Professor Christof Paar im Gespräch mit Norbert Pohlmann
Herzlich willkommen auf dem Marktplatz IT Sicherheit. Mein Name ist Norbert Pohlmann. Ich spreche mit wichtigen Persönlichkeiten über, die Lage der IT Sicherheit, neue Bedrohungen und Angriffe, innovative IT Sicherheitsmechanismen und die Umsetzung von mehr IT Sicherheit für unsere digitale Zukunft im Podcast Köpfe der IT Sicherheit.
Speaker 2:Ja, ich freu mich sehr, in der heutigen Ausgabe Köpfe der IT Sicherheit Professor Christoph Bahr zu begrüßen. Christoph Bahr ist Direktor am Max Planck Institut für Sicherheit und Privatsphäre in Bochum und ist wissenschaftliches Mitglied der Max Planck Gesellschaft. Lieber Christoph, bitte erzähl uns doch mal, wie kommst Du eigentlich zur IT Sicherheit und genau, was war der Weg jetzt zu deiner jetzigen Position?
Speaker 3:Ja. Ja, erst mal lieber Norbert, vielen Dank für die Einladung. Ja, mein Weg zur IT Sicherheit ist 'n bisschen ungewöhnlich, weil ich hab nämlich nach meinem Realabschluss erst mal eine Handwerkslehre gemacht in Köln. Im Der Beruf hieß damals Fernmeldemechaniker, der ist inzwischen umbenannt worden. Das ist, glaub ich, Informationselektroniker im im Handwerk in der kleinen Firma.
Speaker 3:Hab immer gern mit meinen Händen gearbeitet, viel auf der Baustelle Kabel gekloppt und dann eigentlich klarstig danach Fachabitur gemacht und dann an der damaligen FH inzwischen THCL Nachrichtentechnik studiert. Und da war mir schon klar, dass ich gern unterrichte. Und bin dann an die Uni Sien gegangen und hab da schon immer so eigentlich sehr gerne in Richtung mich Informatik bewegt. Und damals hatten die 'n eine speziellen Aufbaustudiengang für ein paar FH Absolventen und hab dann Elektrotechnik, aber schon mit in Vertiefung Computertechnik studiert. Dann Amerika meine meine Diplomarbeit, also was, was heute eine Master ist, gemacht in Signalverarbeitung.
Speaker 3:Und hab dann an 'nem Institut für experimentelle Mathematik an der Uni Duisburg Essen promoviert in Codierungstheorie. Und musste sagen, hatten da schon immer Spaß an der Kryptografie. Ich hab eigentlich Incodierung promoviert, aber wir hatten da schon mal, Kryptografie gab's so kam da so auf, dass ich hab promoviert von einundneunzig bis vierundneunzig. Hatte dann schon großen Spaß dran, hatte dann 'n Seminar belegt, hätten damals auch mal 'n Forschungsprojekt mit der Industrie gemacht, mit symmetrischen Schiffenen und bin dann direkt nach meiner Promotion gegen Ende vierundneunzig in die USA gegangen und hab damit viel Glück, muss man sagen, eine Assistantprofessorur gekriegt, also was deutsche Äquuelle Juniorprofessorur wär, dass an 'nem kleinen technischen Uni wusste Polytchnikic Institute in in Massachusetts, das ist so achtzig Kilometer außerhalb von Boston gelegen. Und da muss ich sagen, war riesiges Glück, weil die haben mir viel Freiheit gegeben, haben mich angestellt, auch, weil ich in der Bewerbung geschrieben hab, ich ich will Kopografie machen, ne.
Speaker 3:Mhm. Und ja, das war Ende vierundneunzig und dann wer wer das damals mit mitgemacht hat oder sich in Wikipedia Show gemacht hat, das war ja grad in der Kurve, wo der Internetboom anfängt. Und da, obwohl das 'n relativ kleines College war, auch mit mit mit guter Forschung, aber auch viel Lehrer halt, waren die schon weitsichtig genug und haben gesagt, ja, Datensicherheit, das wird bestimmt irgendwann mal wichtig. War eigentlich interessant, weil damals so die die die heißen Themen waren damals schon Internet, aber das war E-Commerce, war damals die Sache. Und dass man da Sicherheit brauchte, geschweige denn Privatheit, das war damals noch nicht so weit bekannt.
Speaker 3:Nee, und dann hab ich eigentlich angefangen, durch die Codierungstheorie hatt ich 'n 'n guten Hintergrund in Algorithmen und endlichen Körpern. Und das ist eine sehr spezielle Mathematik, die braucht man eigentlich nur, muss Du sagen, in Codierungstheorie, nämlich auf CDs, also die Älteren von uns erinnern sich dazu, immer CD gab's. Da sind ja Fehler korrigierend kurz drauf. Da braucht man, diese Fehler aus rauszurechnen. Und die andere Anwendung ist Public Key Kryptografie, also symmetrische Verfahren.
