„Russland hat nie aufgehört, sich in unsere Demokratie einzumischen“
„Sicherheitsguru“ Bruce Schneier von der Harvard University erklärt im Interview, wieso staatlich gesponserte Hackerangriffe zunehmen und inwiefern gezielte Propaganda in sozialen Netzwerken eine Gefahr für die Demokratie sind.
Bruce Schneier ist ein international anerkannter Sicherheitsforscher. Sein Newsletter "Crypto-Gram" und sein Blog "Schneier on Security" werden von über 250.000 Menschen gelesen. Schneier ist Fellow am Berkman Center for Internet and Society der Harvard University, Fellow am Belfer Center der Harvard Kennedy School of Government und Vorstandsmitglied der Electronic Frontier Foundation.
Herr Schneier, Sie forschen seit vielen Jahren zum Thema Sicherheit in der digitalen Sphäre, und der Economist hat Sie als „Sicherheitsguru“ bezeichnet. Was sind die drängendsten Probleme aus Ihrer Sicht, wenn es um Cybersicherheit geht?
Wir haben viele Probleme, und es ist kaum möglich, sie in ein Ranking zu sortieren: alle sind drängend. Beispielsweise sorge ich mich um das Internet der Dinge, weil es physisches digital verknüpft. Diese Cyber-physikalischen Systeme machen uns angreifbar. Überwachung ist natürlich ein Problem und der Schutz der Privatsphäre. Und komplexe sozial-technologische Systeme wie soziale Medien sind ebenfalls ein großes Thema, da sie weitreichende Effekte haben können.
Soziale Medien standen lange im Fokus und tun es nun wieder, wenn es um die anstehende US-Wahl geht. In all den Hintergrundgesprächen mit Politik- ebenso wie Sicherheitsexperten in den USA habe ich das immer wieder als eines der größten Bedenken gehört, und es gibt einige Evidenz aus der letzten Wahl: dass teils staatlich gelenkte Propaganda-Aktionen über beispielsweise Facebook-Posts Populismus stärken und das Vertrauen in die Demokratie schwächen. Was hilft in diesem Fall? Regulierung? Oder Medien-Bildung?
Es gibt in jedem Fall zu wenig Regulierung. Die Politik ist immer hinterher, weil es ein kompliziertes Thema ist. Und Facebook und Google haben natürlich kein Interesse daran reguliert zu werden. Aber wenn es mit der Medien-Bildung so einfach wäre, wären wir da vielleicht schon weiter. All diese Lösungen haben ihre Grenzen.
Wieso gibt es in den USA so wenig Regulierung in diesem Bereich?
Es heißt oft, es sei zu kompliziert zu regulieren oder die Politik verstehe die Probleme nicht. Dabei geht es darum gar nicht. Die Pharmabranche ist auch reguliert, ohne dass Politiker im Detail wissen müssen, wie dieses oder jenes Medikament funktioniert. Wir regulieren nicht den Prozess, sondern das Ergebnis: Pharma-Produkte dürfen niemanden töten, zum Beispiel. Wir machen das auch im Finanzbereich: es ist nicht erlaubt, Terroristen finanziell zu unterstützen. Aber im Digitalen geschieht es nicht.
Vor ein paar Tagen kam heraus, dass mutmaßlich eine russische Staatshacker-Gruppe das Ukrainische Gas-Unternehmen Burisma angegriffen hat, um Informationen über das Aufsichtsratsmitglied Hunter Biden zu bekommen, der Sohn von Trumps Konkurrent Joe Biden. Ist das der erste Schritt Russlands, um in die US-Wahlen einzugreifen?
Was heißt da der erste Schritt? Russland hat nie aufgehört, sich in unsere Demokratie einzumischen. Der aktuelle Angriff zeigt in der Tat sehr viele Parallelen zum Leak der Clinton-Mails von 2016 – von daher gehen wir davon aus, dass er ebenfalls von einer Einheit des russischen Geheimdienstes verübt worden ist. Sie sind wieder auf der Suche nach Informationen, die sie veröffentlichen können, um Misstrauen zu säen.
