Er gehört zu den „Shootingstars" der IT-Wissenschaften. Das Helmholtz-Zentrum für Informationssicherheit, das Prof. Dr. Michael Backes gegründet hat, soll die weltweite Nummer eins der IT-Sicherheitsforschung werden. An Selbstbewusstsein mangelt es dem Kryptografie-Experten dabei nicht.
Herr Prof. Backes, wurden Sie schon mal gehackt?
(lacht) Das Hinterlistige am Hacken ist, dass Sie es meist gar nicht merken. Mit Sicherheit ist das schon mal passiert. Jeder fängt sich mal einen Virus ein, wenn Sie auch das als Hack bezeichnen möchten. Ich bin auch nicht gefeit davor. Ich benutze handelsübliche Hardware wie Sie auch, seien es Smartphones oder Laptops. Insofern kann es auch durchaus passiert sein. Vielleicht bin ich aber auch ein interessanteres Ziel als andere, das kann durchaus sein.
Haben Sie schon einmal jemand anderen gehackt? Rein beruflich natürlich.
So etwas sollte man im Studium unter kontrollierten Bedingungen einmal gelernt haben.
Nun gab es in den vergangenen Jahren immer wieder Meldungen darüber, dass Bundeseinrichtungen, Behörden, Ministerien und der Bundestag Ziel von Hackerangriffen wurden. Sind unsere Regierungsbehörden denn sicher genug?
Vieles ist reaktiv, das heißt, Angriffe so gut es geht abzuwehren. Wenn ein Angriff durchkommt, versucht man, ihn schnell zu erkennen und zu reagieren. Das ist der Stand auf Regierungsebene, man könnte es Best Practices nennen. Es gibt gute Virenscanner, gute Firewalls, eine gute Administration, die versucht, die IT up to date zu halten. Das klappt nicht immer, und das ist der Grund, weshalb mancher Cyberangriff durchkommt. Langfristig ist es natürlich nicht zufriedenstellend. Das ist keine Kritik, das ist der Status quo, auch außerhalb der Regierung, auch noch in Teilen der Forschung. Wenn wir dort weiterkommen wollen, brauchen wir also mehr Durchbrüche in der Forschung.
Das heißt, Sie arbeiten daran, die Sicherheitshürde unüberwindbar zu machen?
Eines unserer Forschungsgebiete ist es, eine Sicherheitsgarantie geben zu können, indem wir sagen: Wenn ihr dieses System benutzt, wird es diese und jene Form des Angriffes aufhalten, und das können wir euch beweisen. Dorthin müssen wir kommen, spätestens wenn Leib und Leben in Gefahr sind.
Was meinen Sie damit genau?
Zum Beispiel beim autonomen Fahren. Da können wir nicht sagen: Wir machen die Systeme so sicher, wie es geht, und dann schauen wir mal, ob ein Angriff gelingt oder nicht. Hier muss klar sein, dass das System auf Herz und Nieren geprüft und sicher ist.
Wie steht es um die Sicherheit der deutschen Wirtschaft?
Je nach Unternehmensgröße mal besser, mal weniger gut. Hier fehlt es an Know-how. Vor allem, je weiter das Unternehmen von klassischer IT entfernt ist. Umso höher ist die Chance, dass Sie veraltete Sicherheitssoftware finden, schlecht konfigurierte Firewalls oder gar keine.
Was ändert Ihre Forschung daran?
Unsere Ausgangslage wird sein, dass wir das größte Cybersicherheits-Forschungszentrum der Welt werden – mit einer Grundfinanzierung von mehr als 50 Millionen Euro plus Drittmittel. Was wir nicht machen, ist Auftragsforschung für die Wirtschaft. Wir sind kein Krisenmanager für alltägliche Probleme. Wir schauen uns die Probleme von morgen und übermorgen an. Das ist übrigens auch der Grund, warum große Unternehmen der Branche unsere Nähe suchen. Diese brauchen niemanden, der ihnen eine aktuelle Software programmiert. Aber sie fragen uns: Wie können wir unsere Betriebssysteme in Zukunft, in drei oder vier Jahren, sicherer machen? Wie kann ich im Kontext von maschinellem Lernen und Künstlicher Intelligenz vertrauenswürdige Entscheidungen vom Computer erwarten? Die Wirtschaft merkt: Sie braucht keine Lösungen, die in sechs Monaten obsolet sind. Ist die Sicherheit dann kompromittiert, ist der Vertrauensverlust am Markt gigantisch. Stattdessen blickt sie schon weiter in die Zukunft. Vor allem, je mehr es um Leben geht oder um von Algorithmen getroffene Entscheidungen, zum Beispiel im Gesundheitssystem, desto kritischer wird es, und desto wichtiger wird die Sicherheit. Und das geschieht hier durch disruptive Forschung, Kollaborationen und Start-ups.
Spitzenforschung made in Germany hat in Sachen Künstlicher Intelligenz zwar Früchte getragen, aber die Investitionen in den USA und China in diese Technologie sind immens. Soll das Cispa der Anlauf zur Weltspitze in der Cybersicherheitsforschung werden? Ist das der Anspruch des Bundes?
