Dr. Taher Elgamal, Chief Security Officer von Axway, ist ein führender Experte im Bereich der Computer-, Netzwerk- und Informationssicherheit. Dr. Elgamal, der kürzlich den „Lifetime Achievement Award“ der RSA Conference erhielt, ist in der Branche als „Erfinder von SSL“ anerkannt und zeichnete für die Entwicklung von SSL bei Netscape und in der gesamten Branche verantwortlich. Er ist der Verfasser des SSL-Patents und hat SSL in Normierungsgremien und der Industrie als Standard für Sicherheit im Internet vorangetrieben. Dr. Elgamal hat außerdem verschiedene Branchenstandards und Regierungsnormen im Bereich Datensicherheit und digitale Signaturen erfunden, darunter die DSS-Norm der US-Regierung für digitale Signaturen.

Axway Today hat sich mit Dr. Elgamal getroffen, um mit ihm über ein dringendes Problem zu sprechen, dem die Welt heute gegenübersteht: Internetkriminalität.

AT (Axway Today): Dr. Elgamal, wie ernst ist Ihrer Ansicht nach heute das Problem der Internetkriminalität?

TE (Taher Elgamal): Keine Periode in der Geschichte der modernen Konnektivität, wirtschaftlichen Produktivität und persönlichen Interaktivität – weder die Einführung der Einwahlverbindung in den späten 1990er Jahren noch die nachfolgende Akzeptanz von Mobiltelefonen und Breitband in den frühen 2000er Jahren – sind von derart schnellem Wachstum und Veränderung gekennzeichnet wie die späten 2000er Jahre. Mobiltelefonie und Breitbandzugriff auf das Internet versetzen uns die Lage, mit der Familie in Kontakt zu bleiben, mit Geschäftspartnern zu verhandeln und Informationen ganz einfach auszutauschen. Die Ausdehnung der Konnektivität ruft jedoch eine Heerschar zwielichtiger Gestalten auf den Plan, die die Gelegenheit beim Schopf ergreifen und Malware verbreiten, um finanzielle Vorteile zu erzielen und um Zugriff auf viele kostbare Dinge zu erhalten – Dinge, die normalerweise geheim gehalten werden, die sehr geschätzt werden oder die in Banken aufbewahrt werden.

Ich behaupte, dass wir – Individuen, Unternehmen, Staaten – erheblich aggressivere Wege einschlagen müssen, als wir dies bisher getan haben.

AT: Wie gehen wir als Gesellschaft mit der Tatsache um, dass sich immer mehr Kriminelle der Hacker-Community anschließen?

TE: Malware (eine Kombination der Wörter „malicious“ [boshaft, heimtückisch] und „Software“) verbreitet sich heute mit Hilfe der neuen Konnektivitätsmedien schneller als jede andere Anwendung. Die anhaltende Unterwanderung der Hacker-Community – der es früher reichte, Würmer zu launchen, um damit andere Computerfreaks zu beeindrucken – durch Kriminelle hat für einen Wandel gesorgt. Was früher ein bloßes Ärgernis war, ist inzwischen zu einer heimtückischen Angelegenheit geworden, zu einer bösartigen Gruppe, deren Aktivitäten das Potential bergen, mehr Schaden anzurichten als jede andere kriminelle Handlung in der Geschichte. Und trotz der nicht endenden Beispiele dieser Böswilligkeit (z.B. die im Internet verfügbaren Festpreise für gestohlene Kontonummern und Identitäten), ignoriert der Großteil der Gesellschaft die Hacker-Community. In dieser Haltung wird sie durch die Tatsache bestärkt, dass die bisherigen Attacken der Hacker meistens ineffizient waren, dass keine Häuser oder Arbeitsplätze verloren gingen, dass keine Stromnetze oder Wasserleitungen oder Nahrungsmitteltransporte unterbrochen wurden und dass die Unternehmen sich von erlittenen Produktivitätseinbußen einigermaßen erholen konnten.

