Direkt zum Inhalt

Computersicherheit: Secrets and Lies

Digital Security in a Networked World
John Wiley & Sons, New York 2000. 431 Seiten, $ 29,99


Bruce Schneier ist ein begnadeter Kryptograph und erfolgreicher Sicherheitsberater. Er engagiert sich mit seiner Internet-Zeitschrift "Crypto-Gram" schon lange für die Aufklärung der fachlichen und nichtfachlichen Öffentlichkeit über digitale Sicherheitsprobleme. Politisch steht er ein für globale Informationsfreiheit, absoluten Schutz der digitalen Privatsphäre, für öffentliche Infrastrukturen, die auf allgemein zugänglichen Programmtexten (Open Source) basieren, und für die finanzielle Haftbarkeit der Hersteller von fehlerhafter Software. Aus der Sicht europäischer Verbraucher eindeutig ein "good guy".

Und nun beginnt er sein neuestes Buch mit einer Selbstanklage. Sein früheres Werk "Applied Cryptography" basiere auf grundsätzlich falschen Einschätzungen dessen, was heute die Sicherheitsrealität in der Informations- und Kommunikationstechnologie (ICT) sei. Viele schlechte Systeme seien infolge dieses Buches in Betrieb.

Ja, und? In dieser Branche wälzen sich die technischen, wirtschaftlichen und sozialen Verhältnisse ohnehin alle fünf Jahre komplett um – und das frühere Buch ist sieben Jahre alt. Öffentliche Selbstkritik ist zur Zeit in Mode, weil billig und medienwirksam. Schneier weist dann auch im Nachwort zart darauf hin, dass die Dienste seiner Firma "Counterpane Internet Security" (www.counterpane.com) dem nunmehr von ihm vertretenen neuen Sicherheitsparadigma folgen.

Andererseits: Wenn sich dieser Experte schon einmal so fundamental geirrt hat, warum sollten wir jetzt seinem Rat vertrauen? Verlangt Schneier da etwas von uns, vor dem er uns im Buch warnt: blindes Vertrauen trotz schlechter Vorerfahrungen? Warum nicht besser eines der vielen spannenden Werke aus der Ecke "Cyberkrieg, E-Commerce und Handyviren-Hacker" auf den Gabentisch legen?

Ich war anfangs sehr skeptisch; aber das Buch hat mich überzeugt. Es ist kein erfreuliches Buch, denn es klärt über drückende Probleme auf – sachlich und verständlich. Es verspricht keine Wunderlösungen. Es verlangt keine mathematischen oder technischen Vorkenntnisse, allein den gesunden Menschenverstand. Es ist ehrlich. Es stimmt.

Und es kommt etliche Jahre zu spät. Nur fällt das nicht groß auf, denn die öffentliche Diskussion und journalistische Abbildung von ICT-Sicherheitsproblemen in Europa hinkt viele Jahre hinter der technologischen Realität von Internet, Mobilfunk, E-Commerce, Verbraucherdaten-Schutz, Biometrie und Echelon her, ist von den Medien verzerrt und gelegentlich unsäglich dumm. Wenn Sie dieses Buch gelesen haben, wissen Sie genau, was ich meine.

Einige der Hauptsätze des Buches:

- Es gibt keine vollständige digitale Sicherheit; der übliche Spruch "Kryptographie plus Firewall löst alle Probleme" ist Quacksalberei.
– Digitale Sicherheit funktioniert grundsätzlich anders als Sicherheit in der realen Welt. So kann ein Bösewicht einen Angriff leicht automatisieren, aus beliebiger Entfernung durchführen oder durch anonyme Veröffentlichung der nötigen Software andere dazu anstiften.
– Digitale Sicherheit ist kein Produkt, sondern ein Prozess in einem integrierten System aus ICT-Hard- und Software aller Art, Gebäuden, Infrastruktur, Menschen, Organisationsregeln, Gesetzen und so weiter.
– Die öffentliche, betriebliche und private Sicherheitslage wird mit zunehmender Komplexität der Technologie rapide schlechter.

Das Buch ist fein strukturiert und mit großer Sorgfalt geschrieben. Man muss es der Reihe nach durchlesen; Überschlagen und Rosinenpicken funktioniert nicht, weil das umfangreiche Sachwissen, die vielen lehrreichen Insider-Anekdoten, die begründeten Wertungen und Ratschläge des Autors aufeinander aufbauen. Als Grundlage eines Kurses über Computersicherheit im Studienfach "e-business" wäre es ohne weiteres geeignet.

