Mikko Hypponen:"MacOS hat weniger Angriffe, aber Windows ist besser"

Mikko Hyyponen

Sicherheitsforscher Mikko Hyyponen ist eine der bekanntesten Persönlichkeiten der Branche.

(Foto: Mikko Hypponen)

Sicherheitsforscher Mikko Hypponen spricht über Malware auf der Raumstation ISS, Datenschutz bei Dropbox und erklärt, "warum Microsoft nicht mehr scheiße ist".

Von Hauke Gierow, Golem.de

Was genau ist eigentlich IT-Sicherheit? Die Frage klingt banal, aber die Antwort ist kompliziert. Wessen Sicherheit soll wann, wo und vor wem geschützt werden? Mikko Hypponen sollte es wissen. Er arbeitet seit 25 Jahren bei der finnischen Sicherheitsfirma F-Secure und leitet die Forschungsabteilung.

Hypponen ist seit vielen Jahren das öffentliche Gesicht des Unternehmens und auch für umstrittene Thesen zu haben. Im Interview erklärt er, wie sich die Sicherheitsindustrie seit den Snowden-Enthüllungen verändert hat, ob es eine gute Idee ist, Daten bei Dropbox und Onedrive zu speichern, und warum Windows 10 seiner Meinung nach besser ist als MacOS. Wir treffen Hypponen am Hauptsitz des Unternehmens in Helsinki.

Hat sich die Sicherheitsindustrie drei Jahre nach den Snowden-Enthüllungen verändert, Herr Hypponen?

Viele Dinge haben sich geändert. Wir sollten Snowden für sein Opfer dankbar sein. Er kann immer noch nicht nach Hause wegen der Opfer, die er für uns, die Nutzer des Internets, gebracht hat. Seine Enthüllungen haben auch praktische Veränderungen bewirkt: Viel mehr Daten werden jetzt verschlüsselt übertragen. Das ist eine direkte Folge der Snowden-Enthüllungen, weil Unternehmen wissen, dass unverschlüsselter Traffic von Geheimdiensten überwacht wird.

Wenn du eine Google-Suche machst, ist sie SSL-verschlüsselt (Anm d. Red.: SSL und TLS sind weit verbreitete Verschlüsselungsprotokolle für die Datenübertragung im Internet). Wenn du zu Facebook gehst, dann ist es SSL-verschlüsselt. Auch bei LinkedIn: SSL. Sogar das gottverdammte Yahoo hat auf SSL umgestellt. Auch der interne Datenverkehr von Unternehmen ist jetzt verschlüsselt.

Auf dem letzten Chaos Communication Congress hatte ich den Eindruck, dass Hacker sich nach dem Schock infolge der Snowden-Enthüllungen wieder vermehrt den alltäglichen Bedrohungen zuwenden. Was ist passiert?

Wir haben in den vergangenen Jahren nichts repariert. Ich glaube, die Überwachung ist der Status quo geworden. Die meisten Leute akzeptieren das einfach. Die USA überwachen das Internet, die meisten Daten und Dienste fließen durch die USA. Sie können sich alles anschauen. Wir werden niemals Rechte bekommen, weil wir keine US-Bürger sind. Es wird sich nicht ändern. Was wir sehen, ist Akzeptanz. Das ist natürlich nicht die ideale Situation, aber es ist auch Realität. Was sich geändert hat, ist die Zunahme von Verschlüsselung.

Nach den Snowden-Enthüllungen gibt es viele Diskussionen über die USA und über das Safe-Harbor-Abkommen. Aber sind andere Regierungen, auch in der EU, wirklich so viel besser?

Gute Frage. Wenn eine EU-Regierung in der gleichen Lage wäre wie die US-Regierung und ebenso eine dominante Rolle hätte wie die USA, würde sie diese Befugnisse missbrauchen? Möglicherweise schon. Was wäre, wenn es sich um Russland oder China handeln würde? Dann würden diese Länder die Macht womöglich noch deutlich stärker missbrauchen. Wenn wir also ein Land als dominantes Land im Netz aussuchen müssen, dann sind die USA vermutlich nicht die schlechteste Wahl. Sie missbrauchen ihre Macht, aber andere würden das vermutlich noch viel stärker tun. Die USA sind eine Art wohlmeinender Diktator.

