Er dringt in Festplatten und Arbeitsspeicher riesiger Datenzentren ein. Der Mathematiker Jean-Pierre Seifert betreibt eine „destruktive“ Forschung, um auf die Gefahren veralteter Sicherheitstechnik aufmerksam zu machen – und sensible Daten in Zukunft besser verschlüsseln zu können
Wenn Jean-Pierre Seifert zu einem Abendessen bei Freund*innen eingeladen ist, kommt die Sprache früher oder später auf Computerprobleme. Was kann man tun, wenn der Mailaccount gehackt wurde? Wie sicher ist Onlinebanking? „Halte deine Antwort bitte kurz“, schärft ihm seine Frau vorher oft augenzwinkernd ein. Seifert ist Einstein-Professor am Institut für Softwaretechnik und Theoretische Informatik der Technischen Universität Berlin. Sein Spezialgebiet: Datensicherheit.
Es sind aber nicht Viren, Würmer und Trojaner, die ihn umtreiben, sondern es ist die Sicherheit der Hardware von Festplatte und Arbeitsspeichern im Computer – zu Hause wie auch in den turnhallengroßen Datenzentren überall auf der Welt. Gerade in Letzteren liegen die persönlichen, die wirklich sensiblen Daten. Alle Informationen auf Speicherchips werden vor der Speicherung auf der Hardwareseite automatisch verschlüsselt. Diese Datenverschlüsselung, auch Kryptografie genannt, ist Seiferts Forschungsterrain. Und da liege vieles im Argen. „Die Sachen sind so unglaublich grotesk unsicher, auch wenn die Hersteller oft das Gegenteil behaupten“, klagt Seifert. Viele Versprechen, selten haltbar – das ist seine Lehre nach Jahren detektivischer Arbeit im Dienste der Datensicherheit. „Meine Forschung ist destruktiv. Mich interessiert, wie leicht man Daten aus Chips herauslesen kann, ohne dass man es darf.“ Er sagt es, ohne dabei überheblich zu klingen, ihm geht es vor allem um eines: die praktischen Gefahren sichtbar zu machen, die von dieser Unsicherheit ausgehen.
Geschockt war er etwa, als er sich jüngst den Speicher eines der modernsten und „sichersten“ Hauptprozessoren eines Datenzentrums vorknöpfte, ein Ehrfurcht erweckendes Gerät von etwa einem Quadratmeter Größe. Seifert und sein Team machten sich daran, es zu knacken. Seit Neuestem liegen alle Informationen auf dem Arbeits- und Hauptspeicher nur noch in verschlüsselter Form vor, sodass auch physikalische Angreifer diese nicht stehlen können. Doch es fiel Seiferts Team gar nicht schwer, die Verschlüsselung einfach abzuschalten. „Das System brach auf dem Stand einer Sicherheitstechnik zusammen, die mindestens 20 Jahre alt ist“, sagt Seifert.
Der Nervenkitzel dabei, das Gefühl, einem Rätsel auf den Grund zu gehen, hat ihn schon als Jugendlicher gereizt.
Eine sehr gefährliche Sicherheitslücke also, denn in solchen Speichern lagern wertvolle Daten: die Suchpfade, die wir im Internet gegangen sind, Informationen darüber, warum wir ein Krankenhaus aufsuchen mussten, Kreditkarteninformationen, Anschriften und Kundendaten von Unternehmen und Dienstleistern. Seiferts schockierende Entdeckung erfährt internationale Aufmerksamkeit, macht sie doch klar: Angreifer können in den Datenzentren ohne großen Aufwand hochsensible Informationen abgreifen, die dort angeblich sicher liegen. Wie viel Vertrauen können Verbraucher*innen da noch haben, dass ihre digitalen Fußabdrücke nicht ausspioniert werden?
Ein heikles Terrain
Nach dieser Enthüllung, wie schon nach anderen, erlebte Jean-Pierre Seifert „das übliche Spielchen“, wie er es nennt. Der Speicherhersteller schickt einen Brief vom Anwalt, droht mit einem Gerichtsprozess. „Die eine Hälfte der Hersteller droht und verklagt uns, wenn wir ihre Sicherheitslücken aufdecken. Die andere Hälfte will mit uns zusammenarbeiten“, berichtet er sachlich. Drei Gerichtstermine hatte er allein 2018. Ihn ficht das nicht mehr an. Er habe sich daran gewöhnt, sagt er. Persönlich sei er noch nie belangt worden.