Speaker 3:Und hab dann am API, Wuster Politik und IT Institut, angefangen eigentlich mich zu forschen in das in den, ich würd mal sagen, Ingenieuraspekten der Kryptografie. Kryptografie war gab es damals, ich sag mal sone mittelgroße Community. Also auf die groß gibt's zwei große Konferenzen, EuroCrypt und Krypto. Da kamen so zweihundert, vielleicht zweihundert, vielleicht dreihundert Leute irgendwie so was. Waren aber ganz wenig Ingenieure.
Speaker 3:Das waren meistens Mathematiker, die haben Zahlentheorie gemacht. Faktorisierung war damals 'n großes großes Thema. Norbert erinnerst Du dich sicher auch noch dran, RSR, ne. Und man muss sagen, war war 'n gutes Market Timing von mir, weil im im Rahmen des Internetbooms merkten auf einmal Leute, oh, wir müssen auf einmal Kryptografie in- und Webbrowser kamen auf, auf einmal aufs Internet. Da wir brauchen sie eine Webbrowser, wir machen das in Smartcards.
Speaker 3:Auch so gegen Ende meiner Zeit, also gegen Ende der Neunzigerjahre kam IoT Internet der Dinge auf und da hatte damals auch andere Namen, so wie Beatles Computing. Und auf einmal braucht man überall Kryptografien und auf einmal hat man gemerkt, das ist sehr schwer zu implementieren. Und hatte da, also wissenschaftlich hat das dann sehr gut geklappt. Wir hatten dann auch Paper, die heute noch noch viel zitiert werden. Und dann auch 'n großer Glücksgriff.
Speaker 3:Ich hatte dann 'n 'n sehr netten Kollegen von der Chetin Coach an der Oregon State University, also auf der anderen Küste, an der Westküste, der auch einer der wenigen war, die schon ganz früh Krypto Engineering gemacht hat. Und da haben wir gesagt, lasst doch mal 'n Workshop machen. Und das war neunundneunzig und den haben wir genannt, Cryptographical of and Appedted. Und wir dachten, na, vielleicht kriegen wir dreißig, vierzig, wenn wir fünfzig Leute kriegen, ist super. Haben wir den haben wir 'n Workshop gemacht und da kamen hundertsechzig Leute, riesiger Erfolg.
Speaker 3:Der Adisha, den den kennen, das ist das SNRASA ist so der große Kryptograf, muss man sagen, weltweit. Der hatte das Paper eingereicht, der war mir natürlich stolz wie Oscar und das hat natürlich Leute angezogen, ne. Und der Adi Shamir hat dann auch 'n sehr, auch mal, spektakuläres Forschungsergebnis vorgestellt, nämlich wie man mit optischen Computern RSA brechen könnte, sone optische Fakturisieren, der wurde auf einmal in der New York Times über unserem, sag ich mal, komischen Clan Workshop berichtet. Da war sone ganz tolle, ganz aufregende Zeit. Da kamen Seitenkanalattacken auf, an denen wir auch mitgebracht, ah, mit Körbdern.
Speaker 3:Ja, und fing mir da so an, einen Namen zu machen. Und genau in der Zeit wurde dann eben auch im Jahr zweitausend, zweitausendeins an der Ruhr Uni Bochum das Horst Gotz Institut gegründet. Vom Herrn Herrn Gotz, der mittelständische Unternehmer und Du kennst das kennst Du mich auch sehr gut, Norbert. Der hatte damals drei Stiftungsprofessuren eingerichtet und da hab ich mich beworben, da hab ich aber auch tatsächlich 'n Zuschlag gekriegt, wurde auch gecaniert, also hatte grade eine Dauerstelle in den USA gekriegt und hab dann den deutschen Lehrstuhl gekriegt und bin dann zweitausendeins eben nach Bochum gegangen. Das waren so die die ersten sieben, sieben Jahre meiner Karriere.
Speaker 3:Ja, in Bochum war ich dann eben einer der der Gründungsprofessoren, zusammen im Hans Dobbertin insbesondere des Horst Scott Institut, was ja sich zu 'nem sehr großen, sehr schlagkräftigen Forschungsinstitut in an der Ruhr Uni bei dir die Ecke entwickelt hat, was ja auch, Du bist ja auch lange mit uns, da in der Kollaboration Norbert, ne, von Gelsenkirchen aus. Und hab dann halt immer weiter diese Ingenieuraspekte gemacht. Die die Jazzkonferenz ist gewachsen, da kriegen wir heute zwischen fünf- und sechshundert Leuten. Und es ging aber immer dieses Thema Ingenieuraspekte, ne, der der Kryptografie. Eleppische Kurven auch sehr früh hab ich damals gemacht, die heute in jeder Whatsapp Installation, jedem Webbrowser.
