'Wir verletzen deine Privatsphäre'

Hypponen: Eine andere Sache, die auch wichtig ist und mit der Verantwortung von Sicherheitsfirmen zusammenhängt: Security-Produkte sammeln viele Daten. So schützen sie die Nutzer. Immer mehr der Analyse findet in Cloud-Diensten der Sicherheitsfirmen statt, Informationen werden von der Workstation der Nutzer weitergeleitet.

Das ist eigentlich etwas widersprüchlich. Wir versuchen, die Sicherheit und Privatsphäre der Nutzer zu schützen. Aber wenn wir viele Informationen über dich an unsere Systeme schicken, dann verletzen wir eigentlich deine Privatsphäre. Nutzer sollten Sicherheitsfirmen daher fragen, welche Informationen sie sammeln und zu welchem Zweck. Wie sie die Daten verarbeiten. Wenige Unternehmen geben darüber bislang Auskunft. Und die Dienste, die kostenfrei sind, sammeln am meisten Informationen, einige verkaufen sie sogar an Werbeunternehmen.

Golem.de: Alle paar Tage versprechen neue Startups, Daten nur in Europa oder nur in Deutschland zu hosten. Hilft das der Sicherheit und der Privatsphäre der Nutzer?

Hypponen: Auf eine Art: ja. Immerhin ist dann klar, welchen Gesetzen die Firmen unterliegen. Aber es gibt weitere Fragen: Wie lange wird es diese Firma geben? Wird die Firma schnell aufgekauft von einem Unternehmen aus einem Land, das Nutzer vielleicht nicht so gut finden? Und: Ist sie kompetent? Diese kleinen Startups, von denen vorher noch niemand gehört hat, haben oft nicht das Know-how, die haben nicht die Erfahrung, die Daten ihrer Nutzer zu schützen.

"Dropbox wurde bislang nicht gehackt"

Wir können über Onedrive und Dropbox und Ähnliche sagen, was wir wollen. Aber sie alle nehmen Sicherheit sehr ernst. Bislang gibt es keine Berichte über große Sicherheitslücken. Ja, die US-Regierung hat Zugriff auf die Daten. Aber wenn das nicht dein Problem ist, dann ist die praktische Sicherheit sehr hoch und möglicherweise besser als von einem Startup.

Golem.de: Sie haben in einem Vortrag gesagt: "Microsoft ist nicht mehr scheiße". Was hat das Unternehmen richtig gemacht?

Hypponen: Das stimmt. Microsoft war scheiße, was die Sicherheit angeht. Aber es hat geschafft, das zu ändern. Nach dem Blaster-Ereignis waren viele Kunden von Microsoft so sauer, dass etwas geschehen musste. Bill Gates hat im Jahr 2003 einen offenen Brief über Trustworthy Computing geschrieben. Microsoft hat eine Codingpause gemacht. Über mehrere Monate haben die Leute dort nur ihren eigenen Code auf Schwachstellen hin durchsucht. Seitdem bauen sie Sicherheit langsam, aber sicher in ihre Produkte ein.

"Windows ist sicherer als MacOS"

Windows 10 in der 64-Bit-Version hat zahlreiche spannende Features, das ist sehr gut. Es ist für Angreifer mittlerweile sehr schwer, das Betriebssystem anzugreifen. Wenn man Windows 10 mit der neuen Version von MacOS vergleicht, dann ist Windows besser, was die Sicherheit angeht. Mac hat weniger Angriffe, aber Windows ist besser.

Die Angreifer sind gezwungen auszuweichen. Sie greifen den Browser an, den PDF-Reader oder andere Programme. Nichts davon kommt von Microsoft.

"Niemand erledigt Bankgeschäfte im All"

Golem.de: Wir haben in letzter Zeit viele Malware-Angriffe an komischen Orten gefunden. In einem deutschen AKW wurde Conficker gefunden. Ist das ein Problem für die Infrastruktur?

Hypponen: Das waren größtenteils Unfälle. Wir haben sogar Malware auf der Raumstation ISS gesehen, weil Astronauten USB-Sticks mit in die Station genommen haben und dort nutzten. Ich glaube, es handelte sich um einen Bankentrojaner. Das machte nichts, weil keiner Bankgeschäfte vom All aus erledigt. Aber es ist ein gutes Beispiel, wie sich solche Malware verbreitet. Auch Forschungsstationen in der Antarktis wurden bereits mit Trojanern infiziert. Ob sie am Ende Schaden anrichten, ist dann eine ganz andere Frage.