Aber die verbreitete Datenunsicherheit habe ihn selbst „paranoid“ gemacht, wie er überspitzt sagt. Seinen privaten Computer hat er mit drei Sicherungssystemen geschützt. Just nach dem Starten des Computers ist schon ein erstes Passwort fällig, das dann die Login-Bildschirmansicht freischaltet. Der Zugriff auf die Festplatte ist mit einem weiteren Passwort geschützt, seine Mails mit einem dritten. Er verwendet Zugangsdaten, die er am Ende eines Tages verwirft. Am Folgetag vergibt er ein neues Passwort, jedes zehn bis zwölf Ziffern lang. „Das ist das Sicherste. Sicherer als Fingerabdruck und Venenerkennung und all diese Dinge, die man brechen kann.“ Und zum Glück, sagt er, habe er keine Gesundheitskarte. Denn diese Chipkartenprodukte könne schon ein gewiefter Abiturient heimlich auslesen. Beim Onlinebanking achtet er auf eine Zweifaktorauthentifizierung. Erst ein ellenlanges Passwort und dann noch mindestens eine Transaktionsnummer, die er per SMS bekommt. Außerdem lässt er bei jeder Geldbewegung automatisch eine SMS auf sein Handy schicken. „Manchmal ist Datensicherheit einfach. Ich weiß doch, was ich gekauft habe. Wenn jemand von meinem Konto Geld abhebt, rufe ich eine Minute später bei meiner Bank an.“
Wirklich Angst hat Seifert allerdings davor, dass der deutsche Staat ihn ausspähen könnte. Schon oft hat er mit seiner Forschung gezeigt, dass selbst die neuesten Sicherungssysteme des Bundesamtes für Sicherheit in der Informationstechnik nicht wirklich halten, was sie versprechen. Womöglich wolle man dort wissen, „was ich als Nächstes vorhabe und sonst noch so treibe“, befürchtet er.
Die Freiheit, tun und lassen zu dürfen, was ihn reizt, zog ihn aus den USA zurück nach Deutschland – in die akademische Forschung.
Trotzdem: Diese diffuse Sorge hält ihn nicht davon ab, immer wieder aufs Neue die Verschlüsselungstechniken von Herstellern und Behörden in den Prüfstand zu heben und Sicherheitslücken aufzudecken. Der Nervenkitzel dabei, das Gefühl, einem Rätsel auf den Grund zu gehen, hat ihn schon als Jugendlicher gereizt. Damals baute er das Fernsehgerät seiner Eltern zum Oszilloskop um, sodass er wahlweise die Sinus- und Kosinuskurven von elektrischen Geräten damit beobachten konnte – oder seine Eltern Filme schauen konnten. Dann studierte er Mathematik, um Zahlenrätsel und Gleichungen zu lösen. Er promovierte in der Arbeitsgruppe des renommierten Mathematikers und Informatikers Claus-Peter Schnorr an der Universität Frankfurt am Main, ging mit ihm nach Zürich und Boston. „Meine Liebe zur schönen Mathematik bekam dank ihm einen Anwendungsfall: die Datenverschlüsselung, die Kryptografie. Diesem Gebiet bin ich bis heute treu geblieben.“
Nach seiner Hochschullaufbahn wechselte Seifert in die Industrie. Zuerst war er bei Infineon, dann bei Intel, und schließlich baute er für Samsung die ersten Sicherheitshandys, die gegen Hackerangriffe geschützt waren. Doch in der Wirtschaft muss Datensicherheit bezahlbar und praktikabel sein. Destruktive Forschung, die Sicherheitslücken aufdeckt – wie Seifert sie betreibt –, ist tabu. Die Freiheit, tun und lassen zu dürfen, was ihn reizt, zog ihn deshalb 2008 aus den USA zurück nach Deutschland – in die akademische Forschung. Als unbequemer Professor hofft er, zu sicheren Produkten beizutragen. Doch noch würde er jedem Versprechen, dass Daten sicher seien, misstrauen.
Text: Susanne Donner