Speaker 3:Bitcoin, Zip und Zapp, die brauchen ja alle digitale Signatoren basieren auf eleppischen Co. Und dann haben wir halt sehr früh mitgearbeitet. Ja, und dann im Jahr zweitausendneunzehn war, wir haben nach und nach, die Ruhr Uni hat halt echt sehr viel Weitsicht gehabt und und nachfolgend immer mehr sehr stark, meistens Nachwuchsprofessoren eingestellt in in Cybersicherheit. Und wir hatten uns dann zeitgleich so im Jahr zweitausendsiebzehn, zweitausendachtzehn ein Exzellenzpflaster beworben und die Max Planck Institut. Und muss eigentlich wieder erwarten, waren wir erfolgreich beides Mal und dann zweitausendneunzehn hatten wir halt das Max Planck Institut für Sicherheit und Privatsphäre, bin Gil Barth und ich waren die beiden Gründungsdirektoren und das Exzellenzcluster.
Speaker 3:Ja, und dann bin ich, muss ich sagen, nach langem Überlegen, bisschen mich schwer im Herzen, bin ich dann wirklich auf die andere Straßenseite zu Max Planck gewechselt, bin aber immer noch Professor der Runi im leb, halt da immer noch die Vorlesung Einführung Kryptografie. Ja, und haben gestern riesiges Ökosystem und wie gesagt, macht die ganze Zeit angewandte Kryptografie, angewandte Cybersicherheit. Und nebenbei muss ich sagen, hab ich halt auch noch insbesondere die S-Crypt gegründet zusammen mit Lilli Mannheims. Das war die erste Firma zweitausendvier, die sich auf Daten sich Cybersicherheit im im auch insbesondere Automobil spezialisiert hat. Auch sehr früh zweitausendvier, also 'n bisschen vor der Welle, war alles nicht einfach, hat aber gut geklappt und zweitausendzwölf ist die S-Cript dann von Bosch übernommen worden.
Speaker 3:Die hat die dann auch, im Moment hat die knapp vierhundert Leute bei Bosch, ist wahrscheinlich so die größte Einheit zumindest in Europa, die automobile Datensicherheit macht im Bosch Konzern, ne. Ja, tolle Sache. Ja, jetzt bin ich hier, genau und noch mal vielen Dank für die Einladung.
Speaker 2:Ja. So, jetzt so als Fachmann, Du beschäftigst dich schon wahnsinnig lange mit mit IT Sicherheit. Wie würdest Du denn die Lage der IT Sicherheit heute einschätzen? Also wo sind wir mit der IT Sicherheit?
Speaker 3:Ist natürlich eine gute Frage. Ich glaub, da gibt's ja so zwei Seiten. Da gibt's, man man liest ja sehr viel, ist alles Katastrophe und Cybersicherheit und so und hab ja, riesiges Problem ist es auch. Muss man sich ja sehr ernst nehmen. Und da gibt's natürlich die andere Seite, die sagt, ja, so schlimm ist das ja alles nicht, ne.
Speaker 3:Und und Kopografie ist hochgezüchtet und ist alles, viele Sachen sind unbrechbar. Und ich glaub, wie oft im Leben so die Wahrheit ist irgendwo so dazwischen. Also man muss sagen, ja, es gibt eine Cyber Bedrohung, die muss man auch ernst nehmen, ne? Man sind ja jetzt Ransomware ist vielleicht so das beste Beispiel, was vor, ich würd sagen, fünf Jahren vielleicht noch eine eher exotische Attacke war, die ja auch immer nicht ausgereift waren. Manchmal hat man dann doch diese Erpressungssoftware irgendwie aushebeln können, dass man dann doch wieder dechiffrieren konnte und so weiter.
Speaker 3:Das ist ja die, die sind ja die, die wir nicht permanent angegriffen, zu einzuwehren, ne? Das ist sehr ernst. Andererseits lernt man natürlich immer mehr, damit umzugehen auch, ne? Und ich glaub, es setzt sich son bisschen die Erkenntnis durch, ja, wir müssen das super ernst nehmen. Viel organisatorische Maßnahmen in Unternehmen, Behörden, auch Hochschulen, ne.
Speaker 3:Also auch deine Hochschule und und selbst Max Planck natürlich auch werden, auch ständig angegriffen. Aber es setzt sich, glaub ich, immer mehr die Erkenntnis durch, das ist son Fact of Light. Die kriegt man nicht abgeschaltet, was, glaub ich, lange so die Annahme war. Irgendwie, wenn wenn wenn wenn wir Cybersicherheitsleute unsere Hausaufgaben machen, da gehen die weg. Aber das ist natürlich Quatsch.
Speaker 3:Das ist wie jeder Sicherheitsbrett auch Hauseinbrüche. Das ist ja auch Wahnsinn zu sagen, bloß wenn man tolle Türschlösser hat, gibt es keine Wohnungseinbrüche mehr oder Fahrraddiebstähle, ne. Jeder, der in 'ner deutschen Großstadt wohnt, ne, weiß, wie wie das ist. Wir wissen aber alle, wie wir damit umgehen können, ne. Wir können uns das A-Beschloss, gibt A-Beschlösser, die kosten die dreihundert Euro.
