Cyberkrieg: "Die Gefahren sind da"

Ein Messebesucher geht auf der CeBIT in Hannover an einem Aufsteller mit der Aufschrift „IT-Security Made in Germany“ vorbei. Foto: dpa — Ein Messebesucher geht auf der CeBIT in Hannover an einem Aufsteller mit der Aufschrift "IT-Security Made in Germany" vorbei. Foto: dpa

Cloud Computing, Datenschutz und Cyberkrieg gehören zu den zentralen Themen der diesjährigen Computermesse CeBIT in Hannover. EURACTIV.de sprach mit Marcus Klische und Dirk Heitepriem von Research In Motion (RIM) über einen drohenden Kollaps der Mobilfunknetze, die Risiken der Cloud und wie sich Anbieter kritischer Infrastrukturen vor Angriffen aus dem Netz schützen müssen.

Zu den Personen

Dirk Heitepriem ist Manager Government Relations bei der Research In Motion Deutschland GmbH. Marcus Klische ist dort Security Advisor. RIM ist ein kanadischer Hersteller und Vermarkter mobiler Kommunikationssysteme. Zu den bekanntesten Produkten des Unternehmens gehören die BlackBerry-Smartphones.
_________________

EURACTIV.de: Mike Lazaridis, Präsident und Co-Vorstandsvorsitzender bei RIM, hatte 2010 angesichts des Erfolgs des mobilen Internets und immer leistungsfähigerer Handys vor Engpässen in den Mobilfunknetzen gewarnt. Droht ein Kollaps?

KLISCHE: Das hatte den Hintergrund, dass die Netze in den USA und in Großbritannien schon länger ein Problem hatten. Da sieht man mal wieder was für eine gute Qualität die deutschen Mobilfunkbetreiber wie E-Plus, O2, Telekom oder Vodafone anbieten. Hier ist es noch nicht so auffällig geworden.

In Europa droht kein Kollaps – noch nicht. Sicherlich wird auch der Ausbau des Mobilfunkstandards LTE (Long Term Evolution) zwangsläufig damit verbunden sein, dass es Engpässe im mobilen Sektor gibt. Die Zahl der Smartphones wird zunehmen. Wir haben den Vorteil, dass BlackBerrys im Schnitt ein Drittel von dem verbrauchen was ein anderes Smartphone verbraucht. Dadurch haben wir einen immensen Vorteil gegenüber anderen. Gleichzeitig sind wir nicht diejenigen, die das Netz belasten, sondern es ordnungsgemäß benutzen.

HEITEPRIEM: Von Rysavy Research wurde eine Studie durchgeführt. Demnach wird international frühestens 2014 der sogenannte "Capacity Crunch" da sein. Ab dann wird das Spektrum der zur Verfügung stehenden Bandbreite nicht ausreichen, um den Bedarf der Smartphones zu decken. Die Frage ist zum einen, wo man neue Frequenzen und Spektrum her bekommt und zum anderen, wie man mit den zu Verfügung stehenden effizient umgeht.

Deutschland eine Insel der Glückseligen?

EURACTIV.de: Wie bewerten Sie dann die Initiativen der Bundesregierung oder der EU?

HEITEPRIEM: Wir befinden uns sozusagen auf der Insel der Glückseligen. In Deutschland ist das noch sehr gut ausgebaut. Es ist aber wirklich wichtig danach zu suchen, was man noch zur Verfügung stellen kann. Gleichzeitig würden wir uns an dem Punkt noch wünschen, dass man auch auf die Endgeräte-Seite schaut und sich fragt, wie man hier effizienter umgehen kann. Wir kommen aus der Ecke und wir haben eine Antwort darauf.

EURACTIV.de: Wie lautet denn die Antwort von RIM?