Ich habe das Gefühl, dass die Sicherheitsindustrie, wenn sie etwas nicht erklären kann, gerne sagt: Nation State Attacker oder Advanced Persistent Threat (Anm. d. Red.: APT steht für besonderes aufwändige, zielgerichtet, lange andauernde Cyber-Attacken). Stimmt das? Die Begriffe sind sehr vage - was bedeuten sie für Sie?

Sie haben recht, das ist natürlich der leichte Ausweg. Wenn wir etwas sehen, das Sicherheitsfirmen nicht stoppen können, dann können wir dadurch unser Versagen erklären. Sie waren so gut. Sie hatten ein Budget von mehreren Millionen US-Dollar, mehreren Millionen Rubel, was sollen wir da schon tun? Aber es stimmt nicht immer. Es ist nicht immer "advanced", es ist nicht immer "persistent". Manche Angriffe funktionieren einfach, weil es Fehler im Sicherheitssystem gibt. Wir Sicherheitsleute sollten unser Versagen nicht kleinreden, indem wir den Angreifer größer machen, als er ist.

Aber gleichzeitig ist es auch richtig, dass Staaten eine immer größere Rolle im Internet spielen. Warum sind Regierungen an offensiven Cyberfähigkeiten interessiert? Weil sie funktionieren. Weil sie billig sind. Und weil man Cyberoperationen leugnen kann. Das ist eine großartige Kombination. Daher ist es keine Überraschung, dass Militär, Geheimdienste und Strafverfolgungsbehörden von offensiven Fähigkeiten Gebrauch machen. Ich glaube nicht, dass sich das bald ändern wird. Vielleicht müssen wir es einfach als eine Tatsache des Lebens akzeptieren.

Und trotzdem ist das natürlich etwas paranoid und schizophren, weil viele dieser Behörden, die heute die Überwachung durchführen, gegründet wurden, um die Sicherheit der Bürger besser zu beschützen. Nehmen wir zum Beispiel die Auseinandersetzung zwischen Apple und dem FBI. Punkte an Apple, dass es seine Nutzer beschützt hat. Aber auch Punkte für das FBI, weil es das iPhone ohne Apples Hilfe entsperrt hat.

Gutes Beispiel: US-Justizministerin Lorretta Lynch hat auf einer Konferenz für Cyber-Sicherheit gefragt, ob ein einzelnes Unternehmen bestimmen soll, wie die Zukunft der Strafverfolgung in den USA aussieht. Wie verändert sich das Verhältnis zwischen Staaten und der Privatwirtschaft im Internet?

Noch einmal: Punkte an das FBI, dass es das Gerät ohne Apples Hilfe geknackt hat. Ich glaube, wir alle wollen, dass das FBI Zugriff auf die Informationen eines Terroristen hat, wenn das den Ermittlungen hilft - aber ohne einen hohen Preis zu bezahlen. Dem FBI ist es gelungen, ohne Backdoor an die Informationen zu kommen. Keiner mag Backdoors. Es ist gut, dass es so geschafft wurde.

Aber was ist der Job des FBI? Es ist seine Aufgabe, die Sicherheit der US-Bürger zu schützen. Es gibt aktuell Hunderte Millionen US-Amerikaner, die ein verwundbares iPhone mit sich führen. Und jetzt hat das FBI - vermutlich - Zugriff auf eine Schwachstelle. Es weiß, wie man das iPhone knacken kann, sagt Apple aber nicht wie, so dass das Unternehmen die Lücke schließen könnte. Ist das nicht widersprüchlich?

Sind Daten bei Onedrive und Dropbox wirklich sicher?

Sicherheit wird traditionell von Staaten geregelt, doch in den vergangenen Jahren wurde Sicherheit immer mehr privatisiert, mit privaten Armeen wie Blackwater. Im Internet ist das andersherum: Dort war Sicherheit von privaten Akteuren dominiert, jetzt kommen die Staaten und wollen mitreden. Was wird sich verändern?