AT: In welchem Umfang sollten staatliche und lokale Behörden Unternehmen ermutigen oder sogar Anreize dazu verschaffen, in den Schutz ihrer IT-Infrastruktur zu investieren?

TE: Es gibt Stimmen, die behaupten, dass dies eine Frage einfacher Mathematik sei – dass wir nämlich der Zunahme des Betrugs und der Internetkriminalität einfach mit einer proportionalen Zunahme an Förderung und Anreizen begegnen müssten. Vor fünfzehn Jahren stellten Sicherheitsprodukte und -dienstleistungen gerade einmal ein Prozent der IT-Ausgaben dar. Zwar ist dieser Anteil heute auf vier bis fünf Prozent gestiegen, jedoch sind Betrug und Internetkriminalität um ein Vielfaches schneller gewachsen. Meines Erachtens gehen wir das Problem jedoch falsch an, wenn wir über Prozentsätze sprechen – wie wenn die Feuerwehr nur genau so viel Wasser zu einem Einsatz mitbringen würde, wie sie zu benötigen glaubt, anstatt so viel Wasser wie möglich!

Der richtige Ansatz ist, mit extremen Vorbehalten gegen diese Kriminellen zu agieren und sich eine neue Klasse infrastruktureller Produkte und Dienstleistungen zu eigen zu machen, die unser Vertrauen in das Internet und die mobile Kommunikation als wertvolle Medien für unsere täglichen Aufgaben fördert. Entscheidend für diesen Ansatz ist die Einsicht, dass der vorhandenen Infrastruktur die erforderlichen Steuerelemente fehlen, um für ein größeres Vertrauen zu sorgen, und dass noch viel getan werden muss, bevor wirkliche Sicherheit gewährleistet werden kann.

Viele Technologien und Tools, die für die erforderliche Steuerung sorgen könnten, existieren bereits, doch schon eine einzige Sicherheitslücke (z.B. das Fehlen einer umfassenden Identitätskontrolle und/oder von Technologien zum Schutz der Inhalte) in einem beliebigen Teil der Infrastruktur beeinträchtigt das gesamte Netzwerk – dasselbe Netzwerk, das uns in unendlichen Varianten miteinander verbindet. Es gibt zwar immer mehr Methoden zum Schutz unserer Kinder und Unternehmen und Staaten, jedoch werden zu wenige dieser Methoden tatsächlich umgesetzt.

AT: Mancher mag das für Paranoia oder Schwarz-malerei halten…

TE: Überhaupt nicht! Zahllose Ökonomen reagierten mit Entrüstung, als die Hypothekenkrise eintrat – dieselben Experten waren nämlich als Schwarzmaler bezeichnet worden, als sie vorhersagten, das eine schiere Wirtschaftskatastrophe auf uns zukommen würde. Die aktuelle Rezession ist ein Beispiel dafür, was passiert, wenn wir qualifizierte Erkenntnisse ignorieren und ernste Gefahren nicht entschärfen. Ist es vielleicht so, dass wir in unserer modernen Kultur des Skeptizismus und des Zynismus nicht in der Lage sind, eindeutig vorhandene Gefahren zu erkennen, solange sie ihre erste Salve noch nicht abgeschossen haben? Sind wir wirklich so begriffsstutzig? Das müssen wir besser machen.

Ich appelliere an jedermann – Individuen, Unternehmen, Regierungen – die aktuellen Gefahren der Internetkriminalität neu zu bewerten. Wir müssen das Investitionsvolumen definieren, das zum Schutz unserer Infrastruktur, ihrer Anwendungen und aller darauf zugreifenden Personen erforderlich ist. Wir dürfen die Fehler der vergangenen Jahre nicht wiederholen und warten, bis eine neue globale Katastrophe auftritt, bevor wir handeln. Wir müssen als verantwortungsbewusste Generation handeln und mit zielgerichteter Schnelligkeit eingreifen.

Dr. Taher Elgamal ist Chief Security Officer von Axway. Mehr über die Errungenschaften von Dr. Elgamal erfahren Sie hier.