziehen! Was man bei Benutzeroberflächen schon seit Jahren tut, steckt in der IT-Security noch in den Kinderschuhen. Langsam kommen wir drauf, dass am Ende Menschen unsere Systeme benutzen und dass wir sie möglichst früh ins Design eines Systems einbeziehen sollten. Dass wir Security bauen müssen, die für alle Nutzer*innengruppen verständlich und „usable“ ist. 

Usable Security ist auch im Kompetenzzentrum für IT-Security ein Thema? 

Ja, wir gehen aktuell verstärkt in diese Richtung. Im netidee-geförderten Projekt „Searchitect“ arbeiten die Kolleg*innen daran, ein Plug-in für Entwickler*innen zu schreiben, mit dem verschlüsselte Daten direkt in der Cloud durchsucht werden können, ohne dass sie vorher entschlüsselt werden müssen. Eine bisher einzigartige Lösung für Entwickler*innen ohne besondere kryptografische Kenntnisse, die sie ganz einfach in ihre Anwendungen einbauen können. Außerdem entwickeln wir einen Prototyp eines Identitätsproviders, der Daten nur verschlüsselt weitergeben kann. Das ist ja jetzt nicht der Fall – wenn Provider wie Facebook oder Google mir ermöglichen, mich mit meinem Account auch bei anderen Diensten anzumelden, dann wissen sie alles über mich und welche Dienste ich wann verwende. Im MA 23-geförderten Projekt ELVIS haben wir ein Embedded Lab aufgebaut, in dem sich unsere Studierenden mit sicherheitsrelevanten Fragestellungen beschäftigen. 

Und woran arbeiten Sie persönlich aktuell? 

Ich verbringe gerade viel Zeit mit dem TLS-Protokoll, einem Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Im August ist ein neuer Standard herausgekommen und den nehme ich derzeit unter die Lupe.