Am Potsdamer Hasso-Plattner-Institut, HPI, war letzten Montag ein neutrales wissenschaftliches Forum, für mehr als 300 internationale Nutzer und Anbieter von IT-Sicherheitstechnik, vornehmlich aus Politik, Wirtschaft und Verwaltung. Mit dabei auch Sicherheitsbehörden, wie Bundeskriminalamt und Verfassungsschutz. Seit Entdeckung der NSA- und GCHQ-Spähangriffe sei das Interesse an Cybersicherheit kritischer Netz-Infrastrukturen um fast das Doppelte gestiegen, sagten die Veranstalter. Für Studierende des Instituts eine gute Gelegenheit, eigene Sicherheitslösungen zu präsentieren. Mit "CloudRaid" zum Beispiel, so HPI-Doktorand Hendrik Graupner, könnte man selbst sensible Dateien bei Cloud-Anbietern fragwürdigen Rufes speichern:

"Erst verschlüsseln wir die Daten. Aber zusätzlich teilen wir die Datei dann noch auf. Und dadurch, dass wir die aufteilen und auf verschiedene Anbieter verteilen, kann ein einzelner Anbieter mit dem einzelnen Block nichts mehr anfangen."

Um Datenspionen die Arbeit zu erschweren, ließe sich die Anzahl der Cloud-Anbieter unendlich erweitern. Selbst wenn einige nicht erreichbar wären, könne die Software aus wenigen redundant gespeicherten Datenresten die Datei wieder zusammensetzen. Nutzer, so Hendrik Graupner, müssten nichts konfigurieren:

"Man lädt sich den Client runter, registriert sich und das war's auch schon. Dann hat man einen Ordner, wo man das reinschieben kann und dann wieder rausziehen kann. Also, von dem ganzen Konzept merkt man als Endnutzer nichts."

Ein weiteres studentisches Projekt durchsucht in professionellen IT-Datenbanken nach Sicherheitslücken aktueller Software-Versionen. Wer die seit Montag auf dem HPI-Portal freigeschaltete Möglichkeit nutzt, gratis seinen Browser zu prüfen, würde sogar über vom Hersteller noch nicht reparierte Versionen informiert, so Martin Gafron. Warnungen würden sich darauf beschränken...

"... dass zum Beispiel Flash Player in der Version 12-Punkt-irgendwas eine Schwachstelle hat. Das wissen viele gar nicht. Und das ist auch wieder so ein Grund, dass wir einfach darauf hinweisen wollen: Da gibt es Schwachstellen und oft hilft schon ein einfaches Update."

Ein anderer, kostenloser Link erkennt, ob die eigene E-Mail-Adresse missbraucht wird. "Identy Leak Checker" ist eine Art Suchmaschine, die gleich mehrere Archive nach gekaperten persönlichen Daten durchkämmt. Christoph Meinel, wissenschaftlicher Direktor des HPI, verzeichnete bereits am ersten Tag auf der Seite 18.000 Anfragen. Von denen hat das Programm ...

"... 3.000 Betroffene informiert und sie aufgefordert, unbedingt ihre Passwörter zu ändern."

Das Passwort wechseln, kann man auch ohne Aufforderung und ohne die Prozedur für die Verifizierung der Mail-Adresse ein Google-Skript auszufüllen. Zumal nicht sicher ist, dass Angreifer die vom HPI versendeten Warnungen blockieren können. Christoph Meinel:

"Das können wir nicht absichern. Wir sind ja nicht Herr über die Infrastruktur, auch über die E-Mail-Infrastrukturen. Wir können nur die Anfrage beantworten und die entsprechende Information zu dieser E-Mail schicken."

Statt auf eine Mail zu warten, die eventuell nie ankommt, ist ein regelmäßiger Passwortwechsel auf jeden Fall unkompliziert und sicherer. Infrastrukturen und bestehende Verschlüsselungsstrukturen, so Andreas Könen, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), seien trotz der bisher veröffentlichten Snowden-Papiere noch nicht gefährdet. Doch:

"Wir haben noch einen massiven Bedarf an Kryptografie in Deutschland. Wir könnten noch viel mehr Infrastrukturen damit ausstatten. Das ganze Feld der Digitalisierung ist bis auf Chip-Ebene ziemlich unbeleckt von Kryptografie. Da ist ein riesiges Feld."

Dieser, vom BSI geforderte Ausbau höchster Sicherheit, soll jedoch nicht ganz so sicher daherkommen, wie technisch möglich, ginge es nach dem Präsident des Verfassungsschutzes, Hans-Georg Maaßen:

"Wir brauchen eine starke Kryptografie, mit Blick auf geheimhaltungswürdige Information. Wir brauchen, als Sicherheitsgemeinschaft für Polizei und Nachrichtendienste, aber auch die Möglichkeit, im Einzelfall Kryptografie auch wieder aufbrechen zu können."

Da dieselben Aufbruchswerkzeuge auch von Kriminellen genutzt werden, sowie von ausländischen Geheimdiensten zum Zwecke der Wirtschaftspionage, dürfte ein, auch von der Wirtschaft akzeptierter Kompromiss zwischen Sicherheit und staatlichem Überwachungsanspruch, noch in weiter Ferne liegen.