KLISCHE: Erst mal benutzen wir eigene Algorithmen, welche die Datenkompression ausüben. Unsere Daten werden also nicht einfach im Klartext durch die Gegend geschickt. Wenn wir außerdem eine E-Mail rausschicken, bauen wir keine wirkliche E-Mail auf unseren Smartphones. Wir bauen eigentlich einen Befehl, so dass unsere Dienstleistungsbetrieb, unsere Infrastruktur diese E-Mail schickt. Diese hängt wiederum an den entsprechenden Festnetzen dran. Die Art, wie wir Daten behandeln ist so ausgelegt, dass wir nicht immer den gesamten Datenbestand ziehen müssen. Wenn ich ein Adobe-Anhang bekomme, der 5 MB groß ist, bekomme ich nur die Daten geschickt, die auf meinem Display zu sehen sind. Bei allen anderen muss ich erst den kompletten Datenbestand herunterladen, um dann die Software zu nutzen, um die Daten zu sehen. Wir managen das komplett anders. Ich kriege nur die Daten geschickt, die ich tatsächlich auf dem Monitor sehe. Das ist zum Beispiel für Roaming eklatant wichtig.

EURACTIV.de: Neelie Kroes, EU-Kommissarin für die Digitale Agenda, kritisiert die Praxis großer Marktakteure, Verbraucher an proprietäre Technologie zu binden. Sehen Sie sich da auch in der Kritik?

KLISCHE: Überhaupt nicht. Wir bieten einen Service an, der auf Standards basiert und auf der letzten Meile einen Vorteil bietet. Deswegen muss man nicht unbedingt auf der anderen Seite ein BlackBerry haben. Wir machen uns ja nicht zum Monopol. Wir bieten dem Kunden eine Losung an, die durch unsere Infrastruktur optimale Ergebnisse liefert und die nicht so einfach vom Wettbewerb kopierbar ist, da diese Infrastruktur sehr teuer ist. Ich kann immer noch E-Mails von jedem anderen auf der Welt empfangen. Es ist nicht so, dass wir eine proprietäre Insellösung bauen, mit der nur ich mit meinesgleichen kommunizieren kann. Wir sind offen und unterstützen alle offenen Standards, die es gibt. Dementsprechend haben wir bloß die Optimierung des Prozesses vorangetrieben.

Richtfunklösungen vs. Glasfaserausbau

EURACTIV.de: Sie haben LTE angesprochen. Was ist Ihrer Ansicht nach die sinnvolle Lösung bei der Diskussion um Richtfunklösungen versus Glasfaserausbau?

KLISCHE: Da wir mobile Kommunikation anbieten, sind wir natürlich für den Ausbau der mobilen Netze. Was sich letztendlich rechnet, muss der Carrier entscheiden. Das ist Sache der Netzbetreiber. Sie müssen entscheiden, welche physikalischen Grundtendenzen sie nehmen – ob Glasfaser, LTE oder ähnliches. Ich glaube, dass keiner wirklich abschätzen kann, was letztendlich kommen wird. Aber die mobilen Endgeräte werden kräftiger, sie werden von der Performance her mächtiger und sie sind alltagstauglich. Die mobile Kommunikation ist alltäglich.

"Privacy by Design"

EURACTIV.de: Datenschutz ist bei der diesjährigen Computermesse CeBIT in Hannover eines der Kernthemen. Wie bewerten Sie die europäischen Standards?

KLISCHE: Es gibt internationale Standards, die unsere Geräte erfüllen. Wir fördern diese, wir beeinflussen diese und wir haben sie in unseren Geräten komplett implementiert. Verbesserungsbedarf ist immer da.

HEITEPRIEM: Neelie Kroes und ihr Generaldirektor haben mit der Digitalen Agenda einen wirklich guten Prozess angestoßen. RIM kommt aus Kanada und wir sind dem "Privacy by Design"-Konzept der Informations- und Datenschutzbeauftragten von Ontario, Ann Cavoukian, eng verbunden. Für uns gilt dieses Prinzip und es ist uns wichtig, dass wir von vorneherein für den Kunden in die Geräte die Möglichkeit einbauen, seine Privatsphäre – so gut wie er es will – schützen zu können. Wir bieten die Möglichkeit, selbst zu entscheiden, ob der Anbieter des Kunden auf seine Kontakte zugreift. Wir schreiben niemandem etwas vor.

