Besondere Sicherheitsrisiken sieht der Dresdner Sicherheitsexperte unter anderem auf dem Forschungsgebiet der so genannten Ambient Intelligence, auch Ubiquitous Computing genannt. Hinter beidem versteckt sich die Vision winziger, digital vernetzter, kommunizierender und für die Umgebung hochgradig empfindlicher Mikrochips, für deren Forschung und Entwicklung auf europäischer Ebene zweistellige Millionenbeträge investiert werden. Andreas Pfitzmann:
"Alles was im Bereich Ubiquitous Computing läuft – solch eine Welt ist natürlich einerseits der Himmel, weil dann alle Leute die Umgebung bekommen, die sie gerne möchten. Aber in einer Welt voller Konflikte, wo ja Leute auch gerne mich ausspionieren möchten, mich manipulieren wollen, ist natürlich so etwas ein Alptraum."
Für größtmögliche Sicherheit beim Surfen im Internet sorgen so genannte multilaterale Mixer, das sind Anonymitäts-Systeme mit mehreren unabhängigen Netzknoten. Mit AN.ON aus Dresden zum Beispiel entsteht gerade ein solcher Anonymitätsdienst, dessen Basis viele unabhängige Netzknoten sind, so genannte Mix-Proxies. Über diese läuft die Internet-Kommunikation verschlüsselt ab. Mit AN.ON bleibt auch den Providern oder Lauschern auf den Leitungen verborgen, wer was im Internet macht. Das Projekt wird vom Bundesministerium für Wirtschaft und Technologie gefördert. Strafverfolger beißen sich an AN.ON die Zähne aus.
"Wenn Sie jetzt einen Proxy haben, den betreibt die Technische Universität Dresden, dann haben Sie noch einen Proxy in Brasilien, sie haben noch einen Proxy, den betreibt die PDS in Berlin, und jetzt wollen Sie aufklären, dann brauchen Sie die Kooperation von allen Dreien. Sie bräuchten also nicht nur nach deutschem Recht eine Befugnis, jetzt festzustellen, wer kommuniziert mit wem? Es müsste auch nach brasilianischem Recht zulässig sein. Und auf die Art wird dann die Anonymität, von den Leuten die diese Sorte Anonymisierungsdienst nutzen, viel besser, viel robuster geschützt als wenn Sie nur über einen Proxy gehen. So einen Dienst haben wir in Dresden zusammen mit Kollegen in Regensburg und Kiel programmiert. Das betreiben wir. Das kann man nutzen. "
Ebenso Verschlüsselung, die Enkryption, und das besonders effektive Verbergen von Verstecktem im Verschlüsselten, die Steganografie. Staatliche Überwachungsbehörden hätten bei konsequenter Anwendung dieser Technologien wenige Chancen, Personen oder Gruppen auszuspionieren. Sie müssten sich auf konventionelle kriminalistische Techniken beschränken.
"Das ist dann aufwändig. Da müssten Sie also jetzt sozusagen nahe dran an denjenigen, den Sie beobachten wollen, was Missbrauch unter Kontrolle hält, weil Sie können jetzt nicht Massenüberwachung machen. Dafür haben Sie einfach das Personal nicht. Und das ist in der Hinsicht eine schöne Maßnahme - es gibt Richtmikrofone, es gibt Wanzen und so weiter. Wir entwickeln ja auch in Dresden Steganografie. Und wir wurden immer mal wieder auch von russischen Banken angesprochen, ob wir da nicht entsprechende Tools hätten, verkaufen könnten. Also es gibt sicherlich für diesen Bereich einen Markt."
Freilich sind die Sicherheitserwartungen, die man an vorhandene Technologien und Produkte richten darf, als stark unterschiedlich einzustufen. Den anspruchsvollen Verschlüsselungsalgorithmen, die die Kryptographie bietet, verleiht Pfitzmann insgesamt das Prädikat "sehr gut", ihre konkreten Software-Produkte auf dem Markt bewertet er aber gerade mal als akzeptabel. Die Steganographie sei zwar gut erforscht, habe aber bisher nur unzureichende Produkte geliefert. Digitale Pseudonyme hätten sich als hervorragend erwiesen, die Produkte seien aber nur als "akzeptabel". Besonders fragwürdig sei die Integration aller Sicherheitstechnologien: Diese erreiche lediglich Prädikate von "sehr schlecht" bis gerade mal "akzeptabel" – sowohl im Praxistest als auch in der Theorie. Gleiches gelte für die Sicherheit der Betriebssysteme. Besonders schwach seien unter anderem XP Home, MacOS 9 und PalmOS. Linux hält Andreas Pfitzmann für relativ sicher, aber die Open Source Community kritisiert er auch:
"Man muss auch zugeben, dass ist die schöne Eigenschaft bei Open Source: jeder kann sich den Quellcode anschauen und selbst übersetzen, was jetzt mitnichten bedeutet, dass ihn sich auch jetzt jeder anschaut. Diese Open Source Community plus die klassische Sicherheitsevaluierung von Systemen, das muss zusammenwachsen."