Mit unserem Exzellenzanspruch und unserer Grundfinanzierung bleibt keine andere Blickrichtung als die Weltspitze. Und ja, ich denke, der Bund hat den Anspruch, weltweit führend auf dem Gebiet der Cybersicherheitsforschung zu werden. Wir halten zwar in Sachen Künstlicher Intelligenz mit der Weltspitze mit, aber es gibt stärkere Standorte, die massiver in dieses Thema investieren. Die Bundesregierung hat in unserem Bereich verstanden, dass der „exzellente Weg" der richtige ist, den eigenen Weg zu gehen und dadurch die besten Köpfe auf sich aufmerksam zu machen. Es wird schwer für uns. Die USA sind ebenfalls sehr stark an diesem Thema interessiert. Und es sind dort die „üblichen Verdächtigen": Stanford, das MIT, Berkeley, Cornell, Maryland. Aber wir sind mit ihnen in der Cybersicherheit auf Augenhöhe. Wir unterhalten Partnerprogramme zum Beispiel mit Stanford, in denen wir Forscher untereinander austauschen – eine Adelung für uns.
Das Cispa soll im Saarland auch einen Strukturwandel mit herbeiführen. Wie ist die Ausgangslage für ein Zentrum mit dem Anspruch, einen Weltrang innezuhaben, derzeit, in einem Land mit schwieriger Haushaltslage?
Am Anfang hielten manche das für zu schnell geschossen. Ich finde das nicht. Wir sind ein Großforschungszentrum des Bundes. Die Landesregierung steht hinter uns. Warum soll es nicht möglich sein, dass wir den Strukturwandel im Land vorantreiben?
Meine Denke ist folgende: Das Cispa wirkt wie ein Kern, der immer wieder neue Menschen anziehen wird. Drumherum gruppieren sich Start-ups, Spin-offs aus dem Zentrum. Und das beginnt schon jetzt: Der Getriebehersteller ZF gründet mit uns ein gemeinsames Forschungs-Joint-Venture und bringt 100 Arbeitsplätze mit. Der IT-Sicherheitsdienstleister Symantec kam wegen uns hierher. Wir reden mit den großen IT-Firmen in Deutschland, Europa und in der Welt. Wenn nur einige von ihnen kommen, legen wir auf die 800 bis 1.000 neuen geplanten Arbeitsplätze noch mal eine Vielzahl drauf. Dazu kommt die sekundäre Peripherie. Wenn so viel Kaufkraft ins Land kommt, entstehen neue Arbeitsplätze im Handel, im Handwerk. Auf eine IT-Stelle, die meist hochbezahlt ist, kommen bis zu fünf Nicht-IT-Stellen. Wie in Stanford das Silicon Valley von heute entstand, sehen wir uns als Motor des Strukturwandels. Aber natürlich werden wir nicht die einzigen sein, die am Strukturwandel arbeiten.
Aber Sie brauchen die Rahmenbedingungen. Sie haben eine englischsprachige Schule gefordert und bekommen. Sie brauchen Wohnungen, Kitaplätze, eine Infrastruktur für den Alltag der Forscher neben ihrer Arbeit.
Die bekommen wir. Doch dafür muss das Land nicht viel Geld in die Hand nehmen. Die Ansiedlungen der Industrie kommen ja bereits. ZF hat seine Forschungsaktivitäten weltweit in Sachen Cybersicherheit abgezogen und bündelt sie nun bei uns. Wir brauchen einen kleinen Campus. Das neue Gebäude, in dem wir sitzen, stand schon und hat 14 Millionen Euro gekostet. Aber betrachten Sie das, was das Land zurückerhält: Die IHK berechnete in einer Studie einen Gewinn für das Land von rund 100 Millionen Euro und dies nur aus dem eigentlichen Cispa-Kern. Die internationale Schule war die einzige Forderung, die ich hatte. Was Wohnungen angeht, brauchen wir nur den Baugrund vom Land, denn wir haben bereits jetzt etliche Privatinvestoren, die darin investieren wollen. Und es wird Investitionen in unsere Spin-offs geben. Deshalb kommt es nicht darauf an, dass die Haushaltslage derzeit schwierig ist.
Bekommen Sie denn schon jetzt die „besten Köpfe" für das Zentrum, was ja Ihren Anspruch auf die Weltspitze unterstreichen würde?
Das ist schwierig mit ja oder nein zu beantworten. Hier konkurrieren wir bereits stark mit weltweit führenden Institutionen. Wir bekommen unglaublich gute Leute, die normalerweise nicht nach Deutschland kommen würden. Das kann man nicht hoch genug schätzen.
Wie sieht denn die Fachkräftesituation im Saarland, in Deutschland, für Ihre Ansprüche aus?