Wenn es Gesetze dazu gibt, werden wir sie natürlich einhalten. Uns ist es wichtig, dem Kunden die Möglichkeit zu geben, die Formen von Datenschutz und Privatsphäre zu bauen, die er möchte. Das muss so einfach und nachvollziehbar wie möglich laufen.

KLISCHE: Wir haben gegenüber vielen anderen auf dem Markt den Vorteil, dass wir sehr großen Erfolg in der Sicherheit haben. Datensicherheit spielte bei uns von Anfang an eine entscheidende Rolle. Deswegen sind wir auch so erfolgreich im Bereich der Unternehmenskommunikation und bei den ganzen Firmen. Die Sicherheitstechnologien, die ich zur Datensicherheit der Firmenkommunikation anwende, kann ich gleichzeitig benutzen, um Daten vor Missbrauch zu schützen. Wenn ich sage, ich möchte eine App nicht starten lassen, wenn sie auf Daten zugreift, die ich nicht beherrschen kann, dann dient das einerseits dem Schutz von Firmendaten. Für den Privatanwender ist es andererseits der Schutz der Privatsphäre. Dementsprechend korrelieren die gleichen Technologien auf unterschiedlichen Ebenen. Auf der einen Seite die Datensicherheit, auf der anderen der Datenschutz. Beides wird von unseren Geräten von Anfang an mit implementiert.

Das Business-Modell von Lazaridis

EURACTIV.de: Warum arbeiten andere nicht mit solch einem Modell?

KLISCHE: Als der erste BlackBerry-Dienst geschaltet wurde, hatte man Netze von 9.600 oder 19.200 Baud. Da war Datenübertragung noch in der Steinzeit. Der Dienst, den wir angeboten haben, war nichts weiter als eine Text-Message von irgendwo auf einem mobilen Endgerät sichtbar darzustellen. Das gab es sonst nicht. Zu diesem Zeitpunkt gab es noch keine Smartphones, keine kleinen Laptops, Funkmodems oder Wifi. Da wurden die Standard-Telefonnetze genommen und versucht, irgendwie Daten zu übertragen. Das hat damals einer Infrastruktur bedurft. Diese wurde sukzessive aufgebaut. Mike Lazaridis hat das früh erkannt und daraus ein Business-Modell gemacht.

Wenn man das heute ad-hoc aufbauen würde, müsste man immense Gelder zahlen. Wir haben das von Anfang an und von klein auf aufgebaut. Wir sehen auch keinen, der das in nächster Zeit in irgendeiner Form ähnlich klassifiziert machen kann.

Die Problematik der Rechtssicherheit in der Cloud

EURACTIV.de: Ein weiteres zentrales Thema bei der CeBIT ist Cloud Computing. Was sind die Risiken?

KLISCHE: Cloud ist derzeit eines der mächtigen Wörter. Seit etwa einem Jahr wird Cloud immer mehr. Das heißt: verteilte Dienstleistungen zentral zugänglich machen. Ich weiß nicht mehr, wo was liegt, aber ich habe auf jeden Fall Zugriff. Das ist das Urprinzip von der Cloud.

Für unsere Infrastruktur besteht hier kein Problem. Wir stellen einen Service zur Verfügung, der Infrastruktur bietet, aber wir speichern keine Daten. Wir routen sie bloß. Das heißt, wir machen was die Internet-Cloud macht, bloß fokussiert auf hohe performante Datenübertragung in Mobilfunknetzen.