Speaker 3:Das grad der letzte Testbericht, das ist dann auch mit der Akkuflex. Ja. Kommt natürlich an 'nem gewissen Preis, ne? Die meisten machen das nicht, aber wir lernen alle mit dieser Situation umzugehen, dass man das Risiko einzuschätzen, was passiert, wenn das Fahrrad geklaut ist und so weiter, damit umzugehen. Und ich glaub, Cybersicherheit ist eine sehr ähnliche Situation, ja?
Speaker 3:Also wir wir müssen uns nach wie vor ernst nehmen. Wir müssen da sicher auch grad bei bei vielen Organisationen muss man da noch viel verbessern, technisch und organisatorisch. Ich glaub aber nicht, dass es diese riesige Schwarzmalerei ist, die man überall hört, ne, dass man damit eben genau, wenn man sich überlegt, wie geht man damit Was passiert, wenn wir 'n Cybersicherheitsvorfall haben? Wie können wir damit umgehen? Kann man damit eigentlich ganz gut leben, ne?
Speaker 2:Ja. Aber jetzt so als Forscher, was würdest Du denn sagen, was sind denn die Herausforderungen der IT Sicherheit? Also was sind die Themen, die wir jetzt unbedingt anfassen müssen oder verändern müssen auf 'ner technologischen Basis. Also sagen wir mal, was was brauchen wir, halt resilienter zu sein oder sicherer zu sein, wie wir das jetzt formulieren wollen?
Speaker 3:Ja, ja, ja, mehr. Muss man jetzt natürlich gucken, Cybersicherheit ist ja wirklich die die, und das muss man sagen, das ist schon 'n Spezifikum der Cybersicherheit und wirklich mit anderen Informatikdisziplinen. Cybersicherheit kriegt man ja immer nur, wenn man die ganze Systempyramide betrachtet, ne, also unten von Algorithmen, Hardware, Software, Netze distributed, Human Aspects, also menschliche Aspekte und jetzt zunehmend auch gesellschaftliche Aspekte. Die spielen ja auch eine Rolle. Und sagen wir mal so, die Challenge ist jetzt auch auf den Richtung zu beantworten einer Frage zu kommen, Norbert, ist, wir müssen über alle Layer eigentlich gucken, wo wir die sich halt haben, ja?
Speaker 3:Und die die diese mal große Herausforderung gibt es auf auf allen Schichten. Also ich ich bin ja mehr in der angewandten Kryptografie zu Hause, das ist so mehr mehr so eine von diesen unteren Schichten. Da ist klar, da ist eine Herausforderung, das ist jetzt Quantencomputer, ne, die irgendwann mal kommen werden. Aber es im Moment gibt's ja riesige Bestrebungen weltweit, die bestehenden asymmetrischen Verfahren, also Public Key Verfahren auszutauschen gegen PQC, Post Quanten Kryptografie. Das ist sicher eine große Herausforderung.
Speaker 3:Ich sag mal jetzt so für den den Alltagsnutzer gar nicht so einsichtig. Warum muss das jetzt sein? Weil Quantencomputer atmet frühestens in zehn, fünfzehn Jahren. Ist aber trotzdem wichtig, ne? Weil es gibt, man weiß das son großen Geheimdiensten, die speichern zum Beispiel, doch lang langfristig speichern, die viele Nachrichten können dann im Nachhinein dechiffrieren.
Speaker 3:Und es gibt natürlich auch Produkte, so wie Autos zum Beispiel, die haben auch viel Kryptografie drin und die leben heute deutlich länger als zehn oder fünfzehn Jahren, ne. Die muss man damit einschätzen. Also das ist jetzt immer ein eine Herausforderung, sone Langzeitsache. Und wenn man dann mal, wenn man ans andere Ende der Pyramide springt nach oben, ist sicher so im im Bereich Human Aspekt, also menschliche Aspekte und organisatorische Aspekte, gibt es, glaub ich, ist auch eine eine riesige Herausforderung. Nicht das, man was macht, aber das mal optimal was macht.
Speaker 3:Also sone typische Organisation, irgendwie eine eine große Firma oder auch eine mittelgroße, son großer Mittelständler, ne, der hat vielleicht 'n Cybersecurity Budget von zweihundertfünfzigtausend, ich erfinde, jetzt mal eine Zahl. Wie wird das optimal eingesetzt, ne? Und da gibt es auch noch viele, viele offene Fragen, zum Beispiel dieses zweite Sicherheitstraining, die's im Moment gibt, wo's auch viele Unternehmen gibt, die aktiv sind, die zum Beispiel so fingierte Phishing-E-Mails schreiben. Das ist nicht klar, dass das gute Ansätze sind. Da kommt also aus aus aus der Forschung, aus dieser über Security Forschung gibt es genau das Gegenteil.
