F-Secure im Interview: "Microsofts größter Kunde ist auch sein schlimmster Feind"
Der Chief Research Officer von F-Secure kommt allein zum Interview. Das ist ungewöhnlich, denn solche Gespräche finden in der Regel unter der Aufsicht von mindestens einem PR-Aufpasser statt. Der 44-jährige Finne, der seit 1991 für den Antivirenhersteller F-Secure arbeitet, macht sich aber nach Aussagen wie " Das Internet ist eine US-Kolonie " schon lange keine Sorgen um Kritik mehr und legt sich auch schon mal mit Twitter an(öffnet im neuen Fenster) .
Wir treffen Mikko Hypponen auf der Cebit 2014 kurz vor seinem Vortrag zum Wettrüsten bei Cyberwaffen(öffnet im neuen Fenster) , was aber nicht das einzige Thema unseres Gesprächs bleiben sollte. Auch die Art der Terminvereinbarung entsprach dabei nicht der Norm. Da der genaue Ort des Treffens vorab nicht ausgemacht war, ruft Hypponen seinen Interviewer zum vereinbarten Zeitpunkt kurzerhand vom privaten Handy aus an: "Wo bist du?" , fragt Mikko knapp. Als die Koordinaten ausgetauscht sind, meint der Finne trotz seiner bevorstehenden Rede und derem ernsten Thema noch: "Lass dir ruhig Zeit, wir hängen hinterher ein paar Minuten dran. Die Sonne ist gerade so schön."
Golem.de: Mikko, du hältst heute auf der Cebit einen Vortrag über Regierungsmalware. War das deine Idee, oder bat dich die Cebit um dieses Thema?
Mikko Hypponen: Die Messe wollte generell etwas über Security, also habe ich mir etwas überlegt, das gerade aktuell ist. Aber das war schon vor Monaten, doch das Thema ist ja immer noch auf der Tagesordnung. Dank Edward Snowden werden wir auch noch jahrelang darüber reden. Vor seinen Enthüllungen hatten wir nur so eine Art Alpträume über das, was da vielleicht laufen könnte. Keiner hatte aber Fakten, und die haben wir jetzt.
Golem.de: Einige Fakten gab es aber davor schon, zum Beispiel durch die Entdeckung der ersten Staatstrojaner.
Hypponen: Du meinst, Malware von Ermittlungsbehörden? Stimmt, die gab es. Aber das ist eine etwas andere Sache, denn es geht ja nicht nur um Strafverfolger oder Geheimdienste, die Malware schreiben, es gibt da ja auch noch das Militär. Wir haben also drei Bereiche, in denen Staaten Malware entwickeln und Cyberattacken durchführen.
Golem.de: Wie hat sich die Wahrnehmung davon durch Snowdens Material verändert?
Hypponen: Die Existenz von staatlichen Schadprogrammen nimmt heute jeder als gegeben an, und das hat sich sehr schnell verändert. Noch vor wenig mehr als zehn Jahren gab es solche Programme nämlich gar nicht. Das liegt daran, dass die Regierungen nur sehr langsam die Bedeutung des Internets erkannt haben. Das Web gibt es nun seit etwa 20 Jahren. Die Webseite von F-Secure ging im April 1994 online, und damals waren wir die siebzehnte Site in Finnland, alle anderen waren zum größten Teil von Universitäten.
Golem.de: Und diese beginnende Kommerzialisierung interessierte die Regierung nicht?
Hypponen: Natürlich nicht. Das Web wuchs, und wurde weiter ignoriert. Erst vor etwa zehn Jahren nahmen die Regierungen das Web wahr und erkannten, dass es die Art beeinflusst, wie Menschen denken, und es tatsächlich einen Machtfaktor darstellt. Seitdem versuchen Regierungen, Kontrolle über das Internet zu bekommen und es für ihre Zwecke zu nutzen. Wir haben das bei dem Drama um die ITU im vergangenen Jahr gesehen, und bei der Zunahme von Ermittlungen im Internet - und zwar nicht nur bei technischen Verbrechen, sondern auch bei anderer Kriminalität.
'Cyberwaffen sind billig, effektiv und gut zu verleugnen'
Golem.de: Wie haben sich die beiden anderen Bereiche, die du vorhin erwähnt hast, da entwickelt?
Hypponen: Die Geheimdienste setzen das Internet nicht mehr nur für zielgerichtete Spionage, sondern auch für globale Überwachung ein. Und das Militär will das Internet in künftigen Kriegen einsetzen. Der Unterschied zwischen Geheimdiensten und Militär liegt dabei darin, dass die Spione nur Informationen sammeln. Armeen dagegen wollen mit den Daten Dinge zerstören oder beeinflussen. Wäre Stuxnet während eines Krieges zwischen den USA und Israel mit dem Iran genutzt worden, so wäre das eine Kriegshandlung gewesen. Da es damals keinen Krieg gab, bezeichnen wir das als Cybersabotage, aber es ist ein gutes Beispiel dafür, wie mit IT-Attacken tatsächlicher physischer Schaden verursacht wird.