Die Problematik der Rechtssicherheit ist eine, die überall diskutiert wird. Sie ist extrem schwierig zu diskutieren: Wer ist Urheber? Wo ist die Lokation? Gibt der Cloud-Anbieter die Lokation preis? Da gibt es viele Unternehmen, die Riesen-Services anbieten, die verteilte Rechner-Systeme auf dem gesamten Globus haben und selber noch nicht einmal die Lokation feststellen können. Das Servicemanagement dieser Dienste arbeitet komplett verteilt und autark. Es ist vergleichbar mit einem Parkhaus bei dem Sie das Auto abstellen und es automatisch irgendwo geparkt wird. Da muss eine Rechtssicherheit gefunden werden. Das ist aber ein langwieriger Prozess und es ist definitiv kein technischer Prozess, sondern ein juristischer und wir müssen uns da entsprechend einbringen. Wobei dazu betont werden muss, dass wir kein Cloud-Service in der Form sind. Wir sind ein Routing-Service.

EU-Regierungscloud?

EURACTIV.de: Von der EU-Agentur für Sicherheit ENISA gibt es eine Studie mit der Empfehlung einer EU-Regierungscloud. Ist das sinnvoll?

KLISCHE: Im Bundesverband Informationswirtschaft Bitkom wird eine solche Tendenz angegangen. Es gibt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Dokument, das entsprechend kommuniziert und zum Kommentar freigegeben wird. Es soll eine Ideensammlung zu den Themen geben: Was machen wir mit einer Cloud? Was können wir den Kunden anbieten? Was wird erwartet?

Ich habe mir dieses Dokument sehr ausführlich durchgelesen und festgestellt, dass es mich nicht betrifft. Es geht immer um die Frage, wo die Dienste lokalisiert sind, was sie speichern und wem sie was, wann und wo zur Verfügung stellen. Da müsste man das ganze Internet entsprechend juristisch einfangen. Das wurde nicht gemacht, denn die Cloud kam nicht mit dem Internet, sondern mit dem verteilten Speichern und Anbieten von Diensten, die einer Speicherung bedürfen. Da das nicht Teil unserer Services ist, haben wir damit keine Berührung. Aber wir beobachten natürlich und geben entsprechend Input.

"RIM knickt nicht ein, sondern passt sich an"

EURACTIV.de: Im Januar 2011 hatte sich RIM dazu bereiterklärt, den Internetverkehr der indonesischen BlackBerry-Nutzer zu filtern. Man gab dem Druck der lokalen Regierung nach und lässt fortan keinen Zugriff auf Websites mit pornografischen Inhalten zu. Ist RIM eingeknickt?

KLISCHE: Nein. RIM kann da gar nicht einknicken, weil wir – wie jede andere Anbieter von Internet-Dienstleistungen – natürlich die lokalen Gesetze befolgen müssen. Die gibt es in jedem Land. Mal mehr restriktiv, mal weniger. Mal mit Umsetzungsvorschriften, mal mit Realitätsvorschriften. RIM muss sich da anpassen, weil wir in den entsprechenden Ländern einen Dienst anbieten wollen. Dementsprechend bieten wir unsere Leistungen an. Damit knicken wir nicht ein. Wir bewegen uns wie die gesamte Industrie – vom Internet-Serviceprovider über die Mitbewerber im Smartphone-Markt bis hin zu jeglicher Form von Kommunikationsdienstleistern – alle auf der gleichen Ebene. Alle haben die gleichen Gesetze zu befolgen.

HEITEPRIEM: Diese gibt es auch in Europa. Die sehen vielleicht anders aus. Wir haben die Diskussion um die Internetsperren auch in Deutschland. Wir sagen sehr klar: Wir unterliegen in jedem der 175 Länder, in denen wir aktiv sind, der lokalen Gesetzgebung. Wir sind nicht in der Position, etwas dagegen zu sagen und das wollen wir auch nicht.

Sperren oder Löschen?

EURACTIV.de: Bei der Europäischen Polizeikonferenz in Berlin war das Thema Internetsperren auch auf der Agenda. Kann sich RIM in der Frage "Sperren oder Löschen" positionieren?