Speaker 3:Der sagt, das ist kontraproduktiv, ne. Das ist vielleicht aufm aufm ersten Hingucken, hab ich auch mal gedacht, ist ja eine gute Sache, wenn ich meine Mitarbeiter jetzt ab und zu anteste, ob die auf das falsche PDF klicken. Da gibt es aber eben Forschungsuntersuchungen, dass das mittelfristig kontraproduktiv ist, ne? Weil Leute auf einmal anfangen, die fühlen sich selber immer getestet, die die empfinden das als was negativ Negatives. Also jetzt, deine Frage zu beantworten, das sind also auch noch Sachen, wie gehen wir mit diesem Human Aspekt Wie wie wie gehen wir damit dass sich Leute, Mitarbeiter richtig, cybersicherheitsrichtig verhalten, ne?
Speaker 3:Und da ich glaube, immer noch 'n Umdenken, das lange von das lange propagiert wird von Visual bis Security Leuten, die sagen, wir müssen aufhören, den Menschen zu ändern, sondern wir müssen eigentlich die die die Cyber die Sicherheitstechnik so machen, dass sie benutzbar wird und nicht. Ihr kennt das alles im Arbeitsalltag. Ich bin auch total überfordert mit meinen E-Mails nicht. Klick weiß ich nicht. Einmal die Woche klick ich irgendwie nie wieder wo sich nachher meine Doktorannen beschweren, dass ich die wieder nicht gelesen hab ne.
Speaker 3:Das heißt also, man man ist sowieso mental überlastet. Und da jetzt auf einmal vom Menschen noch zu fordern, dass der eine gesunde kritische Meinung hat, Phishing oder vielleicht sogar Spare Phishing E-Mails rauszufiltern, ist einfach eine Fehlentwicklung, ne. Also ich glaub, da gibt es noch 'n großen großen Bedarf eigentlich, die Cybersicherheit besser an den Menschen anzupassen, anstatt den zu probieren, an die neuesten Cyberattacken anzupassen, ne. Das sind jetzt so zwei Beispiele, die die einem die mir einfallen, ich bin sicher auf den den Layer, auf den Schichten dazwischen zur Hochsicherheit gibt es auch noch viele Herausforderungen.
Speaker 2:Christoph, weiß ich, vor fünfzehn Jahren auf irgendwelchen Konferenzen war, dann haben die Kryptologen immer gesagt, in fünfzehn Jahren sind die Quantencomputer so stark, dass wir dann irgendwie Alternativen zu RSA Verfahren brauchen. Und Du sagst jetzt, jetzt in fünfzehn Jahren, genau, haben wir wirklich in fünfzehn Jahren Quantencomputer, die unsere asymmetrischen Verfahren knacken können oder kann das auch sein, dass das gar nicht auftaucht? Also sagen wir mal, ich hör mal wieder mal, ob wir jetzt die Quantencomputer technologisch so in den Griff kriegen, dass wir damit diese großen Berechnungen machen können? Ist nun gar nicht so sicher oder hast Du da andere Einschätzungen?
Speaker 3:Ja, wenn ich starten zu wirst, ne. Also nein, die Einschätzung hab ich nicht, ne. Ich gab auch dieses PQC Thema daher, dass es seit anderthalb Jahren 'n weltweites Standard gibt, aber 'n weltweiter Wettbewerb. Bei den NIS, das ist praktisch die amerikanische DIN Behörde, der International Institute, das Standard Technology. Das das sind offene Standards, auf die kann jeder zugreifen.
Speaker 3:De facto werden die weltweit adoptiert in allen möglichen nationalen Standards, aber auch in in domainspezifischen Standards, ne. Dann für in in TG, in Internet ETF Firmen übernehmen. Kann aber auch im im deutsch europäischen Bankenwesen werden, die wahrscheinlich übernommen oft mit kleinen manchmal mit kleinen Endro. Die sagen, ich glaub, die sagen im Wesentlichen, wir wissen es nicht, genau was Du sagst. Die Sache ist, will man das Risiko eingehen, ne?
Speaker 3:Will will man das Risiko eingehen? Die NSA oder da gibt's ja jetzt noch inzwischen auch vielleicht unangenehmere staatliche Angreifer. Ja, Russland ist ja brandaktuell. China ist auch nicht so lustig hier, wenn man der EU ist. Wenn die das in fünfzehn Jahren haben, wollen wir das Risiko eingehen, dass die alles behördlich, erfolgiger, ist vielleicht nicht unsere beiden und unsere Signal Messages irgendwo.
Speaker 3:Wollen wir das Risiko eingehen, dass die dann dechiffriert werden? Und wenn Du sagst, ich will das Risiko nicht eingehen, ja, dann müssen wir jetzt umrüsten. Und ich ich bin da ganz bei dir. Ich bin auch gern Exportalphysiker. Vielleicht kriegen wir's nicht.
