In unserer digitalen Welt haben mehr und mehr Geräte eine Internetschnittstelle und sind vernetzt. Doch wie sicher sind wir im Internet? Philipp Kalweit ist einer der begehrtesten Auftrags-Hacker. Der junge Hamburger berät Banken, Regierungsbehörden und internationale Unternehmen im Thema IT-Sicherheit. Im Gespräch blickt er auf sein Verständnis von Sicherheit und wie wir mit IT-Sicherheit bewusst umgehen sollten.
Womit assoziierst du den Begriff Sicherheit?
Wenn ich an Sicherheit denke, denke ich an Risiken. Sicherheit gibt es dort wo es Risiken gibt und gerade, weil es Sicherheit gibt, gibt es immer weniger Risiken. Wenn ich Sicherheiten habe, muss ich mir keine Sorgen um Risiken machen.
Hat sich deine Wahrnehmung vom Thema Sicherheit durch deine bisherigen Erfahrungen geändert?
Definitiv, ja. Ich merke immer wieder, dass Menschen, die vielleicht nicht so bewandert mit dem Thema IT sind und dementsprechend Risiken und Sorgen nicht einschätzen können, eine größere Unsicherheit in dem Bereich haben. Fehlinformationen oder Gerüchte bekommen eine wachsende Relevanz, da diese dann nicht fundiert bewertet werden können. Umso mehr ich mich mit dem Themenfeld befasse, umso weniger ist die Angst vor Risiken vorhanden.
Wird man selber immer vorsichtiger, wenn man im Beruf die Sicherheit von Kunden sicherstellen möchte?
Ganz im Gegenteil. Man schätzt Risiken ganz anders ein und bewertet sie meistens nicht so kritisch. Sicherheit ist relativ. Es bedarf sie überall dort, wo es Risiken gibt. Umso größer diese dann sind, umso höher muss der Sicherheitsstandard sein. Die Sicherheit ist dynamisch genau wie das Risiko selbst. Die meisten Menschen können Risiken und Sicherheit nicht so gut einschätzen und tendieren daher dazu, die Sicherheit zu übertreiben.
Wird IT-Sicherheit im privaten Umfeld zu wenig hinterfragt?
Ja, wir leben in einer Welt, in der Digitalisierung jeden Bereich in unserem Leben betrifft. Man kann nirgendwo mehr klar zwischen analog und digital unterscheiden. Auch analoge Dinge gehen, selbst wenn passiv, mittelbar mit IT und damit auch IT-Sicherheit einher. Allerdings dauert gesellschaftlicher Wandel sehr lange. Werden neue Technologien auf den Markt geworfen, werden sie schnell verbreitet. Allerdings dauert es deutlich länger diese Dinge in seine Ideologie zu implementieren und sich in der Gesellschaft auf die neuen Möglichkeiten einzustellen. Wir nutzen Dinge, auf die wir in der Gesellschaft noch nicht vorbereitet sind. Der aktuelle Stand in der Technologie ist interessant. Wir können jetzt nicht sagen, was in Zukunft sein wird. Wir sollten eine Datensparsamkeit in unserem Verhalten implementieren.
Beim Thema Smartphone beispielsweise wird Herstellern augenscheinlich sehr vertraut, dass diese sichere Produkte bereitstellen. Ist man dort oft zu naiv?
Sicherheit basiert auf Vertrauen. Wenn ein Hersteller Sicherheit verspricht, kann man Vertrauen haben und dadurch Sicherheit aufbauen. Oder man hinterfragt diese Versprechen. Da kommt es auf Medienkompetenz an. Eigentlich ist Sicherheit wenig komplex. Sie basiert auf Grundbausteinen. Beispiel Passwörter: Es gibt unzählige Thesen dazu, was ein sicherer Umgang mit Passwörtern ist. Nimmt man sich einen etwas komplexeren Satz und nimmt nur die Anfangsbuchstaben in Groß- und Kleinschreibung und die Zahlen als Passwort, ist das eine gute Grundlage. Ein anderes Sicherheitsrisiko sind Updates. Werden Updates nicht ausgeführt, werden die Angriffsvektoren nicht mehr geschlossen.
Wie wird Sicherheit in der Zukunft definiert werden?
Die Globalisierung fördert die Vernetzung. Blicken wir auf Technologien wie Smart Home. Alles ist über kurz oder lang gesehen digital miteinander vernetzt. So haben immer mehr Geräte Internetschnittstellen. IoT-Geräte verfügen oft nicht über Updates, daher ist hier grundsätzlich Gefahrenpotential vorhanden. Die zunehmenden, gesammelten Datensätze werden dann interessant, sobald sie effektiv mit Gewinnpotenzial verkauft werden können. Dann ziehen Unternehmen daraus ihre Vorteile. So ist der Datenüberfluss, genau wie IoT, Fluch und Segen zugleich. Die beste Vorbereitung darauf ist Verhaltensänderung. Wir müssen andere Anforderungen an Geräte aufbauen. Gute Kamera oder viel Speicherplatz dürfen nicht wichtiger sein als eine langfristig abgesicherte Update-Verfügbarkeit. Es muss eine gewisse digitale Mündigkeit vorherrschen. Wenn man reflexiv mit den Daten und Medien umgeht, berücksichtige ich automatisch auch die Sicherheitsaspekte.
Anmerkung der Redaktion: Anders als in der Printversion dieses Interviews (am 27.09. in der FAZ als Sonderpublikation „Zukunft Sicherheit“ erschienen) genannt, kommt Herr Kalweit natürlich aus Hamburg und bei den genannten IoT- Designs handelt es sich selbstverständlich um IoT- Geräte.