Warum das IoT tötet und wir für Google zahlen sollten

Der Slogan Ihres neuen Buches "Click Here to Kill Everybody" lautet: "Eine Welt von intelligenten Geräten bedeutet, dass das Internet Menschen töten kann." Ist das nicht etwas übertrieben?

Bruce Schneier: Ganz und gar nicht. Maschinen können Menschen töten, zum Beispiel Autos oder medizinische Geräte. Das sind wir gewohnt. Gegenfrage: Wie kommen Sie darauf, dass ich übertreibe?

Das klingt, als seien Computertechnik und das Internet böse Dinge, die sich von selbst gegen den Menschen verschwören. Technik kann doch nicht böse sein, nur missbraucht werden.

Auf jeden Fall, aber diese Gefahr des Missbrauchs des Internets der Dinge ist absolut real. Vielleicht noch nicht heute, aber bald. Computer sind verwundbar, also wird auch jedes selbstfahrende Auto, jeder Spitalroboter verwundbar sein. Natürlich sind Maschinen nicht von selbst böse. Es braucht den Menschen, der absichtlich klickt, dann kann Technik töten. Deshalb habe ich diesen Slogan gewählt.

In der IT dreht sich momentan alles um Blockchain. Was halten Sie von dieser Technologie?

Das Bitcoin-Whitepaper von Satoshi Nakamoto war damals 2008 nur irgendein Konzept von irgendeinem Krypto-Anarchist. Seine Ideen waren interessant formuliert, aber nicht wirklich neu. Es war eigentlich nichts von Bedeutung darin, das nicht zuvor schon bekannt war. Blockchain war nur eine Evolution, kein radikal neues Ding. In der Kryptografie-Community hat die Technologie nicht für Furore gesorgt. Ich und viele andere haben ihr deshalb auch kein besondere Beachtung geschenkt.

Was haben Sie gedacht, als plötzlich jeder davon sprach?

Ich fand es seltsam. Man muss Bitcoin in seiner Geschichte sehen. Die Kryptowährung entstand in der Finanzkrise von 2008. Sie ist ein Produkt des Misstrauens gegenüber den Banken. Bitcoin sagt damit viel über den Zustand unserer Gesellschaft nach dieser Krise aus.

Könnte es sein, dass wir in 20 Jahren mit einer Währung auf Blockchain-Basis bezahlen?

Nein, ganz gewiss nicht. Wir haben heute bereits viele Formen von digitalem Geld – Kreditkarten, Paypal und so weiter. Die funktionieren alle gut. Keiner reisst sich um Kryptowährungen. Das Problem in der Finanzwelt ist heute ausserdem nicht die IT-Sicherheit, sondern die finanzielle Sicherheit. Solange niemand Geld verliert, wenn seine Bank gehackt wird, wird das auch so bleiben.

Was können wir mit der Blockchain-Technologie heute machen, das zuvor nicht möglich war?

Ich sehe bis jetzt keinen Einsatzzweck für die Blockchain. Die Frage ist natürlich wichtig. Bitcoin ist auf eine gewisse Weise einzigartig, weil er einen Wert in der digitalen Welt abbildet. Aber die Probleme des Bitcoin sind viel grösser als sein Nutzen. Davon abgesehen ist mir aber kein einziger Use Case für die Blockchain begegnet. Jedes Unternehmen, das heute auf die Blockchain setzt, könnte eigentlich auf sie verzichten. Niemand hatte jemals ein Problem, für das die Blockchain eine Lösung ist. Stattdessen nehmen die Leute die Technologie und machen sich auf die Suche nach Problemen.

Was ist mit den hunderten Firmen, die – gerade in der Schweiz – Blockchain-Lösungen entwickeln?

Für die ist die Technologie in erster Linie ein PR-Instrument. Sie werden die Blockchain wieder fallen lassen, wenn klar wird, dass sie keinen Mehrwert bringt.

Hyperledger-Chef Brian Behlendorf hatte im Interview am Hyperledger Forum eine komplett gegenteilige Aussage zum Thema. Lesen Sie hier, wie er seine Meinung begründete.

Es gibt viele Forderungen nach mehr Offenheit und Transparenz in der IT – Open Source, ein offener Zugang zum Internet, Open Data. Geht die Kryptografie nicht in die falsche Richtung?

Open ist super, und Kryptografie ermöglicht diese Offenheit. Kryptografie geht nicht in eine Richtung, sondern schafft Eigenschaften von Systemen. Wenn diese Eigenschaft Offenheit ist, besteht auch kein Widerspruch zwischen den beiden.

Aber steht die zunehmende Verschlüsselung von Kommunikation mit dem Prinzip der Offenheit nicht in Konflikt?

Wir können natürlich alle Kommunikation auf dem Planeten offenlegen, aber ist das wünschenswert? Würden Sie wollen, dass jeder die privaten Unterhaltungen mit Ihrem Partner oder Ihrer Partnerin mitlesen kann?