Speaker 3:Ich ich weiß allerdings, man muss sagen, viele Leuten, die da in in in dem Thema drin sind, die sind oft beides, muss man sagen, weil die selber vielleicht daran glauben, bewusst oder unbewusst sind die vielleicht bias. Die sagen schon, dass die Dinger werden kommen, ne.
Speaker 2:Ihr forscht ja auch beim Max Planck Institut den Bereich sind und was ihr jetzt glaubt, so gesellschaftlich? Ja. Wie stehen wir da in Europa? Oder ich mein, wir sehen ja immer, die Amerikaner scheinen ja da irgendwo eher freiheitsliebender zu sein und wollen eigentlich uns noch mehr aus forschen oder analysieren. Genau, was sind da so die Herausforderungen für für uns Menschen?
Speaker 3:Also ja, das passiert ist 'n guter Punkt, ne. Europa, also GPA, musst Du sagen, da ist total Das ist der Goldstandard weltweit, ne? Also wir haben mal Und in 'nem neuen Forschungszentrum haben wir 'n Kollegen geholt, der bewusst auch ins Ruhrgebiet gekommen ist, weil das sone an Brüssel ist, ne, der Sachen. Also die ganze, die weltweite Forschung, die richtet sich nach der GDPA. Das ist also eine gute Entwicklung, dass da Europa so streng ist.
Speaker 3:Ich hab auch vor eine Zeit lang, ich weiß nicht, vielleicht acht Jahren, von 'ner ganz verrückten US Forscherin, also sehr liebe Kollegin, die eigentlich damals gesagt hat, ja, die Europäer betreiben's eigentlich, ne? Na ja, so nach dem Sinne, ja, so viel macht man ja digital nicht und wenn da son bisschen Privacy verletzt wird, da können wir mit leben. Und das hat sich, glaub ich, rausgestellt, dass die die Denke und der Wissenschaftler zum Beispiel ist, nee, wir müssen unbedingt was tun. Das hat sicher mit dieser zunehmenden Digitalisierung zu tun, dass wir heute natürlich noch viel für digitaler sind, als wenn man mal vor acht Jahren zum Beispiel. Und hier sind sicherlich, da gibt's eine ganze Reihe von Voraussetzungen.
Speaker 3:Einmal sind wir wirklich regulatorisch. Und da musst Du sagen, auch in den USA, weiß ich jetzt nicht mit der aktuellen Regierung, aber da hat die jetzt hat der Trump ja noch nichts destruktives zu Privacy. Da muss man sagen, ist zum Beispiel jetzt in in in Nordamerika, aber auch, glaub auch in Lateinamerika, wo viele Leute sagen, wir brauchen strenge Richtlinien in Privacy. Also das ist eine das ist, glaub ich, eine gute Entwicklung. Das Problem ist natürlich, wie werden so strenge Richtlinien umgesetzt?
Speaker 3:Und das ist eine aktive Forschungsrichtung. Da haben wir auch sehr starke Kollegen, die Jäger zum Beispiel am Max Planck Institut, eine Nachwuchsprofessorin, die arbeitet da drauf. Man kennt das ja selber zum Beispiel, wenn man wenn ich irgend eine App runterlade oder 'n anderen Service mache, da kriegt man, weiß ich nicht, zwei, drei, vier bis zu zehn Seiten. Ich muss da zustimmen, ne, den AGB. Und der wirkt auf Privacy eingegangen und das ist eigentlich Privacy schädlich, weil sich natürlich keiner durchschließen.
Speaker 3:Natürlich die Durchlese würd ich nicht verstehen. Das heißt, da ist sicher sehr viel auch im Kontext Interaktion von Menschen mit Privacy Regularien, wo noch gearbeitet werden muss. Daneben gibt es auch viele technische Herausforderungen, aber bin ja jetzt nicht vielleicht der ganz große Spezialist, aber so mein, was ich davon beobachte, ist es, glaub ich, eher die wirklich die Interaktion mit Mensch, auch die gesellschaftliche Interaktion mit Richtlinien, die oft in Europa schon relativ strikt sind. Also sagen wir erst mal, benutzermenschenfreund, also benutzerfreundlich. Aber dann die Umsetzung ist nicht unbedingt benutzerfreundlich, weil ich nicht genau weiß, wie ich damit umgehen soll.
Speaker 2:Doch, ich mein, Du hast ja gesagt, also ich find, wir haben hier europäisches Daten fürs Grundverordnung, die aber eigentlich dadurch, dass wir zustimmen, von den amerikanischen Monopolisten nicht eingehalten werden.
Speaker 3:Also Ja, ja.
Speaker 2:Wurde verdient seit über zweihundert Milliarden jedes Jahr mit unseren privaten Daten. Genau. Also die die erfüllen die Datenschutzgrundverordnung, aber nicht unsere Privatheitsansprüche. Genau. Haben wir da überhaupt eine Chance, aus Europa heraus den Amerikanern zu sagen, also wir wollen das jetzt anders haben?