Wir brauchen mehr. Aber diesen Mangel wollen wir mit unserer Ausbildung beheben. Ich würde mir wünschen, dass auch das schulische System sich besser darauf einstellt. Es ist aus zwei Gründen inkonsequent: Da heißt es, wir leben in einer digitalen Welt und wollen unsere Kinder zu mündigen Bürgern erziehen. Das tun wir nicht hinreichend. Und ich meine nicht, den Konsum des Digitalen zu erklären. Den Jugendlichen heute muss niemand den Gebrauch von Facebook erklären. Aber man könnte ihnen erklären, wie es technisch funktioniert. Wie die digitale Welt funktioniert und wie man sie gestaltet. Hier hinkt das deutsche Schulsystem, im Gegensatz zum englischen oder US-amerikanischen. Wenn also das Bundesland, denn Bildung ist Ländersache, eine Verstärkung des IT-Sektors erreichen will, braucht es eine Verstärkung dieses Bereichs schon in der Schule. Dies wird die Kernkompetenz des 21. Jahrhunderts.
Durch die Digitalisierung steigt die Sorge vieler Menschen immer weiter an, dass sie keine Kontrolle mehr über ihre Daten besitzen. Was ist wertvoller: die Sicherheit meiner Daten, also meine Privatsphäre oder meine Daten zum Nutzen der Gesellschaft?
Diese Frage ist sehr schwierig zu beantworten. Ich glaube an den Fortschritt durch Daten. Keine Daten mehr zu sammeln, bedeutet, im internationalen Wettbewerb nicht mithalten zu können, denn andere werden es definitiv machen. Bestes Beispiel ist der medizinische Fortschritt, wo Daten gesammelt werden zum Nutzen für den Einzelnen. Sie können oft aber beides haben: Sicherheit und einen Nutzen. Ich müsste nicht zwangsweise dazwischen wählen. Neue Verfahren erlauben es zum Beispiel in der Medizin, mit den persönlichen Daten zu arbeiten, zu analysieren, Muster zu erkennen, aber über das Individuum, von dem Sie die Daten besitzen, nichts zu erfahren.
Können Sie das näher erklären?
Ganz plakativ: Sie haben die Daten verschlüsselt bekommen, besitzen aber einen cleveren Algorithmus, der die Analyse trotz Verschlüsselung durchführt und ein Ergebnis erhält. Sie erfahren aber nie mehr über den Patienten.
Das ist die Kunst guter Sicherheitsforschung: Wie nutzen Sie die Daten schnell, aber sicher und anonym? Oftmals geben Menschen Daten preis für ihren eigenen Komfort. Ich habe nichts dagegen, wenn sie das tun. Aber sie sollten es wissen, sie sollten die Konsequenzen einschätzen können. Eine unserer Forschungsrichtungen beschäftigt sich mit der Einschätzung davon, welche Auswirkungen es auf Sie hat, wenn Sie Ihre Daten preisgeben. Damit könnte der Mensch zumindest mündiger mit der Preisgabe von Daten umgehen. Schlimm finde ich es, wenn Menschen Daten preisgeben, ohne zu wissen, was sie tun – und was mit ihren Daten geschieht. Dann ist es keine mündige Entscheidung mehr.
Hier kommt die Frage ins Spiel: Wem gehören meine Daten? Nehmen wir das Beispiel autonomes Fahren: dem Fahrzeughalter, dem Fahrer, dem Autokonzern?
Das muss das Gesetz entscheiden. Technisch kann man nahezu alles umsetzen, die Frage aber stellt sich hier nach dem Konsens in der Gesellschaft. Egal, wie dieser sein wird: Wir müssen die Lösung dafür bereitstellen, dass er umgesetzt wird. Aus dieser Debatte halte ich mich heraus, informiere höchstens darüber, was technisch möglich ist.
Was ist derzeit technisch möglich? Wo konnten Sie Systeme in jüngster Zeit sicherer machen?
Einer unserer bekanntesten Fälle war die Zusammenarbeit mit dem FBI. 2014 wurde mithilfe von Forschern des Cispas ein riesiges Bot-Netzwerk in den USA analysiert und ausgeschaltet, von denen aus Cyberattacken gestartet wurden. Cispa-Forscher waren kürzlich ebenfalls daran beteiligt, Schwachstellen in der Sicherheitsarchitektur des Chipherstellers Intel zu finden, wo man durch spezifische Angriffe Informationen auslesen konnte.
Werden wir uns alle künftig auf verstärkte Cyberattacken einstellen müssen? Regierungen, das Militär, Wirtschaft und auch im Privaten?
Je vernetzter wir sind, desto mehr Möglichkeiten für einen Angriff bieten sich. Der Anreiz ist höher, technisch so viele Informationen wie möglich zu erlangen. Es wird schädliche Angriffe geben, Cyberkriegsführung, Erpressungen, Betrug. All das sehen wir jetzt schon. Auch wenn wir an der Sicherheit der IT-Systeme forschen: Es gibt keine Garantie, dass irgendwann nichts mehr schiefgeht. Die Fragen sind: Wie oft wird dies geschehen? Wie desaströs ist das Ereignis? Wir müssen Schadensbegrenzung betreiben. Vor allem in Deutschland, wo die Qualität der Produkte im Vordergrund steht. Werden diese digitaler, müssen sie auch sicherer werden. Denn sonst ist unser guter Ruf in der Welt dahin.