Nein, natürlich nicht.

Da haben Sie's.

Die digitale Technologie beeinflusst Wirtschaft, Politik und Gesellschaft. Welche Auswirkungen hat das auf unsere Welt?

Die Auswirkungen sind riesig und ich glaube nicht, dass wir sie schon ganz verstehen. Wir beginnen erst damit, sie zu erfassen.

Welche Rolle hat Cybersicherheit in diesem Kontext?

In einer Welt, in der alles ein Computer ist, wird Cyber­sicherheit zur zentralen Sicherheit. Sie wird zur nationalen Sicherheit, zur Sicherheit der Demokratie, zur persönlichen Sicherheit oder zur medizinischen Sicherheit. Alles wird durch Computer vermittelt und deshalb ist Cyber­sicherheit das A und O.

Manche loben digitale Technologie als Lösung für die Probleme der Menschheit – Armut, Krankheit oder sogar den Klimawandel …

… Was natürlich lächerlich ist. Dabei wissen wir das längst. Aber es stimmt, Techno-Utopien sind in der IT-Branche weit verbreitet.

Was sagen Sie zu diesen Utopisten mit Ihrer Erfahrung als Sicherheitsexperte?

Digitale Technologien sind fundamental menschlich. Sie können soziale Probleme nicht so einfach lösen, wie sich das manche vorstellen. Immer mehr Menschen realisieren das auch. Es gibt heute weniger Techno-Utopien als noch vor zwei, drei Jahren. Der Brexit oder die Wahlen in den USA haben das gezeigt. Auch die neue öffentliche Skepsis gegenüber Google und Facebook ist ein Zeichen dieses Sinneswandels.

In den USA wurden Unternehmen in der Vergangenheit vom Staat zerschlagen, wenn ihre Marktmacht zu gross wurde. Blüht dieses Schicksal auch Google, Amazon & Co.?

Ja, das wird passieren. Vielleicht nicht bald, aber irgendwann wird es dazu kommen. Im Moment ist das noch schwer vorstellbar, denn diese Unternehmen werden als zu gross und mächtig wahrgenommen, als dass ihnen etwas gefährlich werden könnte.

Kritiker sagen, dass das Geschäftsmodell von Firmen wie Google oder Facebook grundsätzlich falsch sei, weil es nicht auf Zahlungen, sondern auf der Überwachung der Nutzer basiere. Wie sehen Sie das?

Es geht bei dieser Diskussion darum, ob der Überwachungskapitalismus als Geschäftsmodell eine gute Idee ist. Und ja, es gibt gute Gründe dafür, anzunehmen, dass der Überwachungskapitalismus nicht erstrebenswert ist und solche Firmen nicht existieren dürften. Deshalb sollten wir diese Diskussion führen. Es wird aber noch nicht ernsthaft gemacht, auch weil das Geschäftsmodell quasi von selbst aus dem Internet heraus entstanden ist.

Gibt es denn alternative Geschäftsmodelle? Sollten wir Google für jede Suchabfrage einzeln bezahlen?

Es gibt viele Alternativen für Internetfirmen. Was Sie vorschlagen wären Mikrotransaktionen. Eine andere Möglichkeit wäre ein Abonnement. Auch eine staatliche Finanzierung ist denkbar. Unternehmen haben Geld gemacht, lange bevor sie die Leute ausspioniert haben. Sie werden andere Wege finden, Geld zu verdienen, darüber mache ich mir überhaupt keine Sorgen.

Was war die wichtigste technologische Entwicklung in den letzten zehn Jahren?

Schwer zu sagen, vermutlich irgendwas im Biotech-Bereich. Dort würde ich suchen, wenn ich müsste.

Welche Technologien werden die Welt in den nächsten zehn Jahren prägen?

Wenn ich das wüsste! Bei solchen Fragen bin ich wirklich schlecht. Was ich weiss: Oft tauchen Technologien auf, mit denen niemand gerechnet hat, deshalb möchte ich mich da nicht festlegen.

IT wird immer intelligenter und leistungsfähiger. Wie werden die Menschen in der Lage sein, Schritt zu halten?

Es kann gut sein, dass Computer den Menschen irgendwann abhängen – vielleicht in 20, vielleicht in 1000 Jahren. Wir sind wohl kaum der Gipfel der Evolution. Das Problem mit künstlicher Intelligenz besteht darin, dass sich die Technologie nicht linear entwickelt. Was heute noch kaum möglich erscheint, ist morgen vielleicht ganz einfach lösbar – und umgekehrt. Prognosen zu machen ist deshalb sehr schwer. Wir wissen also gar nicht, womit wir Schritt halten müssen.

Lassen Sie uns noch einmal über IT-Sicherheit sprechen. Als Spezialist für Cybersicherheit – welche Sorgen rauben Ihnen nachts den Schlaf?