Speaker 2:Wir würden lieber meinetwegen bei der Google Suche 'n bisschen Geld zahlen monatlich. Und dafür lasst ihr uns in Ruhe und könnt euch nicht, also analysiert uns nicht. Und jemand Ja,
Speaker 3:ja, ja.
Speaker 2:Mit der ganzen KI merkt man ja, dass diese Analysen ja immer klarer, deutlicher werden und und und unsere Privatsphäre ja immer
Speaker 3:Ja, ja.
Speaker 2:Weniger berücksichtigt wird, ja. Ja,
Speaker 3:ja, ja. Also ich glaub, so so meine Beobachtung ist schon mal mal, den Amerikanern Druck zu machen, wirtend stehen, auch schon noch unter der alten alten US Regierung, ne. Das hat witzigerweise doppelte Staatsbürgerschaft, das beobachte das schon, was da vor sich geht. Das wird einfach nicht klappen. Ich glaub, da der bessere Ansatz ist, man muss eigentlich alternative Dienstleistungen zur Verfügung stellen, wo eben die Privatsphäre besser gewahrt wird, weil das in Europa kommt, ne.
Speaker 3:Ist also so mehr 'n bisschen Wettlauf für Services, würd ich sagen. Selber peinlicherweise, ich benutze Google Kalender, war den, den ich damals irgendwie mit 'nem Doktor landen hab einrichten können, der mit mit meiner komischen Windows Installation und meinem iPhone dreizehn zu oder da muss aber einfach in acht wahrscheinlich läuft, ne. Das heißt, das hat ja auch wieder mit Usability zu tun und welche Services da angeboten werden. Und ich glaub, aus Europa haben wir erst eine Chance, nicht die probieren unter Druck zu setzen, oder regulatorisch zu unterdrucken, kann man probieren. Und die EU Strafzölle find ich jetzt gar nicht so so so schlecht, nicht Strafzölle, aber wenn die wenn die gegen EU Richtlinien verstoßen.
Speaker 3:Aber ich glaub, mittelfristig haben wahrscheinlich die bessere Chancen, wenn wir praktisch Konkurrenzprodukte anbieten, wo wir 'n höheren Privatheitsstandard haben. Was sicher eine gute Entwicklung ist, dass, wenn ich noch mal zurückgehe, fünf Jahre, glaub ich, in den allermeisten Benutzer haben gesagt, ist mir egal. Oder selbst, wenn die gesagt haben, nicht, ist mir egal. Aber die haben nicht gesagt, ich zahle dafür. Ich glaub auch heute sind wir schon in 'ner Situation, wo viele Nutzer, sich auch Du und ich, Norbert, würden sagen, okay, wenn ich irgendwelche Digitalprodukte nutze und das kostet mich so viel, ich sag mal wie 'n Netflix Abo, wird man das vielleicht machen?
Speaker 3:Ja. Also ich persönlich würd das machen, ne genau. Und das ist auch Also ich hab da mal Zahlen gelesen, das ist auch eine große Verkaufsgrund für Apple Produkte, ne, weil die sagen, wir gehen wir verdienen unser Geld mit mit Hardware und nicht mit deinen Daten. Also ich glaub, das ist so als Strategie dann für europäische Firmen, die sagen, okay, vielleicht hab ich dann eben auch Bezahlmodelle dahinter und und und hab vielleicht halbwegs vergleichbare digitale Leistungen, ne. Das ist, glaube ich, die Herausforderung, ne.
Speaker 3:Kann gibt's eine europäische Suchmaschine, die es gut mit Google aufnehmen kann oder wie gesagt, jetzt sieht die neuesten Gen AI Modelle, dann gibt es gibt's da in absehbarer Zeit europäische Anbieter, dass ich da hingehe, ne?
Speaker 2:Ja. Glaub, wenn wir jetzt über KI sprechen, genau, habt ihr jetzt auch als Max Plancks oder Du als Christoph Paar irgendwie eine Einschätzung, genau, wie KI uns helfen kann, in der IT Sicherheit besser zu werden oder wie KI möglicherweise unsere Privatsphäre weiter beeinflussen wird. Gibt's da Einschätzungen?
Speaker 3:Ja. Also ich glaub, mit mit mit Sicherheit, das ist ja bekannt, da gibt es Das ist ja auch sone Yin Yang Sache, wie oft in der in der Datensicherheit, wenn's neue Technologien gibt, liegt die können sich sich positiv auswirken. Das heißt, sie verbessern, können die IT sich verbessern oder verschlimmern mit vielleicht noch ein ein einen kurzen, nächstes Kurs. Das gilt übrigens ja auch mit Quantentechnologien, ja. Wir reden ja meistens, wenn wir über Quantencomputer reden, über oder implizit zum zu meistens zum Brechen von Public Key Kryptografie, aber die können auch neue Security Funktionen zur Verfügung stellen, auch Quanten Key Exchange, aber auch Beyond.