KLISCHE: Wir können sicherlich sagen, dass wir das Löschen eher als effizient betrachten. Wir haben daran ein Interesse, dass Urheber und Dienstanbieter von illegalen Inhalten zur Rechenschaft gezogen werden. Beispielsweise beim Thema Kinderpornographie: Das ist nicht ein indonesisches oder deutsches Problem. Das ist ein weltweites Problem. Es ist doch wichtiger, solche Inhalte zu löschen, damit sie einfach nicht existent sind, als sie nur zu sperren. Das Management der Sperren führt dazu, dass man immensen Aufwand betreiben muss, damit diese aktuell bleiben. Es ist ein Klick von ein paar Sekunden, um einen Server auf eine andere Adresse zu jagen, um dem einen anderen Namen im Netz zu geben. Damit habe ich das Problem jedoch nicht beseitigt. Das habe ich erst, wenn ich den Server beseitigen kann.

"Wir speichern keine Daten, wir routen nur durch"

EURACTIV.de: In mehreren EU-Staaten wird die Verhältnismäßigkeit der Vorratsdatenspeicherung zurzeit vor Gericht angefochten. Hat RIM eine Position zum Quick-Freeze Verfahren von Bundesjustizministerin Sabine Leutheusser-Schnarrenberger?

KLISCHE: Das ist auch Sache der Carrier, weil wir eigentlich einen Datenkommunikations-Channel anbieten, der jeden normalen Kommunikationsdienstleister berührt. Wir haben keine eigenen Antennen im Land und keine eigenen Datenleitungen. Wir laufen genau auf diesem für jeden verschiedenen Dienst zur Verfügung stehenden Datenkanal. Diejenigen, die diesen Datenkanal und diese Knotenpunkte betreuen, müssen so was speichern. Für die ist das Thema relevant.

HEITEPRIEM: Das entscheidende für uns ist: Wir speichern keine Daten, wir routen nur durch. Der Carrier ist derjenige, der die Verbindungsdaten speichern kann. Da es kein Thema ist, wo wir involviert sind, werden wir uns dazu auch nicht äußern.

Inflationärer Gebrauch des Begriffs Cyberkrieg?

EURACTIV.de: Das Thema Cyberkrieg steht nicht erst seit der Münchner Sicherheitskonferenz vielerorts auf der Agenda. Wird der Begriff zu inflationär gebraucht?

KLISCHE: Ich glaube nicht. Die Gefahren sind da. Ich will nicht sagen, dass die physikalischen Angriffe geringer werden, aber die logischen Angriffe stellen ein "added value" für den Angreifer dar. Ich kann jetzt versuchen, aus der Ferne irgendein Ziel zu erreichen – Beispiel Stuxnet oder ähnliches – und dort über die digitale Vernetzung meinen Angriff zu fahren. Natürlich müssen sich Regierungen in jedem Land und Anbieter von kritischen Infrastrukturen – dazu gehört auch unsere – davor schützen.

Das heißt: Es muss eng zusammengearbeitet und kooperiert werden. Das BSI, die Sicherheitskonferenz und der Innenminister tun gut daran, dieses Thema öffentlich zu machen. Wir müssen die Netzwerke der Behörden sichern. Ich bin fest davon überzeugt, dass das BSI dort eine sehr gute Arbeit leistet, um die Netze der Bundesrepublik Deutschland und allen angehängten Behörden und Botschaften so abzusichern, dass diese Angriffe nicht zum Erfolg führen.

Der Vorteil für uns dabei liegt darin, dass wir durch unser integriertes Sicherheitskonzept Lösungen anbieten können, die sich kooperativ in diesem Sicherheitsszenario einbetten – durch die spezielle Sicherheitskommunikation, die zwischen dem BlackBerry und dem entsprechenden Firmenserver oder dem Behördenserver zur Verfügung stehen könnte. Das alles passt integrativ zusammen. Das ist der große Vorteil: Wir müssen nicht aus einem Netz raus, um das Endgerät neu zu sichern. Wir sind Teil des bestehenden Intranets das von außen her abgesichert wird.