Golem.de: War Stuxnet wirklich der entscheidende Einschnitt?
Hypponen: Ja, denn dadurch wurden viele andere Armeen aufgeschreckt, als sie sahen, was Stuxnet tat. Es war sehr erfolgreich, erreichte genau was es sollte, nämlich das iranische Atomprogramm zu verzögern. Dabei blieb es viele Jahre unentdeckt, und das war für uns als Securityunternehmen schon peinlich - wir haben es völlig übersehen.
Golem.de: Worin liegen die Vorteile einer Cyberwaffe im Vergleich zur konventionellen Kriegsführung?
Hypponen: Sie sind billig, effektiv und auch noch gut zu verleugnen. Seitdem gibt es dabei ein Wettrüsten, das steht aber erst ganz am Anfang. Man muss nur betrachten, wie sehr sich die Kriegsführung seit dem Zweiten Weltkrieg verändert hat. Damals kämpfte man vor allem mit Gewehren und Panzern, heute sind es Drohnen, Kampfjets und Flugzeugträger. Da fand also ein Umbruch der Techniken statt. Jetzt folgt der nächste Umbruch, weg von der rein physischen Kriegsführung, und den nennen wir Cyberkrieg.
Golem.de: Das klingt, als fändest du den Begriff nicht gerade ideal.
Hypponen: Cyberkrieg, Cyberwaffen, computerbasierte Attacken - es gibt noch kein passendes Wort dafür. Manche Leute nennen es auch Onlinekrieg, aber Stuxnet ist ein gutes Beispiel, warum das nicht den Kern der Sache trifft: Stuxnet war keine Onlineattacke, es hat nicht versucht, sich über Netzwerke zu verbreiten, es hat auch überhaupt nicht über das Internet gearbeitet, weil das Ziel gar nicht online war. Also fehlt uns noch der Begriff, wir nennen alles Cyber, und mir gefällt das nicht, aber es ist halt die gängige Bezeichnung.
'Wir wollen keine White Lists und keine Backdoors'
Golem.de: Die Nutzer befürchten, dass es Securityunternehmen verboten sein könnte, solche Programme zu entdecken - so wie es jetzt schon Schnittstellen in Netzwerkgeräten gibt, welche die sogenannte " lawful interception(öffnet im neuen Fenster) " ermöglichen sollen.
Hypponen (seufzt): Im Moment ist die Rechtslage ganz klar: In Finnland hat die Regierung kein Recht dazu, selbst wenn sie es noch so sehr wollte. Wir haben öffentlich gesagt, dass wir das nicht tun wollen. Wenn die Gesetze sich ändern, sind uns die Hände gebunden. Die Gesetze ändern sich gerade in vielen verschiedenen Ländern, auch in Finnland gibt es Initiativen dazu. Ich habe mich erst in der vergangenen Woche mit finnischen Strafverfolgungsbehörden getroffen, die das wollen. Dabei habe ich sehr klar betont, dass wir das nicht haben wollen. Wir wollen keine Backdoors. Wir wollen keine White Lists für Regierungsmalware. Wir genießen nämlich jetzt noch Vertrauen.
Golem.de: Ist das nur in Finnland so?
Hypponen: Wenn man sich Europa im Ganzen betrachtet und die Fragen stellt: Welche Securityunternehmen gibt es, kann man ihnen vertrauen, haben sie White Lists, Backdoors, oder gehen sie mit Benutzerdaten nicht sorgsam um, dann kann man die Firmen nach ihren Standorten in verschiedene Gruppen einsortieren. Man muss dabei weitere Fragen stellen: Sind sie im Westen, oder im Osten? Befinden sie sich in einem Land, das Mitglied der Nato ist? Oder in einem unabhängigen Land?
Golem.de: Es geht also zunehmend um die politische Neutralität?
Hypponen: In Europa gibt es sehr wenige Länder, die man wirklich als unabhängig bezeichnen kann. Finnland, Schweden und die Schweiz sind die offensichtlichen. Finnland ist in der Europäischen Union, die Schweiz nicht. Und, kommen aus diesen Ländern Securitylösungen? Gar nicht mal so viele, wir sind mit F-Secure eines der wenigen solcher Unternehmen. Im Moment betrachten wir unsere geografische Lage als Vorteil für unsere Geschäfte, weil wir auf Fragen wie die ihre gute Antworten geben können. Ich versuche, unseren Gesetzgebern klarzumachen, dass wir das nicht aus dem Fenster werfen sollten. Finnland hat für ein Land mit nur 5 Millionen Einwohnern eine ziemliche große Securityindustrie, es gibt neben F-Secure viele andere Unternehmen, wie beispielsweise SSH und auch Cloud-Anbieter.