Speaker 3:Also dass wir irgendwelche fortgeschrittene Krypto machen können, die man im Moment nicht die im Moment nicht möglich ist. Nehmen wir jetzt noch mal auf die die andere Emergent Technology AI zurückzukommen. Hier ist ja die gleiche Situation. Also bei uns ist echt interessant, wir haben ein großes Exzellenzcluster mit fünfunddreißig Professoren. Da haben wir mal, wir haben das mal erfasst.
Speaker 3:Da setzen die allermeisten, arbeiten inzwischen in irgendeiner Weise mit KI, inklusive mir. Ich bin ganz bestimmt kein KI Mensch, ne. Ich bin 'n angebalter Kryptograf. Aber sagen wir mal so, als als als Hilfswissenschaft, als Methodik wird die eingesetzt und verbessert ganz ganz viele Aspekte, muss man sagen, ne. Ganz viele Aspekte der der Datensicherheit wird ja auch eingesetzt, Softwareschorstellen zu finden.
Speaker 3:Also die Sache ist relativ klar, was, glaub ich, die spannendere Frage ist, wie kann das destruktiv eingesetzt werden? Und da hab ich selber noch nicht drauf geforscht, so mal vom Bauchgefühl würd ich sagen, da ist schon eine Gefahr da, ne. Zum Beispiel jetzt so was wie, wenn man man man weiß ja, dass dass viele erfolgreiche Cyberattacken richten sich gegen Menschen, ne? Also Phishing Attacken, besonders Spare Phishing Attacken. Das sind also dann E-Mails, die nicht sind, hier wollen Sie Millionär werden oder so was mit Massen E-Mails, die hunderttausendmal verschickt werden, sondern Und da klicken, glaub ich, die meisten, Du und ich und wahrscheinlich nicht an die meisten Zuhörer jetzt, ne, werden die der klicken, ne, weil die einigermaßen clever sind.
Speaker 3:Ich find's wesentlich gefährlicher, also viel mehr. Was ist, wenn eine E-Mail kommt, die scheinbar von dir kommt, Norbert, und sagt, na, lieber Christoph, benimmt dann vielleicht Bezug auf hier unser Video oder so was, ne, unser Podcast. Also relativ glaubhaft, ne. Und ich dann auf das PDF für 'n Attachment klicke oder so, ne. Und da würd ich jetzt mal so vom Grunde da aktiv drauf zur Frosch schon vom Bauchgefühl sagen, das ist schon 'n 'n 'n angsteinflüssender Gedanke, dass auf einmal zum Beispiel in so Spareefish Spareefishing Attacken mächtiger werden.
Speaker 3:Mhm. Die langen Seite von dem von der von der Gefahr der von so 'nem Angriffsvektor ist natürlich irgendwann dann bin ich sicher, dass auch eine Anti Phishing Software mehr wahrscheinlich in in jedem E-Mail-Programm integriert wird. Also wie gesagt, das ist, glaub ich, son son weitgehendes Wettrüsten, ne. Wie wie und wer da am Ende gewinnt, ist, glaub ich, schwer zu sagen im Moment.
Speaker 2:Ja, vielleicht so zum Abschluss noch mal eine Frage, was glaubst Du denn, ist grad so die spannendste Frage im Bereich der IT Sicherheit, die dich so bewegt, wo Du sagst, boah, das ist superspannend und das wird uns in den nächsten Jahren doch noch ziemlich beschäftigen?
Speaker 3:Also ich glaube, eine eine große Sache ist, in der Kryptografie gibt es sehr viele Tools, die wurden so in den letzten zwanzig Jahren entwickelt. Die können viel mehr und ganz andere Sachen als die bisherige Standard Kryptografie, die jetzt in in Bots App oder in unseren in jeder Zoom Zoom Installation wird ja auch, ist ja auch kryptografische Schlüsse, fully Homomorphic Encryptption zum Beispiel. Da gibt es ganz viele Sachen im Moment, nicht im Moment, also seit Jahren kämpfen eigentlich die Forscher drin, obwohl die sehr schöne Möglichkeiten haben, die in der realen Welt ans Laufen zu kriegen, unter anderen aus Performanzgründen, aber auch aus anderen Gründen. Ich glaub, das ist eine große Herausforderung, weil da gibt es sicher viele neue Sicherheitsfunktionen. Und die andere Sache, die bin ich bin ich schon eins Komma eins zwei Mal eingegangen jetzt in den letzten dreißig Minuten, ist wirklich dieser Faktor Mensch und wie wie schaffen wir's Mensch auch im Kontext von Organisationen, da Sicherheitslösungen zum Beispiel passgenau auf den den Faktor Mensch sind.
Speaker 3:Ich glaub, das würde hätte vielleicht den dramatischsten Auswirkungen auf die Anzahl der Cyberattacken unterzubringen, muss ich sagen, ne.
Speaker 2:Vielen Dank für das Gespräch.
Speaker 3:Ja, auch noch mal ganz vielen Dank für die Einladung und finde ich nette Unterhaltung, Norbert.