EURACTIV.de: Cyberkrieg scheint jedoch noch ein recht schwammiger Begriff zu sein – zumindest für den Laien…

KLISCHE: Genau – für den Laien. Für die Profis in allen Abteilungen, Firmen und Behörden, die CIOs (Chief Information Officer) und die Sicherheitsbeauftragten ist es ein Thema, das sie extrem ernst nehmen. Sie machen das nur nicht in der Öffentlichkeit. Sie müssen schließlich auch ihr Vorgehen schützen. Wir haben mit dem BSI in Deutschland eine der kompetentesten Behörden in diesem Bereich. Auch die EU hat dies sicherlich mit der ENISA.

Bewertung der Digitalen Agenda

EURACTIV.de: Wie bewerten sie die Arbeit von EU-Kommissarin Neelie Kroes und die Digitale Agenda als Ganzes?

HEITEPRIEM: Die Digitale Agenda ist ein unglaublicher Schritt vorwärts. Was Neelie Kroes und Generaldirektor Robert Madelin geleistet haben ist Wahnsinn: Sie haben das jetzt als Prozess aufgesetzt und sagen: "Wir arbeiten mit allen, die an diesem Thema beteiligt sind zusammen und gucken, wie wir eine digitale Zukunft aufbauen können. Man sieht das nicht partikular, sondern als großes Ganzes und kommissionsübergreifend. Von der Arbeit der Kommission sind wir schwer begeistert und nehmen daran aktiv teil. Ich weiß nicht, ob es irgendwo auf der Welt einen vergleichbaren Prozess gibt.

EURACTIV.de: In welchen Feldern bewegt sich die Zusammenarbeit?

HEITEPRIEM: Es gibt einen sehr aktiven Austausch zwischen RIM und der Kommission zu der Frage, wie die Zukunft der digitalen Kommunikation aussieht und worauf man wert legen muss. Es gibt viele einzelne Diskussionspunkte, die hier schon angesprochen wurden. Die Kommission hat eine Arbeitsweise entwickelt, die sehr auf Austausch angelegt ist. Man hat nicht festgelegt, dass es eine Regulation gibt, mit der man einfach leben muss. Man will sich gemeinsam die best cases anschauen und herausfinden, wie man in Europa innovativer werden kann. Die Frage, die wir dort oft gehört haben ist: Warum kommen große Entwicklungen eigentlich immer aus Nordamerika und nicht aus Europa? Darauf gibt es keine einfache Antwort. Wir glauben nicht, dass das schwarz-weiß zu sehen ist. Immerhin haben wir uns 2008 entschieden, in Bochum unser erstes Forschungs- und Entwicklungszentrum außerhalb Nordamerikas aufzumachen. Gerade weil wir in Deutschland und Europa vertrauen.

Warum kommen große Entwicklungen eher aus den USA?

EURACTIV.de: Was gibt es für Gründe dafür, dass große Entwicklungen eher aus Nordamerika kommen?

HEITEPRIEM: Das kann man nicht allgemein sagen. Es gibt unglaublich viele Entwicklungen, die aus Nordamerika kommen – wir sind ein gutes Beispiel. Es ist aber nicht nur eine Frage der Innovationen. Europa bietet viele gute Leute, wir haben ein großes Potenzial an Top-Mitarbeitern in Bochum.

Gerade im IT-Bereich ist viel aus Nordamerika gekommen. Ich gebe da immer ein Beispiel: Stellen Sie sich 1984 vor. Unser Gründer Mike Lazaridis ist als 24-jährger Student angekommen und hat gesagt, er will Textnachrichten mobil machen. Er hat sein Studium noch nicht abgeschlossen und wollte aus einer Idee eine Firma machen. Das ist eine Sache, die in Kanada hervorragend funktioniert hat.

Die EU hat verstanden, dass Innovation keine lokale Geschichte mehr ist. Innovation läuft global und regional ab. Man muss sehen, welche Fähigkeiten man in Europa hat, die man bündeln kann.

Interview: Daniel Tost