Journalisten und andere Laien sollten das Lesen eher bedächtig angehen; die Informationen kommen dicht auf dicht und ohne viel erklärende Worte. Vieles muss der Leser selbst entdecken. Um vor schweren Sicherheitsproblemen bei Napster zu warnen, investiert Schneier genau einen Satz auf Seite 359, der aber nur verständlich ist, wenn man im Absatz "Buffer overflow" (Seite 207) aufgepasst hat. Ob das den Bertelsmännern schon klar ist? Einige Microsoft-Produkte bekommen eher in Nebensätzen oder indirekt ihr Fett weg; die Rechtsabteilung des Verlags lässt grüßen.

Auch für Fachleute ist das Buch von großem Nutzen, trotz fast konsequenten Verzichts auf akademisches Beiwerk wie Formeln, Pseudocode und Diagramme. Ausnahme ist das Kapitel "Attack Trees" mit einer mehrseitigen Auflistung aller Details der Bedrohung "Lesen einer verschlüsselten PGP-Nachricht". Das Buch ist sehr aktuell (Stand Juni 2000), das Virus ILOVEYOU ist darin schon kommentiert. Und Bruce Schneier packt wirklich rückhaltlos aus. Gleichen Sie Ihren Wissensstand mit dem eines echten Gurus ab! Bei dem, was man schon weiß, lernt man zumindest noch, wie klar und einfach sich manches einem Politiker oder Manager erklären ließe, wäre er zum Zuhören bereit. Und warten Sie besser nicht auf eine deutsche Version; die Fachausdrücke sind kaum übersetzbar, und manches veraltet schnell.

Praktisch auf jeder Seite gibt es informative Zwischenüberschriften, und der zwölfseitige Index hat mich bisher nicht im Stich gelassen. Auf einer Seite im Anhang sind verlässliche Informationsquellen im Internet aufgelistet.

Wie gut trifft Bruce Schneier nun diesmal die Entwicklung, sagen wir für die nächsten vier Jahre? Keiner weiß das. Seine Klage über den allein Herstellerinteressen dienenden fortschreitenden Verlust von "Simplicity" in der Softwaretechnologie ist sehr berechtigt; die Verbraucher haben da einen langen Emanzipationsprozess vor sich, und es ist leider noch nicht absehbar, wann ihnen der Geduldsfaden endlich reißt. Der Abschnitt "Fair Elections" verblüfft sehr, weil er sich wie ein visionärer Kommentar zu den Auszählungsproblemen der jüngsten amerikanischen Präsidentenwahl liest.

Die desinteressierte Abhandlung des Abschnitts "Steganography" erscheint dagegen bedenklich: Findet der Mathematiker Schneier hier keinen Bezug zu dem Thema, das mehr mit Semantik und künstlicher Intelligenz zu tun hat, oder will er erstmal ungestört seine Geschäfte betreiben? Auch das fundamentale Thema "Trust" kommt nur im Kapitel "Conclusion" und im Abschnitt "Trusted Third Parties" kurz zur Sprache. Aber vielleicht lesen wir ja darüber im nächsten Buch – nach einer freundlichen Entschuldigung.

Aus: Spektrum der Wissenschaft 8 / 2001, Seite 91
© Spektrum der Wissenschaft Verlagsgesellschaft mbH

Lesermeinung

Beitrag schreiben

Wir freuen uns über Ihre Beiträge zu unseren Artikeln und wünschen Ihnen viel Spaß beim Gedankenaustausch auf unseren Seiten! Bitte beachten Sie dabei unsere Kommentarrichtlinien.

Tragen Sie bitte nur Relevantes zum Thema des jeweiligen Artikels vor, und wahren Sie einen respektvollen Umgangston. Die Redaktion behält sich vor, Leserzuschriften nicht zu veröffentlichen und Ihre Kommentare redaktionell zu bearbeiten. Die Leserzuschriften können daher leider nicht immer sofort veröffentlicht werden. Bitte geben Sie einen Namen an und Ihren Zuschriften stets eine aussagekräftige Überschrift, damit bei Onlinediskussionen andere Teilnehmer sich leichter auf Ihre Beiträge beziehen können. Ausgewählte Lesermeinungen können ohne separate Rücksprache auch in unseren gedruckten und digitalen Magazinen veröffentlicht werden. Vielen Dank!