Golem.de: Deren Rechenzentren scheinen in Finnland ja derzeit geradezu aus dem Boden zu wachsen.
Hypponen: Ja, wir haben schon Anlagen von Google und Yandex. Bei Googles wirklich großem Rechenzentrum muss man sich dabei nicht mal Gedanken um die Kühlung machen, denn das wird mit dem immer kühlen Meereswasser erledigt. Auch deshalb liegt es am Baltischen Meer, was aber auch noch einen anderen Grund hat: Es ist nicht nur für skandinavische Kunden vorgesehen, sondern für Russland. In Russland selbst wollte es Google aber nicht bauen, also haben sie es 50 Kilometer von der Grenze in Finnland errichtet.
'Keine Antwort von Symantec und McAfee'
Golem.de: Wie sollten sich denn Securityunternehmen in der ändernden politischen Landschaft das Vertrauen der Nutzer sichern?
Hypponen: Dazu gibt es schon mehrere Initiativen, eine davon war der offene Brief von Bits of Freedom(öffnet im neuen Fenster) aus dem Oktober 2013. Darin wurden Antivirenhersteller die gleichen Fragen wie in unserem Gespräch gestellt. Ich habe vor zwei Wochen Bits of Freedom um das Ergebnis der Aktion gebeten. Wer hat denn gesagt, dass er Staatstrojaner nicht erkennen würde, wer erkennt sie, und wer hat gar nicht geantwortet, sind da die entscheidenden Fragen. Der Brief ging an 18 Unternehmen. Beantwortet haben ihn 9 Firmen, und alle gaben an, dass sie Regierungsmalware erkennen. Zu den Firmen, die nicht geantwortet haben, gehören Symantec und McAfee.
Golem.de: Beides US-amerikanische Unternehmen.
Hypponen: Stimmt, aber es wurden drei US-Firmen angeschrieben, die dritte ist Microsoft. Und die haben auch geantwortet, was aber noch nicht veröffentlicht wurde. Auch sie gaben an, Regierungsmalware zu erkennen, die Art der Antwort war aber anders als unsere. Wir haben das in ein paar Absätzen zusammengefasst, Microsoft brauchte zwei ganze Seiten voller Juristenjargon. Unterschrieben war das von Scott Charney. (Anm. d. Red.: Der Jurist Charney(öffnet im neuen Fenster) ist Microsofts Vizepräsident für Trustworthy Computing und kümmert sich um alle Fragen der Sicherheit und des Datenschutzes.)
Golem.de: Microsoft steht da durch die ersten Enthüllungen zu Prism aber auch unter besonderem Druck.
Hypponen: Genauso wie Google, und das Verrückte daran ist ja, wie sich deren Situation geändert hat: Erst mussten sie sich gegen Angriffe von Kriminellen wehren, dann gegen fremde Regierungen. Und jetzt kommen die schlimmsten Attacken von ihrer eigenen Regierung. Wer ist denn der größte Kunde von Microsoft? Die US-Regierung. Ihr größter Kunde ist also ihr schlimmster Feind. Das ist eine richtig paranoide Situation.
Golem.de: Der erste voll analysierte Staatstrojaner war 0zapftis, den der CCC entdeckt hatte. Dabei stellte sich heraus, dass die Software technisch sehr schlecht gemacht war. Hast du dafür eine Erklärung?
Hypponen: Das Unternehmen, das den bei uns übrigens R2D2 genannten Trojaner programmiert hat, hatte keine Erfahrung mit Malware. Es gibt nur sehr wenige Firmen, die hauptsächlich Malware schreiben. Außerdem müssen Behörden öffentliche Aufträge immer ausschreiben und dann an den billigsten Anbieter vergeben, und dafür bekommen sie dann auch die billigste Qualität. Aber lass mich die Frage bitte umdrehen: Das eigentlich Überraschende ist, dass auch sehr weit entwickelte Regierungsmalware aufgetaucht ist wie Red October, Flame, Stuxnet und The Mask zum Beispiel.
Golem.de: Was wundert dich daran?
Hypponen: Normalerweise verzögern sich Regierungsprojekte meistens, und sie halten fast nie ihr Budget ein. Nimm nur den Berliner Flughafen als Beispiel. Woher kommt dann auf einmal so viel Regierungsmalware von Weltklasse?
