"Was die NSA macht, ist nicht unser Problem"
Art Coviello sorgte an der RSA-Konferenz in Amsterdam für Aufsehen: Sicherheit und Privatsphäre seien kompatibel, so der Chef von RSA Security, und Anonymität untergrabe die Privatsphäre. Wir haben nachgefragt, wie er das meinte.
Herr Coviello, wie ist es eigentlich, in einer Welt, in der alles überwacht wird, Sicherheitsprodukte zu verkaufen?
Sie sprechen den NSA-Skandal an, richtig?
Richtig.
Nun, die Lösungen von RSA schützen Daten und Online-Identitäten vor dem Zugriff Dritter. Unsere Produkte schaffen Diskretion und Vertrauen und machen Unternehmen sicherer. Das in einem Umfeld, das immer unsicherer wird. Was die NSA macht, ist nicht unser Problem.
Wirklich? In einem Umfeld, in dem niemandem mehr getraut werden kann, dürfte es schwierig sein, IT-Sicherheit zu verkaufen.
Nur wegen den Enthüllungen der jüngsten Vergangenheit werde ich mich nicht dem Zynismus hingeben, dass man niemandem mehr trauen kann. Aber ja, es ist heute nicht einfach, IT-Sicherheitsprodukte zu verkaufen. Doch das Thema interessiert alle Unternehmen brennend. Und am Ende geht es immer wieder um das Gleiche, und das ist Vertrauen.
Wie meinen Sie das?
Wenn ein Unternehmen eine Technologie von uns implementiert, sollte es sich fragen, ob es dabei nicht Auswirkungen geben könnte, die nicht erwünscht sind. Sehen Sie, unsere Kunden wollen ihre Daten und ihr geistiges Eigentum schützen. Dabei müssen sie aber aufpassen, dass sie nicht Gefahr laufen, die Privatsphäre ihrer Mitarbeiter zu verletzen. Und genau darum ist es eben wichtig, Vertrauen zu schaffen.
Nur wie?
Durch Transparenz. Wir helfen unseren Kunden, ihren Mitarbeitern zu erklären, was unsere Technologien genau bewirken. Die Mitarbeiter merken dann schnell, dass die Produkte von RSA in ihrem Interesse sind und ihre Privatsphäre nicht etwa angreifen, sondern schützen.
Können Sie uns dafür ein Beispiel geben?
Wenn wir zum Beispiel den Netzwerk-Traffic eines Unternehmens analysieren, interessiert es uns nicht, welcher Mitarbeiter was davon verursacht. Im Gegenteil: Wir begutachten zwar grosse Massen an Datenverkehr, suchen darin aber lediglich Abweichungen gegenüber der Normalität. Diese können nämlich Hinweis darauf geben, dass ein Unternehmensnetzwerk kompromittiert wurde. Die Privatsphäre der Nutzer wird bei diesem Prozess in keinster Weise beeinträchtigt.
Wie sieht es aus, wenn der E-Mail-Verkehr überwacht wird?
Genau gleich. Verbietet es etwa ein Unternehmen, in E-Mails wichtige Kreditkartendaten zu versenden, suchen wir genau nach diesen und nach nichts anderem. Wenn ein Mitarbeiter nun ein harmloses E-Mail an seine Familie verschickt, werden wir dessen Inhalt nicht einmal wahrnehmen.
Was gibt den Mitarbeitern die Sicherheit, dass sie diesen neuartigen Technologien trauen können? Und wer schützt sie vor Missbrauch?
Unternehmen müssen in Richtlinien festlegen, was mit gesammelten Daten gemacht werden darf. Im Sinne einer Corporate Governance müssen diese Vorgaben auch kontrolliert und eingehalten werden. RSA bietet dafür übrigens die Lösung Archer an, die bei den Kunden sehr beliebt ist.
Sicherheit und Privatsphäre schliessen sich also nicht aus?
Viele Leute sagen, dass man sich zwischen Sicherheit und Privatsphäre entscheiden muss. Diese Haltung lehne ich ab. Ich bin der festen Überzeugung, dass wir beides gleichzeitig haben können. Die Debatte um Sicherheit und Privatsphäre ist leider emotional sehr aufgeladen. Wenn es uns gelingt, die Emotionen aus diesem Diskurs herauszunehmen, werden wir merken, dass sich Sicherheit und Privatsphäre nicht ausschliessen.
In Ihrer Keynote haben Sie auch gesagt, dass Anonymität im Internet der Feind der Privatsphäre sei. Das müssen Sie mir jetzt mal erklären.
Anonymität kann sinnvoll sein, aber nur selektiv. Finden Sie es zum Beispiel gut, wenn sich Terroristen anonym im Internet bewegen können? Oder Kriminelle? Wohl kaum, denn diese Leute können auch ihre Privatsphäre angreifen. Anonym fühlen sie sich sicher, da sie strafrechtlich ja nicht belangt werden können. Der Mitarbeiter, der eine harmlose E-Mail an seine Familie sendet, soll hingegen anonym bleiben können.
Und wer entscheidet darüber, wer anonym bleiben darf und wer nicht?
Wir alle gemeinsam: der Staat, die Unternehmen, die Gesellschaft. Mir ist schon klar, dass man mit solchen Regeln nie alle zufrieden stellen kann. Aber insgesamt wird die Welt dadurch sicherer, und davon profitieren wir letztlich alle.
RSA wurde 2011 selbt Opfer einer Hackerattacke, rund 40 Millionen Login-Schlüssel mussten ausgetauscht werden. Was hat RSA daraus gelernt?
Der Angriff hat uns weh getan, aber er hatte auch seine guten Seiten. Danach war allen klar: Wenn sogar ein Sicherheitsexperte wie RSA kompromittiert werden kann, dann sind alle Unternehmen potenziell verwundbar. Wir haben damals sehr offen und transparent kommuniziert. Von dieser Erfahrung kann RSA in Zukunft nur profitieren.