"Wir können ein besseres Internet aufbauen"

Der italienische Informatiker Matteo Maffei ist seit Kurzem der erste Professor für "Security and Privacy" an der Informatikfakultät der Technischen Universität Wien. Davor war er an der Saarland Universität in Deutschland tätig. Maffei ist ausgewiesener Experte in den Bereichen Kryptografie und Software-Sicherheit. In Wien möchte er dafür sorgen, dass das Thema digitale Sicherheit mehr Beachtung findet und auch die österreichische Forschung in dem Bereich international mehr Gewicht erhält.

Wie paranoid sein privates Nutzungsverhalten ist und welches seiner Meinung nach in den kommenden Jahren die schwierigsten Herausforderungen auf seinem Fachgebiet sein werden, erklärt Maffei im Interview mit der futurezone.

futurezone: Was hat den Ausschlag gegeben, die Berufung nach Wien anzunehmen?
Matteo Maffei:Die Berufung ist eine Ehre, der Studiengang Informatik der TU Wien ist einer der besten der Welt. Österreich hat einen dynamischen IT-Sektor, der sich gut entwickelt und die Finanzierungsmöglichkeiten in der Forschung sind relativ gut. Ich freue mich auf die Zusammenarbeit mit den Kollegen, auch bei anderen Forschungseinrichtungen. So können wir ein umfassendes Programm für den Bereich Sicherheit und Datenschutz entwickeln, das gut ausgebildete Leute hervorbringen wird. In der Forschung wollen wir ebenfalls mehr Kollaborationen ausbauen, vielleicht in einem großen Forschungszentrum. So können wir die Sichtbarkeit unserer Arbeit erhöhen und im globalen Wettbewerb bestehen.

Was sind ihre persönlichen Forschungsschwerpunkte?
Ich beschäftige mich mit der Sicherheit kryptografischer Protokolle, normaler Websites und mobiler Anwendungen. Das Ziel ist, dass es keine Lücken mehr gibt, die von Angreifern ausgenutzt werden können. Auch Sicherheit und Datenschutz in modernen Systemen - etwa Cloud-Computing oder Kryptowährungen - sind meine Spezialgebiete.

Warum gibt es in Wien erst jetzt eine Professur für diesen wichtigen Bereich?
Das müssten Sie meine Kollegen fragen. Allgemein ist es nicht einfach, Personal in diesem Bereich zu finden, weil Security-Experten derzeit sehr gefragt sind. In den vergangenen Jahren wurden viele Professuren für IT-Sicherheit weltweit ausgeschrieben. Ich habe selbst drei andere Angebote in Deutschland bekommen. Da alle versuchen dieselben Kandidaten zu gewinnen, bleiben verschiedene Stellen länger unbesetzt.

Und die Privatwirtschaft zahlt vermutlich besser?
Ja, sicher. Aber ein Professor hat auch andere Motivationen, zum Beispiel grundlegende Forschung und die Ausbildung Studierender.

Wie lange läuft ihr Vertrag?
Der ist unbefristet. Ich habe vor zu bleiben.

Wie viele Studenten werden Sie betreuen?
Im ersten Studienjahr gibt es an der TU Wien rund 600 Informatik-Studenten. Letztes Jahr haben ungefähr 300 die Vorlesung “Introduction to Security” besucht. Ein spezifisches Master-Programm für den Bereich Security gibt es derzeit nicht. Das wäre für die Zukunft aber eine gute Idee.

Was sind für Privatanwender derzeit die größten Risiken im Security-Bereich?
Sicherheit und Datenschutz haben heute einen starken Einfluss auf das Leben der Menschen. Durch Handy-Apps gelangen beispielsweise viele sensible Daten an Dritte. Meine Gruppe entwickelt Verifizierungssysteme, die den Datenschutz solcher Apps prüfen. Im Netz sind unsichere Web-Anwendungen, die durch Cross-Scripting und andere Methoden sensible Daten stehlen, ein Problem. Angreifer übernehmen auch gerne Nutzer-Accounts. Wie solche Angriffe verhindert werden können, ist ein anderes interessantes Forschungsthema meiner Gruppe.

Wo sehen Sie die größten Datenschutz-Missstände?
Webtracking ist mittlerweile ein großes Problem. Google und Co wissen alles über unser Leben. Hier stellen sich zwei Fragen: "Haben diese Firmen das Recht dazu?" und "Wie schützen wir sensible Daten vor solchen Spionagetechniken?”.

Wird sich die Situation durch die zunehmende Vernetzung verschlechtern?
Die Situation wird jeden Tag schlimmer. Das Internet der Dinge und Cloud-Dienste verlangen ganz neue Sicherheitskonzepte. Aber die Forscher sind sehr erfolgreich darin, solche Lösungen zu entwickeln. Ich denke, wir haben die Chance ein besseres und sichereres Internet aufzubauen. Dazu brauchen wir aber Forschung, Investitionen und die Unterstützung von Medien und Politik. Zuallererst müssen wir die Nutzer lehren, dass Datenschutz und Privacy wichtig sind.

