“Google ist gut, die NSA ist böse – mich wundert das“

Jeff Moss ist Chef der wichtigsten Hackermesse der Welt. Er weiß, wie leicht unsere Daten geklaut werden können

Er weiß, wie Überwachung funktioniert: Jeff Moss gründete die beiden Konferenzen Def Con und Black Hat, zwei der wichtigsten Versammlungen der IT-Szene, und ist heute Sicherheitschef der Internetorganisation ICANN. Dass die USA überall herumschnüffeln, hat den Amerikaner nicht überrascht. Er war beim Forum Alpbach zu Gast und erzählte, dass er nicht nur der NSA, sondern auch Google misstraut. Er würde lieber Geld zahlen, als seine Daten herzuschenken.

Herr Moss, ich bin eine aktive Internetuserin, habe ein Smartphone, ein Blog, benutze Twitter und Facebook. Könnten Sie mich hacken?

Jeff Moss: Klar. Ich würde Ihnen auf Ihrem Blog einen Kommentar hinterlassen und schreiben: “Interessanter Beitrag, das erinnert mich an diesen anderen Text, den ich neulich las.” Dazu würde ich dann einen Link posten, der Sie aber auf eine Seite mit Malware, also schädlicher Software führt, und ihren Computer infiziert. Oder ich würde Ihnen das Ganze als E-Mail schicken und Sie zu überreden versuchen, auf diesen Link zu klicken. Und schon haben Sie Malware auf dem Rechner.

Wie funktioniert das genau?

Moss: Die meisten Menschen haben in ihrem Webbrowser Javascript aktiviert, das ist standardmäßig an, denn dank Javascript schaut das Web hübsch aus. Nur hat es immer wieder Sicherheitslücken. Wenn Sie Ihre Software nicht permanent aktualisieren, also immer auf dem aktuellen Stand sind, dann werden Sie verwundbar. Ich kann diese Schwachstellen finden oder fertige Tools herunterladen, die diese Schwachstellen ausnützen. Damit schleuse ich einen Trojaner auf Ihrem Computer ein und kann mich bei Ihnen einloggen oder alles aufzeichnen, was Sie tun. Kurz gesagt: Ich habe die Kontrolle über Ihr Gerät. Das ist ganz einfach, weil die meisten Menschen Javascript aktiviert haben und kaum einer permanent Updates macht.

Das heißt, ich sollte lieber nicht auf Links klicken, die Sie mir schicken?

Moss: Sie sollten auf viele Dinge nicht klicken: Wenn ein Link ungewöhnlich erscheint, zu einer seltsamen Webadresse führt, sollten Sie ihn lieber nicht öffnen – außer Sie schalten Javascript aus. Ich habe zum Beispiel ein Plugin in meinem Browser installiert, um Javascript standardmäßig auszuschalten. Dann schaut das Web zwar nicht ganz so hübsch aus, aber Sie können überall herumsurfen.

Sie kennen sich bei Sicherheitslücken aus, haben eine der wichtigsten Hackermessen der Welt gegründet, die Def Con. Heuer lernte die Weltöffentlichkeit auf der Def Con etwa, dass man auch schon Autos hacken kann.

Moss: So neu ist das übrigens gar nicht. Man kann die Kontrolle über einen Wagen übernehmen, die Bremsen ausschalten oder das Lenkrad kontrollieren, wenn man Zugang zum sogenannten CAN-Bus-System bekommt. Dafür braucht man in der Regel physischen Kontakt, muss etwa ein Kabel ans Auto anschließen. Aber bedenken Sie Folgendes: Autos werden immer vernetzter, verwenden zunehmend Bluetooth und WLAN-Verbindungen, auch gibt es diese GPS-Systeme, die automatisch einen Notruf aussenden, wenn Sie einen Unfall haben. Heutige Autos sind also bereits mit der Außenwelt verbunden, selbst wenn einem das nicht bewusst ist. Das macht sie zunehmend angreifbar.

Ist das Ziel der Def Con zu zeigen, wie gefährlich Technologie ist? Oder worum geht’s denn bei der Hackermesse?

Moss: Ich will zeigen, was alles möglich ist. Die Autohersteller, die Ingenieure sollten wissen, was mit ihrer Technik passieren kann, wo Schwachstellen sind. Die Bad Guys wissen ohnehin darüber Bescheid, auch Geheimdienste wissen solche Dinge. Warum sollte die Öffentlichkeit das nicht wissen? Sicherheitslücken kann man bekämpfen, wenn sie einem bewusst sind.

Apropos Geheimdienste: Normalerweise sind auch viele Agenten der NSA oder des FBI auf Ihrer Hackermesse. Diesmal haben Sie die Behörden gebeten fernzubleiben. Warum?