Die Sicherheitsprobleme von Computersystemen, welche die Welt physisch direkt beeinflussen können. Mit dem Internet der Dinge und der Vernetzung aller Maschinen verändert sich die Art und Weise, wie wir mit Computern umgehen. Das hat tiefgreifende Konsequenzen, die wir heute noch nicht völlig verstehen. Darüber mache ich mir grosse Sorgen.

"Was IT-Security-Experten den Schlaf raubt" – lesen Sie hier mehr zum Thema IT-Security.

Das ist das Problem, wie lautet die Lösung?

Das können Sie in meinem neuen Buch nachlesen, zwei Drittel davon handeln von Lösungen. Da geht es um Regulierung, Lizenzen, Standards und Wege, wie im Markt andere Anreize gesetzt werden können. Das fehlende Glied in der Kette sind die staatlichen Behörden. Mit ihrer Hilfe können wir die Probleme lösen.

Sind wir heute anfälliger für Cyberrisiken als in der Vergangenheit?

Auf jeden Fall. Nicht weil die Angreifer besser wurden oder sich die Cybersicherheit verschlechterte, sondern weil Computer immer intimer und lebenswichtiger werden. Mit dem neuen Stellenwert von Computern in unserem Alltag hat sich auch das Risiko verändert. Wie gesagt werden Autos und Medizintechnik wohl die ersten Bereiche sein, in denen Computer Menschen töten. Aber es gibt viele weitere Risikogebiete, etwa Kraftwerke, die Lebensmittelproduktion, Drohnen oder Waffensysteme.

Wie wird sich durch die Bedrohungen aus dem Internet der Dinge der Job des Verantwortlichen für IT-Sicherheit im Unternehmen verändern?

Das ist eine wichtige Frage, aber wir wissen darauf heute noch keine Antwort. Sein Job wird sich verändern müssen, daran besteht kein Zweifel.

Cybersicherheit ist nicht nur ein Software-Thema. Bloomberg berichtete über einen Versuch des chinesischen Militärs, Spionage-Chips auf US-Serverboards zu platzieren …

… Was die meisten Leute mittlerweile nicht mehr für wahr halten. Keiner weiss es wirklich. Keiner kann einen Beweis dafür oder dagegen vorlegen, das ist die eigentliche Story.

Wie real ist die Gefahr von solch einem Hardware-Hacking?

Die Gefahr ist sehr real, und sie ist bekannt. Aber wenn Sie China wären und US-Server ausspionieren möchten, würden Sie darin nicht ein Gerät platzieren, das Platz, Gewicht und Strom verbraucht. Das wäre sehr dumm. Sie würden etwas in die Software einbauen, wie es alle anderen auch machen. Wenn dieser Spionage-Chip tatsächlich existieren würde, hätten wir davon bereits ein Bild gesehen. Trotzdem hat Bloomberg den Bericht nicht zurückgezogen, eine verrückte Geschichte.

Verschlüsselungsspezialisten, Cyberkriminelle und Regierungsbehörden sind in einem Wettlauf um die Kontrolle über digitale Informationen. Kann jemand dieses Rennen gewinnen, oder werden wir gezwungen sein, Kompromisse einzugehen?

Diesen Wettlauf kann niemand gewinnen. Ihn zu gewinnen würde nämlich bedeuten, dass er zu einem Ende kommt. Er wird aber wohl ständig so weitergehen, solange die IT in der heutigen Form existiert, also zumindest in der vorhersehbaren Zukunft.

Manche bezeichnen Quantencomputer als das Ende der Kryptografie, da sich damit Verschlüsselungen knacken lassen. Was wird sich durch diese Technologie in der Cybersicherheit verändern?

Nicht allzu viel. Meine Kollegen und ich nehmen die Sache natürlich ernst und denken über die Zeit nach dem Durchbruch des Quantencomputers nach. Wir arbeiten beispielsweise intensiv an der Entwicklung von quantenresistenten Public-Key-Algorithmen. Derzeit steckt Quanten-Computing noch nicht mal in den Kinderschuhen. Was sicher ist und was nicht, wissen wir noch nicht. Der Quantencomputer ist für die Kryptografie aber keine Katastrophe. Wir werden überleben.

Lesen Sie hier mehr zu IBMs ersten kommerziellen Quantencomputer.

Zur Person

Bruce Schneier ist ein international anerkannter Sicherheitsexperte, vom "Economist" wurde er als "Sicherheitsguru" bezeichnet. Er ist Autor von 13 Büchern sowie zahlreicher Artikel, Essays und akademischer Arbeiten. Schneier hat vor dem US-Kongress ausgesagt, ist ein häufiger Gast im Fernsehen und Radio und hat in mehreren Regierungsausschüssen gearbeitet. Er ist Fellow am Berkman Klein Center for Internet & Society an der Harvard University, Vorstandsmitglied der Electronic Frontier Foundation sowie Sonderberater für IBM Security und Chief Technology Officer bei IBM Resilient.