Sicherheitsexperte Beyerer Vorsprung durch Geheimniskrämerei

Sicherheitsforschung braucht die IT-Branche, klar - doch was, wenn Übeltäter erst dadurch auf gefährliche Ideen kommen? Der Informatiker Jürgen Beyerer plädiert dafür, so manche Ergebnisse geheim zu halten.

Von Wolfgang Stieler


Frage: Sie haben sich dafür ausgesprochen, dass auf dem Gebiet der Sicherheitsforschung manche Ergebnisse Verschlusssachen bleiben sollen. Warum?

Jürgen Beyerer: Ich habe angeregt, über dieses Thema explizit zu diskutieren. Wenn notwendige Forschung zum Schutz kritischer Infrastrukturen zunächst analytisch sicherheitsrelevante Schwachstellen identifiziert, könnten solche Informationen in falschen Händen zu einer inakzeptablen Gefährdung führen. Wenn man solche Informationen erzeugt, muss sichergestellt werden, dass sie nicht mehr schaden als nützen.

Frage: Welche Reaktionen hat dieser Vorschlag ausgelöst?

Jürgen Beyerer: Zum Teil auch negative Reaktionen. Bei denen, die diese Anregung aber nicht missverstanden haben, hat sie Nachdenklichkeit ausgelöst. Es ist nicht Sache der Wissenschaft, darüber zu entscheiden, bei welchen Themen der Sicherheitsforschung Geheimhaltung zu üben ist. Das muss von der Gesellschaft und der Politik festgelegt werden. Allerdings ist es die Pflicht der Wissenschaftler, darauf aufmerksam zu machen, wenn die offene Publikation bestimmter Forschung zu Gefährdungen führen würde.

Frage: Wer soll denn entscheiden – und nach welchen Kriterien –, welche Veröffentlichung unter Verschluss bleibt?

Jürgen Beyerer: Allen voran sollten die verantwortlichen Betreiber kritischer Infrastrukturen darüber entscheiden, falls sie solche Forschung durchführen beziehungsweise beauftragen. Ein Kriterium muss hierbei natürlich das Erreichen eines effektiv höheren Sicherheitsniveaus sein, wenn man die Ergebnisse unter Verschluss hält.

Frage: Wie gehen Sie mit Informationen um, die bereits veröffentlicht sind?

Professor Jürgen Beyerer: Fordert Geheimhaltung in der Sicherheitsforschung

Professor Jürgen Beyerer: Fordert Geheimhaltung in der Sicherheitsforschung

Jürgen Beyerer: Über die Ferndetektion von Sprengstoffen beispielsweise existiert jede Menge wissenschaftlicher Literatur, die in jeder Bibliothek zugänglich ist. Bei bereits publizierten Ergebnissen erübrigt sich die Diskussion; sie sind bereits Gemeinwissen. Es sei aber hier nochmals betont, dass es bei meinem Vorschlag nicht um die Anregung einer generellen Geheimhaltung von Ergebnissen aus der Sicherheitsforschung geht. Man muss aber immer kritisch prüfen, welches zusätzliche Risiko eine unüberlegte Streuung sensibler Kenntnisse und Erkenntnisse über kritische Infrastrukturen erzeugen kann. Für sicherlich den überwiegenden Teil der Sicherheitsforschung braucht man keine Geheimhaltung. Bei besonders sensiblen Fragestellungen jedoch tun die verantwortlichen Betreiber von kritischen Infrastrukturen gut daran, sich einen Wissensvorsprung zu sichern, der Sicherheit per se befördert oder aber Zeit verschafft, Schwachstellen zu eliminieren.

Frage: Wenn man davon ausgeht, dass beispielsweise die Publikation einer Analyse der Wasserversorgung Deutschlands die Sicherheit des Landes gefährdet, müsste das im Umkehrschluss doch heißen, dass es dort für Terroristen angreifbare Schwachpunkte gibt. Ist das tatsächlich so?

Jürgen Beyerer: Viele kritische Infrastrukturen, so auch die Wasserversorgungssysteme, sind zu Zeiten geplant und gebaut worden, in denen die Bedrohungsfrage eine andere war. Das impliziert fast automatisch, dass es aktuell Schwachstellen daran gibt.

Frage: Warum sind diese Schwachpunkte nicht längst beseitigt worden?

Jürgen Beyerer: Manche Schwachstellen findet man erst, wenn man aus gegenwärtiger Sicht eine systematische Risikoanalyse durchführt. Legt man damit die Schwachstellen offen, braucht man einen Wissensvorsprung, um Gegenmaßnahmen ergreifen zu können. Falls eine solche Abhilfe, aus welchen Gründen auch immer, nicht möglich ist, sollte der Wissensvorsprung so lange wie möglich aufrechterhalten werden.

Frage: Insbesondere in der Informationstechnologie wird schon länger über die Frage diskutiert, wie weit man Sicherheit durch Geheimhaltung überhaupt herstellen kann. Es gibt da eine relativ starke Schule, die sagt, security by obscurity funktioniert nicht. Was sagen Sie dazu?

Jürgen Beyerer: Das ist sicherlich richtig. Geheimhaltung kann nicht das alleinige Fundament der Sicherheit kritischer Infrastrukturen sein. Dennoch sollte man kein Dogma daraus machen, sondern sollte immer auch für Diskussionen über die Sinnfälligkeit von Geheimhaltung in sensiblen Fällen offen sein.

Frage: Wie ließe sich bei einer Geheimhaltung von kritischen Forschungsergebnissen sicherstellen, dass die Kontrolle der Arbeit durch die wissenschaftliche Community und die Politik weiterhin funktioniert?

Jürgen Beyerer: Sicherlich muss man für Sicherheitsforschung an besonders sensiblen Themen, deren Ergebnisse man einer breiten Öffentlichkeit nicht im Detail zugänglich machen möchte, Kontrollmechanismen festlegen, die wissenschaftliche Qualität und prinzipiell gesellschaftliche Akzeptanz sichern. Die Beteiligten bei der Sicherheitsforschung für kritische Infrastrukturen – Wissenschaftler, Betreiber kritischer Infrastrukturen, Bedarfsträger, Fördermittelgeber, öffentliche Auftraggeber und Politik – bilden auch selbst schon eine recht große Community, in der meines Erachtens sehr verantwortungsbewusst auch kritische Fragen, insbesondere Fragen der gesellschaftlichen Akzeptanz, diskutiert werden. Man sollte daher die Kontrollmechanismen innerhalb dieser Community nicht unterschätzen und auch darauf vertrauen.

Frage: Sehen Sie darin keine Gefahr einer Abschottung von der Außenwelt?

Jürgen Beyerer: Behandelt man das Thema in der geschilderten differenzierten Weise, sehe ich diese Gefahr nicht.

Wolfgang Stieler führte das Interview, auf Wunsch von Professor Beyerer per E-Mail.


© Technology Review, Heise Zeitschriften Verlag, Hannover



© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.