Moss: Viele Hacker sind furchtbar angefressen. Die unzähligen Enthüllungen zur Spionage, die Geschwindigkeit, mit der die ganzen Überwachungsprogramme bekannt wurden, hat viele frustriert. Man bekam den Eindruck: Die Regierung steckt unheimlich viel Geld in Spionage, in Angriff, aber wenig in Verteidigung (von Daten, Anm.). Da wäre es komisch gewesen, so zu tun, als sei nichts passiert.

Waren Sie selbst auch schockiert?

Moss: So überrascht war ich nicht. Spionagedienste spionieren, das ist ihr Job. Aber viele Amerikaner hatten das Gefühl, dass ein Deal gebrochen wurde. Es hieß immer: Die NSA schaut, welche Bedrohungen von außerhalb kommen, sitzt an der Grenze und wehrt Attacken ab; und das FBI arbeitet innerhalb der Landesgrenzen. Jetzt fanden wir heraus: Auch die NSA schaut sehr stark ins Inland. Das hat viele schockiert, auch im Kongress, denn das war nicht der Deal.

Für uns Europäer ist die US-interne Debatte skurril, weil es immer nur um die Rechte der Amerikaner geht. Aber was ist mit den Rechten von uns Europäern? Wir können ohne richterlichen Befehl von der NSA überwacht werden.

Moss: Stimmt, weil Sie keine amerikanische Staatsbürgerin sind. Nur gibt es derartige Überwachung in vielen Ländern. Wir in den USA haben nun wenigstens eine Debatte darüber. Das finde ich gut, weil man könnte jetzt einiges tun.

Was denn?

Moss: Man könnte einen genauen Zeitrahmen vorgeben, wie lange Daten gespeichert werden dürfen, oder klarer einschränken, wer Zugriff darauf hat. Derzeit fehlen die Möglichkeiten, mit denen sich Firmen gegen solchen Anfragen wehren können. Es sollte mehr Transparenz geben, wie oft Behörden tatsächlich auf solche Daten zugreifen. Dann sehen wir auch, ob die Behörden hier tatsächlich fischen oder die Anfragen viel seltener sind, als viele derzeit fürchten.

Vertrauen wir da den Firmen nicht zu sehr? Offensichtlich wissen wir nicht, was alles mit unseren Daten passiert.

Moss: Ein Widerspruch fasziniert mich total: Die NSA sammelt Daten und wertet diese mit Algorithmen aus, zum Beispiel, um Personen zu finden, die eine Bombe bauen wollen. Google wiederum verwendet ebenfalls Algorithmen. Redet man in einem E-Mail über Griechenland, wird mir Google vielleicht Werbung mit Flügen nach Griechenland anbieten. Bei Google hat niemand ein Problem damit, dass all unsere E-Mails ausgewertet werden, bei der NSA allerdings schon. Google ist gut, die NSA ist böse – mich wundert das. Oder nehmen wir Facebook: Wenn ich versehentlich alle in meinem Handy gespeicherten Telefonnummern mit Facebook teile, gibt es keinen Knopf, der sagt: ‚Hoppla, lösch diese Nummern‘. Die sind auf Ewigkeiten in Facebook und die kartografieren damit sämtliche menschliche Verbindungen. Ich würde mir eine Debatte über all diese Aspekte wünschen.

Und was wäre die Lösung? Sollen wir den Einsatz von Algorithmen verbieten?

Moss: Nein, aber wir bräuchten mehr Kontrolle durch Konsumenten. Ich würde Facebook fünf Euro im Monat zahlen, nur damit sie sich nicht all meine Daten krallen.

Verwenden Sie Facebook?

Moss: Ja, aber ganz vorsichtig. Man muss davon ausgehen, dass alles, was man auf Facebook sagt, öffentlich ist. Wie es so schön heißt: Wenn du nichts zahlen musst, bist du das Produkt. Deswegen sage ich: Lasst mich doch zahlen, ich will nicht das Produkt sein! Aber leider schaut das Geschäftsmodell der sozialen Netzwerke so aus, dass man selbst das Produkt ist.

In Europa gibt es nun auch die Idee, dass sich europäische Internetfirmen damit hervortun könnten, besonders datenschutzfreundlich und transparent zu sein.

Moss: In Europa fehlen allerdings die großen Rechenzentren, das ist einer der Gründe, warum das bisher nicht der Fall ist.

Wie? Uns fehlen die Server und die Kapazitäten für solche Firmen?

Moss: Ja. Warum liegen so viele Daten in den USA? Weil wir die Kapazitäten dafür haben. Wenn Europa riesige Rechenzentren bauen würde, könnte sich das ändern. Es ist ja schon jetzt der Fall, dass einige große Internetfirmen in Europa riesige Rechenzentren bauen, dadurch wird die Verbindung für den Kunden schneller, das gefällt den Leuten.