Golem.de: Ich würde sagen, das liegt an den sehr großen Budgets dafür.
Hypponen: Da hast du völlig recht, insbesondere die USA geben viel dafür aus, und sind dabei die weltweit Besten. Betrachtet man das Budget der USA für Verteidigung und die Geheimdienste zusammen und nimmt an, dass nur ein kleiner Teil davon in solche Entwicklungen fließt - dann ist das ein Riesenhaufen Geld.
Golem.de: Die Investitionen sind so hoch, dass die NSA im Ansatz von "full take" den gesamten Internetverkehr einiger Tage speichern kann. Hättest du das vor den Enthüllungen von Edward Snowden für möglich gehalten?
Hypponen: Das hätte ich nicht gedacht. Ich glaube aber nicht, dass die alles mitschneiden, sondern zum Beispiel Torrent-Traffic und Videostreams auslassen. Deren Fähigkeiten sind bemerkenswert und besser als ich es mir vorgestellt hatte.
'Ich will wissen, wie viele Mitbürger überwacht werden'
Golem.de: Können denn die nun von der US-Regierung erlaubten Transparenzberichte neues Vertrauen bei den Anwendern schaffen?
Hypponen: Ich denke schon. Wir sollten solche Berichte von viel mehr Unternehmen einfordern, nicht nur von den ganz großen Konzernen wie Google, Facebook und Apple. Es gibt auch Transparenzberichte von Securityunternehmen wie unserem oder auch von Lookout, und ich finde, alle Firmen dieser Branche sollten das tun. Selbst wenn darin dann steht, "es gibt nichts zu berichten" , sollte man das veröffentlichen. Das würde ich wirklich gerne sehen. Vor allem bei den Anfragen von Strafverfolgungsbehörden sollten die Berichte aber noch viel detaillierter sein.
Golem.de: Welche Daten sollten denn zusätzlich zu der Zahl der Anfragen enthalten sein?
Hypponen: Nimm R2D2 als Beispiel. Viele europäische Länder ermitteln mit Malware. Dazu gibt es aber keinerlei Transparenz: Welche Länder tun es? Wie oft? Wie erfolgreich sind die Ermittlungen? Als Bürger sollten wir das wissen. Ich möchte erfahren, wie oft die Polizei in meinem Land im letzten Jahr meine Mitbürger infiziert hat, und in wie vielen Fällen diese Personen schuldig oder unschuldig waren. Wenn die meisten schuldig waren, ist das vielleicht ein geeignetes Mittel und die Behörden sollten das Recht dazu haben. Wenn aber die meisten unschuldig waren, sollte man ihnen dieses Recht entziehen. Wir können als Bürger aber diese Entscheidung nicht fällen, wenn wir diese Informationen nicht haben.
Golem.de: Wer soll das einfordern? Bürgerrechtler wie beim CCC oder der EFF in den USA?
Hypponen: Die EFF arbeitet immerhin weltweit. Viele dieser Initiativen, auch der CCC oder die Piratenparteien, werden aber noch nicht so ernst genommen, wie es bei etablierteren Organisation der Fall wäre. Zudem: Wenn man eine Stellungnahme von der EFF liest, muss man immer daran denken, dass da eine libertäre Grundhaltung(öffnet im neuen Fenster) dahintersteckt. Sie sind mit ihren Meinungen ziemlich extrem, leisten aber dennoch wichtige Arbeit, und ich unterstütze sie auch dabei. Erst vor zwei Wochen habe ich bei einer Spendenveranstaltung der EFF eine Rede gehalten.
Golem.de: Es gibt aber gerade in der Politik auch Meinungen, die ins andere Extrem umschlagen.
Hypponen: Wir brauchen mehr Politiker, die etwas von IT verstehen. Das ist ein leicht zu lösendes Problem, wir brauchen dazu nur etwas Zeit. Die nächste Generation wird da viel besser dastehen. Aber wie ist es denn jetzt? Wie viele IT-Experten gibt es im deutschen Parlament?
Golem.de: Schwer zu sagen, zumindest hat jede Fraktion einen netzpolitischen Sprecher, und nach einer Enquetekommission gibt es nun einen festen Internetausschuss mit 16 Mitgliedern.
Hypponen: Das ist doch großartig, und bestätigt meinen bisherigen Eindruck. Im europäischen Vergleich dürfte Deutschland damit ziemlich einzigartig sein. Es ist nicht gerade typisch, auch IT-Experten im Parlament zu haben. Im finnischen Parlament gab es einen echten Geek, den ich auch kannte. Aber bei der letzten Wahl traten zwei gegeneinander an, was dazu führte, dass keiner von beiden einen Sitz erhielt.
Golem.de: Mikko, vielen Dank für das Gespräch.