Kaspersky-Chef im Interview: „Die bösen Jungs werden immer schneller sein“

Herr Kaspersky, kennen Sie die beliebtesten Passwörter der Deutschen?

Da kann ich nur raten, vermute aber es sind „Passwort“ und „123456“.

Sie liegen richtig, auch „Hallo“ gehört noch dazu, zeigt eine Untersuchung des Hasso-Plattner-Instituts aus Potsdam. Spiegelt diese Passwort-Wahl wider, dass es um die Internetsicherheit in Deutschland insgesamt schlecht bestellt ist?

Das ist kein deutschlandspezifisches Problem. Viele Menschen fühlen sich überfordert, weil sie immer mehr Konten, Zugänge und Geräte haben, für die sie ein Passwort brauchen - und der Einfachheit halber nehmen sie dann eben solche, die leichter zu merken sind. Oder sie verwenden das gleiche Passwort für mehrere Konten. Umso so leichter sind sie aber eben auch zu hacken.

Wie kann ein größeres Bewusstsein für solche Gefahren geschaffen werden, zumal durch das Internet der Dinge immer mehr Geräte vernetzt sind, vom Fernseher bis zum Babyphone?

Viele Leute denken leider, dass es bei Ihnen ja gar nicht zu hacken gibt, weil sie nur vermeintlich uninteressante Sachen wie Fotos oder E-Mails auf dem Computer haben. Die interessieren die Hacker im Zweifel auch tatsächlich nicht, sie nutzen aber die Geräte für Distributed-Denial-of-Service-Angriffe, also, um andere Dienste lahmzulegen, wie 2016 beispielsweise Amazon, Netflix und Twitter durch das Mirai-Botnetz.

Sie sind auch deshalb hier in Berlin, weil Sie mit Regierungsmitarbeitern über Sicherheitsfragen diskutiert haben. Wie gut ist Deutschland aus Ihrer Sicht mit dem nationalen Cyber-Abwehrzentrum gegen Angriffe gerüstet?

Es ist ziemlich viel Arbeit, Cyber-Angriffe langfristig zu verhindern. Dafür müssen mehrere Bereiche berücksichtigt werden. Erstens muss es entsprechende Regulierungen durch die Regierung geben, um die Systeme sicherer zu machen. Zweitens sind multinationale Abkommen unverzichtbar, so dass versuchte oder durchgeführte Attacken aufgeklärt werden können. Und drittens braucht man sehr gute Leute, Software-Ingenieure und Programmierer.

Und wie ist Deutschland nun im Hinblick auf diese drei Aspekte aufgestellt?

Sagen wir mal so: Deutschland bewegt sich, sicher auch schneller als manch' andere Länder…

…aber nicht schnell genug?

Ach, für mich zählt schon jeder kleine Schritt in Richtung mehr Sicherheit. Die bösen Jungs werden ohnehin immer schneller sein als die, die für die Regierungen arbeiten. Eben weil sie internen Prozessen folgen müssen.

In Deutschland hapert es aber schon allein an ausreichend gut ausgebildeten Software-Experten. Informatik ist weiterhin kein Pflichtfach in der Schule.

Das ist in der Tat ein großes Problem, denn ein Programmier-Kurs sollte genau so selbstverständlich sein wie einer, um Mathematik zu lernen oder lesen. In Russland lernen die Kinder schon früh in der Schule programmieren und die Grundlagen der Informatik. Deshalb gibt es bei uns auch so viele Software-Ingenieure, weshalb auch viele westliche Firmen ihre Entwicklerteams in Russland ansiedeln. Aber wegen der guten Ausbildung gibt es eben auch so viele Cyberkriminelle, die Russisch sprechen.

© Oliver Berg/dpa

Vor Cyberangriffen geschützt sind also in Zukunft die Länder, die die besten Informatiker haben?

Sicher geraten im Cyber-Zeitalter eher die Länder in den Fokus, die auch mangels Personal schlecht aufgestellt sind. Zwar kann man auch Talente aus anderen Ländern importieren, aber wenn es um die zunehmend vernetzte kritische Infrastruktur wie die Strom-, Wasser- und Energieversorgung geht, ist es sicher besser, auf Landsleute setzen zu können.

Seit einiger Zeit erleben wir gerade zwischen Russland und den USA Angriffe durch Hacker. Sehen wir hier einen kalten Krieg auf Cyber-Ebene?