Das hätte geschichtlich anders laufen können. Es gab Regierungen, die bereits früh Antivirenprodukte entwickeln wollten, so wie sie auch Krankheiten und Epidemien bekämpfen. Die südafrikanische Regierung hatte in den 90er Jahren ein Projekt und wollte ein staatliches Antivirusprogramm schreiben. Aber es stimmt: Die meisten Akteure in diesem Feld sind privat. Regierungen wollen jetzt mehr Kontrolle ausüben. Regierungen haben nicht so früh verstanden, wie wichtig das Internet ist beziehungsweise werden wird. Heute ist das anders. Es wird sicher noch einige Auseinandersetzungen geben.

Was können Sicherheitsfirmen tun, um das Vertrauen der Nutzer zu gewinnen und zu behalten?

Wir haben eine ganz klare Linie: Wir nehmen keine politische Bewertung von Malware vor. Ich werde immer wieder gefragt, ob wir Regierungsmalware auf eine Whitelist setzen. Das tun wir nicht. Wir wurden auch nicht gefragt, weil wir da eine ganz klare Linie haben. Die haben nicht alle Sicherheitsfirmen.

Eine andere Sache, die auch wichtig ist und mit der Verantwortung von Sicherheitsfirmen zusammenhängt: Security-Produkte sammeln viele Daten. So schützen sie die Nutzer. Ein immer größerer Teil der Analyse findet in Cloud-Diensten der Sicherheitsfirmen statt, Informationen werden von der Workstation der Nutzer weitergeleitet.

Das ist eigentlich etwas widersprüchlich. Wir versuchen, die Sicherheit und Privatsphäre der Nutzer zu schützen. Aber wenn wir viele Informationen über dich an unsere Systeme schicken, dann verletzen wir eigentlich deine Privatsphäre. Nutzer sollten Sicherheitsfirmen daher fragen, welche Informationen sie sammeln und zu welchem Zweck. Wie sie die Daten verarbeiten. Wenige Unternehmen geben darüber bislang Auskunft. Und die Dienste, die kostenfrei sind, sammeln am meisten Informationen, einige verkaufen sie sogar an Werbeunternehmen.

Alle paar Tage versprechen neue Startups, Daten nur in Europa oder nur in Deutschland zu hosten. Hilft das der Sicherheit und der Privatsphäre der Nutzer?

Einerseits: ja. Immerhin ist dann klar, welchen Gesetzen die Firmen unterliegen. Aber es gibt weitere Fragen: Wie lange wird es diese Firma geben? Wird die Firma schnell von einem Unternehmen aus einem Land aufgekauft, das Nutzer vielleicht nicht so gut finden? Und: Ist sie kompetent? Diese kleinen Startups, von denen vorher noch niemand gehört hat, haben oft nicht das Know-how, die haben nicht die Erfahrung, die Daten ihrer Nutzer zu schützen.

Wir können über große Cloudspeicher wie Onedrive und Dropbox sagen, was wir wollen. Aber sie alle nehmen Sicherheit sehr ernst. Bislang gibt es keine Berichte über große Sicherheitslücken. Ja, die US-Regierung hat Zugriff auf die Daten. Aber wenn das nicht dein Problem ist, dann ist die praktische Sicherheit sehr hoch und möglicherweise besser als von einem Startup.

"Microsoft ist nicht mehr scheiße"

Sie haben in einem Vortrag gesagt: "Microsoft ist nicht mehr scheiße". Was hat das Unternehmen richtig gemacht?

Microsoft war scheiße, was die Sicherheit angeht. Aber die haben es geschafft, das zu ändern. Nach dem Blaster-Ereignis (Anm. d. Red. W32.Blaster/Lovsan war ein Computerwurm, der sich 2003 über eine Schwachstelle in Windows-Rechnern verbreitet) waren viele Kunden von Microsoft so sauer, dass etwas geschehen musste. Bill Gates hat einen offenen Brief über Trustworthy Computing geschrieben. Microsoft hat eine Codingpause gemacht. Über mehrere Monate haben die Leute dort nur ihren eigenen Code auf Schwachstellen hin durchsucht. Seitdem bauen sie Sicherheit langsam, aber sicher in ihre Produkte ein.