Wie Sie schon sagten, steckt die US-Regierung viel mehr Geld in den Angriff auf Daten als in deren Verteidigung. Ist das generell ein Problem, dass wir viel besser im Datenklauen als im Datenbeschützen sind?

Moss: Klar, Angriff ist sexy. Wenn man in ein fremdes System einbricht, kriegt man sofort Bestätigung. Verteidigt man das eigene System, wehrt man also einen Angriff ab, bekommt man kaum eine Bestätigung. Oft braucht es nur einen Hacker, der dann doch eine Lücke findet, und man verliert schon den Job. Ich berate auch Firmen und höre immer wieder: “Warum sollte ich in Abwehr Geld investieren? Bei mir wurde letztes Jahr nicht eingebrochen, vorletztes auch nicht.Nur, woher wissen diese Firmen, dass nicht bei ihnen eingebrochen wurde, wenn sie nicht einmal ihr eigenes Netzwerk analysieren? Es ist oft schwierig, Firmen zu so etwas zu überreden, wenn sie nicht vertraglich dazu verpflichtet sind oder dies reguliert wird.

Sollte der Staat da mehr tun?

Moss: Der Staat könnte zumindest Standards vorgeben. Allerdings schaut es eher so aus, als würden die sehr viel Zeit darin investieren, alles Mögliche zu beobachten, selbst überall einzubrechen, und nur wenig Zeit darin, alles zu verteidigen.

Wie könnte man denn diese Haltung verändern?

Moss: Das ist wirklich schwierig. Ein Kernproblem sind Features. Ein Gerät mit fünf Funktionen ist sicherer als eines mit 100. Menschen wollen allerdings möglichst viele Funktionen, das liegt in unserer Natur. Wer am Schutz von Daten arbeitet, hat also ganz schlechte Karte. Da müsste die Politik ein paar Entscheidungen der härteren Art treffen. In den USA überlassen wir das aber ganz dem freien Markt und der freie Markt ist furchtbar, wenn es um den Schutz von Daten geht.

Was könnte die Regierung denn tun?

Moss: Nehmen Sie Facebook. Das gesamte Geschäftsmodell dreht sich darum, dass man sein ganzes Leben in das soziale Netzwerk stecken soll. Nun wird Facebook auch für politische Kampagnen eingesetzt, für Dinge, die mehr Konsequenzen haben, als wenn man Katzenbilder hochlädt. Da sollte es ein Mindestmaß an Sicherheit geben, etwa könnte die Verbindung verschlüsselt werden. Dann ist es schwieriger, dass man vom Arbeitgeber oder vom Geheimdienst überwacht wird. (Auch wenn die NSA viele Verschlüsselungen knacken kann, ist dies wohl nicht bei allen der Fall, Anm.)

Wollen Sie dafür ein Gesetz?

Moss: Vielleicht könnte man Mindeststandards einführen. Viele dieser Firmen sind an der Börse, da könnte man ab einer gewissen Größe Sorgfaltspflichten für Firmen bestimmen. Wer die Daten von zehn oder 100 Millionen Usern hat, hat auch eine ganz andere Verantwortung.

Ist das realistisch? In den USA ist die Regulierung des IT-Markts sehr verpönt.

Moss: Wir führen jetzt wenigstens eine Debatte, meine Eltern wollen mittlerweile mit mir über diese Dinge sprechen. Wenn einmal meine Eltern darüber reden, dann ist das wirklich ein Thema. Ich wäre nicht überrascht, wenn es auch bei der nächsten Präsidentenwahl eine Rolle spielt. Die Leute fragen mittlerweile Politiker, wie sie darüber denken. Das war früher definitiv nicht der Fall.
Zur Person: 

Jeff Moss ist auch unter seinem Hackernamen The Dark Tangent bekannt. Er gründete im Jahr 1992 die Hackerveranstaltung Def Con und 1997 die IT-Security-Messe Black Hat, beide Events finden jährlich in Las Vegas statt und sind der Treffpunkt schlechthin für Hacker und Experten aus der IT-Sicherheitsbranche. Seine Rechte an der Black-Hat-Konferenz hat Moss mittlerweile an einen Medienkonzern verkauft, angeblich um etwa 14 Millionen US-Dollar. Er arbeitet heute als Sicherheitschef der Internet-Organisation ICANN. Dieses Gespräch fand im Rahmen des Forum Alpbach statt, bei dem er über Internetregulierung sprach.

Dieses Interview erschien in Falter 37/13. Fotos: Flickr-User Jef Pearlman (oben), Petrit Rrahmani (unten, mit freundlicher Genehmigung des Forum Alpbach)