Ich würde es nicht Krieg nennen - sondern Spionage. Und davon gibt es tatsächlich sehr viel. Neben englisch und russisch sprechenden Spionen mischen aber auch chinesisch sprechende Hacker mit. Es ist hart zu beweisen, wer hinter diesen Attacken spricht. Und offensichtlich reichen die Beweise nicht, um Anklage zu erheben.

Worum geht es bei den Angriffen?

Das weiß ich nicht, denn das verraten die Hacker leider nicht. Aber offensichtlich geht es nicht darum, zu zerstören, sondern darum, Schaden anzurichten und zu spionieren. 2015 gab es beispielsweise in der Ukraine den weltweit ersten Blackout, der durch einen Hackerangriff verursacht wurde. 2016 legten Hacker das Nahverkehrssystem in San Francisco lahm, weil sie die Fahrkartenautomaten kaperten. Und letztes Jahr gab es den Wannacry-Angriff, mit dem Hunderttausende Computer verschlüsselt und nur gegen Lösegeldzahlung freigegeben werden sollten. Ich denke aber nicht, dass Staaten selbst dahinter stehen, sondern Guerilla-Gruppen.

© Foto: Paul Zinken/dpa

Das wird jedoch von anderen Experten angezweifelt, 2015 griffen Hacker beispielsweise den Deutschen Bundestag an, dahinter soll die russische Gruppe APT28 gesteckt haben. Der US-Geheimdienst sieht einen Eingriff Russlands in die Präsidentschaftswahl 2016 als bewiesen an, was Russland bestreitet. Wie kann eine weitere Eskalation verhindert werden?

Ich bin selbst kein Politiker, das ist also nicht meine Aufgabe. Ich bedaure aber, dass es zwischen den Ländern immer weniger Vertrauen gibt. Wir müssen aber verstehen, dass wir uns alle in demselben Cyberspace bewegen. In der realen Welt, können wir Grenzen ziehen oder Mauern bauen. Nicht aber in der virtuellen Welt. Ohne Kooperationen und multinationale Abkommen geht es deshalb nicht. Sicher, Spionage werden wir dadurch nicht stoppen können. Aber man kann zumindest etwas dafür tun, dass es professionelle Cyberkriminelle nicht so leicht haben.

Derzeit sieht es aber leider nicht danach aus, als würden die USA und Russland kooperieren wollen.

Null - und das ist ganz schlecht.

Wird sich das aber ändern - oder ein ewiger Traum bleiben?

Das ist eine hochpolitische Frage, zu der ich mich nicht äußern möchte.

Sie selbst sind mit Ihrem Unternehmen zum Politikum geworden und zwischen die Fronten geraten: Die US-Regierung hat amerikanische Behörden angewiesen, keine Antivirensoftware von Kaspersky mehr zu benutzen - aus Angst vor Cyberspionage.

Das ist absoluter Quatsch. Die Vorgänge in unserem Unternehmen sind sehr offen und transparent. Es gibt auch überhaupt keine Beweise für diese Vorwürfe. Vielmehr scheint es so, hätten wir eine Schadsoftware gefunden, die unbekannt war - oder vielleicht sehr gut bekannt war - und das hat jemanden in den USA sehr verärgert.

Wen denn?

Das weiß ich leider nicht. Sicher sind es mehrere Personen. Wir sind aber Opfer einer Kampagne geworden.

Ist Kaspersky komplett unabhängig von der russischen Regierung?

Ich weiß nicht, wie unabhängig der Öl- und Gassektor in Russland ist, aber für uns kann ich die Unabhängigkeit mit einem hundertprozentigem Ja beantworten.

Berlin arbeitet derzeit an einer Smart-City-Strategie, die Infrastruktur soll beispielsweise besser vernetzt, mehr offene Daten genutzt werden. Was ist dabei im Hinblick auf die Datensicherheit zu berücksichtigen?

Smart-City-Strategien sind wichtig, weil sie eine Stadt lebenswerter machen und Kosten reduzieren. Tatsächlich können solche Strategien eine Stadt lebenswerter machen und die Kosten reduzieren. Wichtig ist jedoch, dass die smarten Technologien von Anfang an gut genug gesichert sind - und das Thema nicht erst dann Priorität bekommt, wenn das System gehackt worden ist.

Wie vorsichtig sind Sie eigentlich selbst mit ihren Daten? Nutzen Sie zu Hause beispielsweise Sprachassistenten wie Amazons Alexa oder Google Home?

Nein, das brauche ich nicht. Wenn ich nach Hause komme, will ich mit meinen Kindern spielen und ansonsten meine Ruhe haben.