Ist es dafür nicht schon zu spät?
Das Leben läuft weiter und wir sollten uns zumindest vor neuen Bedrohungen schützen. Mit dem Recht auf Vergessenwerden gibt es auch einen Ansatz, mit dem bereits in die Wildnis entkommene Daten wieder unter Kontrolle gebracht werden können. Das ist ein wichtiges Thema und es wäre gut, wenn wir dafür eine Lösung finden könnten. Die Politik ist inzwischen auch aufgewacht und unterstützt uns. Wir haben aber noch einiges zu tun, wenn wir Daten, die schon veröffentlicht sind, wieder schützen wollen.

Wird die zunehmende Komplexität unserer Netzwerke in Zukunft ein Sicherheitsproblem?
Die Komplexität ist schon sehr groß. Das ist ein Problem, das noch schlimmer werden wird. Nicht nur, was Sicherheit angeht, sondern auch für den Datentransfer. Einerseits ist es gut und bequem, überall auf meine Daten zugreifen zu können. Andererseits erhöht das die Chancen für Lecks enorm. Data-Sharing ist schön und die Leute lieben es, aber wir müssen das sicherer gestalten - etwa durch einfache Zugriffskontrollen.

Glauben Sie, dass der momentan grassierende Vernetzungswahn, der viele neue Sicherheitsprobleme schafft, weitergehen wird, oder werden wir bestimmte Dinge aus Sicherheitsgründen wieder von den Netzen nehmen müssen?
Alles wird immer vernetzter, sogar Kühlschränke. Das ist ein Trend, den wir nicht mehr umkehren können und der sogar noch wachsen wird. Die Zukunft ist die vernetzte Welt. Wir müssen eben so gut es geht auf Sicherheit und Privacy achten. Eine Trendumkehr halte ich für unwahrscheinlich, wenn ich mir die Entwicklung bei selbstfahrenden Autos und Heimautomatisierung ansehe. Autonome Systeme sind ein großer Forschungsbereich, an dem die Industrie großes Interesse hat. Allein die Firmen werden die Welt deshalb in diese Richtung lenken.

Wie sehen Sie den wachsenden Datenhunger der Behörden?
Es ist nicht einfach, einen Kompromiss zwischen Datenschutz und Sicherheit zu finden. Ich verstehe, dass es wichtig ist, Kriminelle zu identifizieren. Ich würde den Datenschutz aber nie kompromittieren, um vermeintlich sicherer zu sein. Dafür gibt es zwei Gründe. Zum einen habe ich ein Grundrecht auf den Schutz meiner persönlichen Daten. Zum anderen ist Kryptografie, die nicht korrekt konfiguriert ist oder mit staatlichen Hintertüren daherkommt, auch für andere mögliche Angreifer offen. Hintertüren sind immer Hintertüren für alle. Das führt dazu, dass Kommunikation für uns alle unsicher wird. Hier gibt es keine Kompromisse.

Machen Sie und ihre Kollegen Si­sy­phus­ar­beit?
Wir versuchen, die Situation zu verbessern, indem wir sichere und datenschutzfreundliche Anwendungen bauen, etwa in Form einer vertrauenswürdigen Dropbox-Alternative. Auch die Kryptoprotokolle, die wir entwickeln, sind hilfreich, genau wie unsere Software zur Verifizierung von mobilen und Web-Apps. Hundertprozentige Garantien können wir aber nie geben. Trotzdem ist jede gefundene Lücke und jeder Beweis, dass ein bestimmter Angriff nicht mehr möglich ist, ein Fortschritt. Aber selbst wenn wir die Apps sicher gestalten, können wir nicht wissen, ob Betriebssysteme oder Browser nicht doch noch Angriffe erlauben. Das Ziel wäre natürlich, alle Komponenten zu verifizieren. Aber dafür brauchen wir noch Zeit. Ich denke, wir arbeiten in die richtige Richtung und die Methoden werden immer besser.

Werden Hardware-Fortschritte aktuelle kryptografische Verfahren obsolet machen?
Es gibt schon Situationen, in denen Sicherheitsverfahren nicht so sicher sind. Wenn in Sidechannel-Attacken etwa der Strombedarf oder die CPU-Zyklen eines Rechners analysiert werden, um Daten auszulesen. Auch Quantencomputer könnten einige Verfahren obsolet machen. Aber die Crypto-Community arbeitet bereits an Post-Quantum-Kryptographie. Wir müssen hier im Prinzip neue Verfahren entwickeln. Wenn das nicht passiert, kommen wir in eine sehr unangenehme Situation, sobald Quantencomputer einer breiten Masse zur Verfügung stehen. Diese Entwicklung hat aber auch für einen großen Motivationsschub gesorgt.

Kleben Sie ihre Webcams ab?
Ich verwende noch kein Klebeband für meine Webcams. Aber was über solche Angriffe lese, erschreckt mich. Ich schließe das für die Zukunft also nicht aus.

Welche Security-Tipps haben Sie für besorgte Nutzer?
Die Grundlagen sind eigentlich einfach: Passwortmanager sind eine gute und praktikable Lösung. Antivirensoftware ist ebenfalls ratsam. Nutzer sollten ihre Systeme immer auf dem aktuellsten Stand halten. Diese Dinge sind leider noch nicht selbstverständlich. Es gibt immer wieder Lücken, die wegen solcher Nachlässigkeiten offen sind.