"Alles was im Bereich Ubiquitous Computing läuft – solch eine Welt ist natürlich einerseits der Himmel, weil dann alle Leute die Umgebung bekommen, die sie gerne möchten. Aber in einer Welt voller Konflikte, wo ja Leute auch gerne mich ausspionieren möchten, mich manipulieren wollen, ist natürlich so etwas ein Alptraum."
Für größtmögliche Sicherheit beim Surfen im Internet sorgen so genannte multilaterale Mixer, das sind Anonymitäts-Systeme mit mehreren unabhängigen Netzknoten. Mit AN.ON aus Dresden zum Beispiel entsteht gerade ein solcher Anonymitätsdienst, dessen Basis viele unabhängige Netzknoten sind, so genannte Mix-Proxies. Über diese läuft die Internet-Kommunikation verschlüsselt ab. Mit AN.ON bleibt auch den Providern oder Lauschern auf den Leitungen verborgen, wer was im Internet macht. Das Projekt wird vom Bundesministerium für Wirtschaft und Technologie gefördert. Strafverfolger beißen sich an AN.ON die Zähne aus.
"Wenn Sie jetzt einen Proxy haben, den betreibt die Technische Universität Dresden, dann haben Sie noch einen Proxy in Brasilien, sie haben noch einen Proxy, den betreibt die PDS in Berlin, und jetzt wollen Sie aufklären, dann brauchen Sie die Kooperation von allen Dreien. Sie bräuchten also nicht nur nach deutschem Recht eine Befugnis, jetzt festzustellen, wer kommuniziert mit wem? Es müsste auch nach brasilianischem Recht zulässig sein. Und auf die Art wird dann die Anonymität, von den Leuten die diese Sorte Anonymisierungsdienst nutzen, viel besser, viel robuster geschützt als wenn Sie nur über einen Proxy gehen. So einen Dienst haben wir in Dresden zusammen mit Kollegen in Regensburg und Kiel programmiert. Das betreiben wir. Das kann man nutzen. "
Ebenso Verschlüsselung, die Enkryption, und das besonders effektive Verbergen von Verstecktem im Verschlüsselten, die Steganografie. Staatliche Überwachungsbehörden hätten bei konsequenter Anwendung dieser Technologien wenige Chancen, Personen oder Gruppen auszuspionieren. Sie müssten sich auf konventionelle kriminalistische Techniken beschränken.
"Das ist dann aufwändig. Da müssten Sie also jetzt sozusagen nahe dran an denjenigen, den Sie beobachten wollen, was Missbrauch unter Kontrolle hält, weil Sie können jetzt nicht Massenüberwachung machen. Dafür haben Sie einfach das Personal nicht. Und das ist in der Hinsicht eine schöne Maßnahme - es gibt Richtmikrofone, es gibt Wanzen und so weiter. Wir entwickeln ja auch in Dresden Steganografie. Und wir wurden immer mal wieder auch von russischen Banken angesprochen, ob wir da nicht entsprechende Tools hätten, verkaufen könnten. Also es gibt sicherlich für diesen Bereich einen Markt."
Freilich sind die Sicherheitserwartungen, die man an vorhandene Technologien und Produkte richten darf, als stark unterschiedlich einzustufen. Den anspruchsvollen Verschlüsselungsalgorithmen, die die Kryptographie bietet, verleiht Pfitzmann insgesamt das Prädikat "sehr gut", ihre konkreten Software-Produkte auf dem Markt bewertet er aber gerade mal als akzeptabel. Die Steganographie sei zwar gut erforscht, habe aber bisher nur unzureichende Produkte geliefert. Digitale Pseudonyme hätten sich als hervorragend erwiesen, die Produkte seien aber nur als "akzeptabel". Besonders fragwürdig sei die Integration aller Sicherheitstechnologien: Diese erreiche lediglich Prädikate von "sehr schlecht" bis gerade mal "akzeptabel" – sowohl im Praxistest als auch in der Theorie. Gleiches gelte für die Sicherheit der Betriebssysteme. Besonders schwach seien unter anderem XP Home, MacOS 9 und PalmOS. Linux hält Andreas Pfitzmann für relativ sicher, aber die Open Source Community kritisiert er auch:
"Man muss auch zugeben, dass ist die schöne Eigenschaft bei Open Source: jeder kann sich den Quellcode anschauen und selbst übersetzen, was jetzt mitnichten bedeutet, dass ihn sich auch jetzt jeder anschaut. Diese Open Source Community plus die klassische Sicherheitsevaluierung von Systemen, das muss zusammenwachsen."