Damals wurde der persönliche Gmail-Account von John Podesta, dem Vorsitzenden der US-Präsidentschaftskampagne von Hillary Clinton gehackt und zahlreiche E-Mails veröffentlicht. Das Ganze hat zu Verschwörungstheorien geführt und Clinton mutmaßlich sehr geschwächt. Woran sehen Sie, dass die Beeinflussung durch Russland und anderen nie aufgehört hat?
Wir sehen anhaltend sehr viel Propaganda in den sozialen Medien, nicht nur in den USA; auch in Australien, Taiwan, Brasilien und Indien beispielsweise. Die Memes sind beispielsweise immerzu da, sie werden permanent verbreitet. Präsident Trump hat erst vor wenigen Tagen ein Meme per Twitter retweetet, von dem keiner weiß, woher es kommt.
Sie sprechen von einem manipulierten Foto, das die demokratische Sprecherin des Repräsentantenhauses Nancy Pelosi und den demokratischen Senatoren Chuck Schumer im traditionellen islamischen Gewand zeigt. Beide stehen vor der iranischen Flagge. Darunter steht „Demokraten 2020“. Haben Sie eine Vermutung über den Ursprung?
Ziemlich sicher von einer russischen Trollfarm. Und das ist natürlich ein großes Problem, wenn der Präsident der Vereinigten Staaten russische Propaganda verbreitet. Die Unabhängigkeit der Wahlen sollte ein Interesse aller demokratischen Parteien sein – das ist ein riesiges Problem für die Demokratie, dass wir nicht gemeinsam gegen Demokratie feindliche Propaganda angehen können über Parteigrenzen hinweg.
Ist der Kampf gegen Angriffe auf kritische Infrastrukturen wie Kraftwerke mehrheitsfähiger?
Dieser ist zwar konsensfähig über alle Parteien hinweg, denn niemand möchte, dass unsere Stromversorgung ausfällt. Aber diese Gefahr wird unterschätzt, weil es noch keine ernsthaften Vorfälle gab.
Keine ernsthaften Vorfälle? In der Ukraine beispielsweise gab es bereits sehr ernsthafte Hackerangriffe auf die Stromversorgung.
Ja, das stimmt. Aber Europa ist weit weg. Sobald so etwas hier in den USA geschieht, wird sich die Stimmung dazu ändern. Aber vorher wird sich wenig bewegen, fürchte ich. Unsere Infrastrukturen sind angreifbar.
Nahezu alle Angriffe auf kritische Infrastrukturen in der Vergangenheit gingen mutmaßlich von Staatshackern aus, oder jenen Gruppen, von denen Analysten sagen: sie sind so mächtig, dass ein Staat als Sponsor dahinterstecken muss. Beobachten Sie eine Zunahme von staatlich gesponserten Hackerangriffen?
Ja, auf jeden Fall: es gibt einen Markt dafür, und dieser wächst. Das liegt auch daran, dass es billiger geworden ist. Die Technologie ist günstiger, und es gibt immer mehr Cyberwaffen zu kaufen. So können sich Staaten Angriffe leisten, die selbst nicht genügend Kapazität hätten, solche Cyberwaffen selbst zu entwickeln.
Immer wieder hört man von Hackergruppen, die mächtige Überwachungstechnologie anbieten, beispielsweise das sogenannte „Hacking Team“, deren gruseliges, auf Diktaturen zielende Marketingvideo öffentlich wurde, als diese selbst gehackt wurden. Ist Überwachung einer der Treiber in diesem Zusammenhang?
Überwachung ist einer der Haupttreiber. Das wird schon klar, wenn Sie sehen, wohin Cyberwaffen-Manufakturen wie Fin Fischer oder Hacking Team und viele andere ihre Produkte verkaufen: nach Kasachstan, Nigeria, Mexiko Indonesien, Syrien – und viele weitere Länder. Da geht es meist darum, die eigenen Bürger zu überwachen.
Ich war kürzlich in einem Hintergrundgespräch hier am Belfer-Center an der Harvard Kennedy School, in dem ein ehemaliger amerikanischer Geheimdienstler eine Anekdote berichtete aus einem informellen Gespräch mit einem ehemaligen russischen Kollegen. Dieser russische Kollege habe sinngemäß gesagt: ‚selbst schuld, wenn ihr euch so angreifbar macht. Bei euch ist alles digital, und deshalb genügen wenige Klicks, um euch schwer zu treffen. Hier in Russland hingegen ist noch vieles analog.‘ Ist es der technische Fortschritt, der der westlichen Welt auf die Füße fällt?
Teilweise ja. Und es ist unsere Trennung von Staat und Unternehmen. Google und Facebook und die anderen großen Unternehmen wollen nicht reguliert werden, und sie haben eine gewisse Macht. In Russland und China hat der Staat mehr Kontrolle über Unternehmen. Da ist es einfacher einzugreifen. Ich sage nicht, dass das gut ist. Aber es erklärt einige Unterschiede. Hier fehlen die Anreize: Systeme sicher zu gestalten ist aufwendig und teuer. Die großen Unternehmen wollen das nicht – und die Regierung setzt es nicht durch. Unsere Systeme basieren deshalb auf kurzfristigem finanziellem Interesse.
Aber ist es nicht auch die Digitalisierung an sich? Es gibt viele Beispiele von Cyber-Attacken, in denen die Angegriffenen schlicht kein Backup hatten – und digitale Daten sind schnell gelöscht oder verschlüsselt. Wie im Beispiel der Firma Maersk, die viele Backup-Kopien ihres Domain-Controllers hatte, aber alle waren mit dem Internet verbunden und nach einem verheerenden Hackerangriff gelöscht. Bis auf eine Kopie in Ghana, die durch Zufall noch vorhanden war – weil das Internet ausgefallen war. Ist das Internet das Problem?
Die Maersk-Geschichte ist in der Tat eine gute Geschichte, und sie zeigt viele unserer Schwächen in der digitalen Welt. Für viele dieser Schwächen gibt es kaum eine Lösung, oder diese Lösung ist kostspielig. Man kann sich eben nicht darauf verlassen, dass irgendwo das Internet ausgefallen ist und deshalb eine Schadsoftware manche Daten verschont.
Müssen wir überlegen, manche Dinge wieder ins Analoge zu verlagern oder dort zu belassen? Beispiel Wahlen: In Deutschland wird auf Papier gewählt – hier in den USA elektronisch. Nach der Wahl 2016 gab es eine große Diskussion, inwiefern Hacker in die Wahl eingegriffen haben. Der größte Schaden bestand am Ende darin, dass das Vertrauen in eine faire und unbeeinflusste Wahl Lücken bekommen hat.
Dinge wieder ins Analoge zu verlagern ist teuer, und es wird sich kaum durchsetzen lassen. Und wir wollen ja auch nicht so recht auf unseren Fortschritt und die technologische Geschwindigkeit verzichten. Die Entwicklung ging rasend schnell in den vergangenen Jahren. Wahrscheinlich wäre es schlauer gewesen, hier langsamer vorzugehen und sich besser zu überlegen, wo die Schwächen liegen und wie Systeme sicher und gut gestaltet werden können. Aber wie gesagt, es ist teuer, Systeme mit einem analogen Backup zu versehen oder überhaupt, sie wirklich sicher zu machen. Und es fehlt der Anreiz dafür.
Ist das nicht extrem kurzfristiges Denken?
Ja, das ist es. Aber für die aktuelle Politik ist es stets einfacher, sich damit nicht zu beschäftigen, anstatt die Rechnung zu bezahlen. Es gibt hier keine Abkürzung, es ist kompliziert und die Gesellschaft ist nicht willens, die Geschwindigkeit unserer Innovation zu opfern.