Windows 10 in der 64-Bit-Version hat zahlreiche spannende Features, das ist sehr gut. Es ist für Angreifer mittlerweile sehr schwer, das Betriebssystem anzugreifen. Wenn man Windows 10 mit der neuen Version von MacOS vergleicht, dann ist Windows besser, was die Sicherheit angeht. MacOS hat weniger Angriffe, aber Windows ist besser. Die Angreifer sind gezwungen auszuweichen. Sie greifen den Browser an, den PDF-Reader oder andere Programme. Nichts davon kommt von Microsoft.

Wir haben in letzter Zeit viele Malware-Angriffe an komischen Orten gefunden. In einem deutschen AKW wurde kürzlich der Computerwurm Conficker gefunden. Ist das ein Problem für die Infrastruktur?

Das waren größtenteils Unfälle. Wir haben sogar Malware auf der Raumstation ISS gesehen, weil Astronauten USB-Sticks mit in die Station genommen haben und dort nutzten. Ich glaube, es handelte sich um einen Bankentrojaner. Das machte nichts, weil keiner Bankgeschäfte vom All aus erledigt. Aber es ist ein gutes Beispiel, wie sich solche Malware verbreitet. Auch Forschungsstationen in der Antarktis wurden bereits mit Trojanern infiziert. Ob sie am Ende Schaden anrichten, ist dann eine ganz andere Frage.

Viele Geldautomaten laufen noch auf Windows XP, Sicherheitsfirmen warnen immer wieder. Ist das wirklich ein Problem?

Sie verwenden Windows XP Embedded und nicht die nicht mehr unterstützte Consumer-Variante. Das ist ein Unterschied, denn XP Embedded wird nach wie vor mit Updates versorgt. Ich wünsche mir, dass es bald stirbt, aber das wird wohl noch dauern. Es ist ein Problem, wenn Angreifer das zugrundeliegende System hacken können. Es gibt viele Möglichkeiten, die Sicherheit auf den Geräten zu brechen. Aber die meiste Malware auf Geldautomaten, mit der Geld gestohlen werden soll, bekommt den Zugang nicht über die Benutzeroberfläche, sondern über das Backend, die USB-Schnittstelle oder die Tastatur.

Hier in der Zentrale von F-Secure stehen überall Banner mit der Aufschrift: "Es gibt zwei Arten von Unternehmen: die, in die eingebrochen wurde und die, die es noch nicht wissen." Wurde F-Secure schon gehackt, oder wissen sie es nur noch nicht?

Wenn dein Netzwerk groß genug ist, dann kannst du nie sicher sein, dass alle Teile sicher sind. Uns ist kein größerer Einbruch bekannt. Aber unsere Webseite war schon mal down - ein Denial-of-Service-Angriff, das ist jetzt einige Jahre her. Wir wissen, dass wir ein Ziel sind. Von Regierungen, aber auch von privaten Aktivisten, die keine Sicherheitsfirmen mögen. Aber bislang ist uns nicht bekannt, dass es einen großen Einbruch gegeben hat.

Apropos Sicherheit von Antivirenfirmen: Was halten Sie von Tavis Ormandy, der für Googles Projekt Zero arbeitet und seit mehreren Jahren nach Sicherheitslücken in Antivirenprodukten sucht?

Er ist ein sehr talentierter Mensch. Manchmal etwas beängstigend. Er macht einen fantastischen Job, uns in der Sicherheitsindustrie immer wieder auf die Finger zu schauen. Und er findet fast immer Sicherheitslücken.

Hat er bei F-Secure welche gefunden?

Soweit ich weiß, bislang noch nicht. Aber ich bin mir sicher, er würde etwas finden.

Vielleicht sollten Sie ihn mal einladen?

Vielleicht!

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: