Mobile Ansicht
Wechseln Sie für eine bessere
Darstellung auf die mobile Ansicht
Weiterlesen Mobile Ansicht
HOME

Facebooks Sicherheitschef: "Facebook hat alle Arten von Feinden"

Er ist für die Sicherheit bei Facebook verantwortlich – und damit auch bei Whatsapp und Instagram. Alex Stamos spricht im stern-Interview über staatliche Angriffe, die Jagd auf Gauner – und Hintertüren für Geheimdienste.

Facebooks Sicherheitschef Alex Stamos

Facebooks Sicherheitschef Alex Stamos

Das US-Magazin "Fortune" hat Sie den "Kapitän von Mark Zuckerbergs Leibgarde" genannt. Seit 2015 sind Sie Facebooks Sicherheitschef. Wie haben Sie sich in Ihrem Job zurechtgefunden?
Es hat Spaß gemacht. Facebook expandiert in eine ganze Reihe neuer, mobiler Dienste: mit Whatsapp, mit Instagram. Mit Internet.org wollen wir jenen 60 Prozent der Menschheit, die noch kein Internet haben, einen Anschluss verschaffen. Mit Oculus definieren wird die 3-D-Welt. All das bringt Sicherheitsheitsfragen mit sich, über die wir zuvor nie nachgedacht haben.

Was sind die größten Herausforderungen?

Mir ist sehr wichtig, dass unsere Produkte bei der Benutzung sicher bleiben. Nehmen Sie etwa Internet.org. Der durchschnittliche Nutzer in vielen Teilen Afrikas oder etwa auch in Indien wird keine 600-Dollar-iPhone mit sich herumtragen. Der nutzt wahrscheinlich ein 50-Dollar-Android-Telefon von einer Firma, die höchstwahrscheinlich keinen Vertrag mit Google hat. Wahrscheinlich hat der Nutzer auch keine Erfahrung mit der Sicherheit in der PC-Welt. Unser Job ist es, dafür zu sorgen, dass auch diese Leute sich sicher bewegen können.

Wo sind die Leute besonders angreifbar?

Stellen Sie sich vor, dass Sie noch nie im Netz waren – und plötzlich will jemand ein Passwort von Ihnen. Wir versuchen, Systeme so zu bauen, dass es nicht gleich katastrophale Folgen hat, wenn Fehler gemacht werden. Wenn etwa jemand das Passwort abfischt, dann versuchen wir das zu entdecken und das Profil abzusichern, bevor die Daten von dort kopiert werden können.

Zuvor haben Sie bei Yahoo gearbeitet. Stehen Sie bei Facebook stärker unter Beobachtung?

Facebook ist sicher kulturell einer der wichtigsten Firmen in der heutigen Welt. Sobald irgendwo auf der Welt irgendetwas geschieht, ist Facebook Teil davon. Weil wir das Medium sind, über das jeder kommunizieren kann. Das heißt wir werden auch in viele Situationen mit hineingezogen.

Welche Art von Feinden hat Facebook?

Facebook hat alle Arten von Feinden. 1,5 Milliarden Menschen im Monat nutzen Facebook. Es gibt keine Situation, in der wir uns zurücklehnen und hoffen können, dass sie sich von selbst löst. Es gibt die wirtschaftlich motivierten Gegner, die Nutzern etwas vortäuschen oder ihre Profile und Postfächer spammen wollen. Es gibt Gegner, die es auf ganz spezielle, einzelne Nutzer abgesehen haben. Oft gibt es Vorfälle, wo hochmotivierte Menschen, die allerdings oft technisch nicht allzu versiert sind, andere angreifen. Oder ein Inhaber einer kleinen Firma greift  den Konkurrenten an, versucht, eine Schadsoftware auf dem Telefon des anderen zu installieren. Und dann gibt es die versierten, die High-End-Gegner, die manchmal dann eine Verbindung zu einem Staat oder einer Regierung haben. Wir müssen Schutz für das ganze Spektrum an Bedrohungen bieten.

Welche Art von Angriffen sind für Sie am wichtigsten?

Das können wir nicht priorisieren. Im Alltag gibt es Angriffe, denen 99 Prozent unserer Nutzer ausgesetzt sein können, wenn etwa jemand versucht, die Kreditkartennummer abzufischen. Das müssen wir verhindern. Aber wir müssen uns auch um das eine Prozent unserer Nutzer kümmern, die Profile mit höherem Bedrohungsrisiko haben: Demokratieaktivisten, Journalisten in Kriegsgebieten, Mitarbeiter von Nichtregierungsorganisationen.

Die Zahl dieser Leute ist zwar verhältnismäßig gering, dafür sind sie einem viel höheren persönlichen Risiko ausgesetzt. Also, wir versuchen, die 99 Prozent abzusichern und haben gleichzeitig ein spezielles Augenmerk auf jene, die besonders gefährdet sind. Wir bieten mittlerweile verschlüsselte Emails und spezielle Erkennungsmechanismen an, auch mit der Anonymisierungstechnik Tor kann man sich mit Facebook verbinden.

Vor einiger Zeit haben Sie verkündet, dass Sie Nutzer alarmieren, wenn Sie glauben, dass ihre Profile von Hackern im Auftrag  von Staaten angegriffen werden. Wie ist es dazu gekommen?

Es gibt eine Reihe von Mitteilungen. Die Standardmitteilung erfolgt, wenn die Webseite eines Drittanbieters gehackt wird und Millionen Passwörter gestohlen werden. Wir verständigen die Nutzer und sagen: Achtung, bei ihrem Passwort gibt es Probleme, ändern sie es bitte. Dazu empfehlen wir Sicherheitsmaßnahmen. Aber wir haben auch Leute, die sich dann auf den Schwarzmärkten umsehen und die angebotenen Passwörter mit Facebook-Passwörtern vergleichen. Bei Leuten, die gezielteren Attacken, möglicherweise sogar von einem Staat, ausgesetzt sind, reicht es aber wahrscheinlich nicht, dass man einfach sein Passwort ändert. Vielleicht sollten die dann auch auf ganz andere Sachen achten, um ihre physische Sicherheit zu schützen. Vielleicht sollten die etwa eine Reise nicht antreten. Uns geht es darum, dass diese Leute erfahren, dass sie besonderen Risiken ausgesetzt sind.

Wie können Sie technisch zwischen einem nichtstaatlichen und einem staatlichen Angriff unterscheiden?

Ich kann keine technischen Details verraten, weil die Angreifer dann wissen, wonach wir suchen. Aber es ist etwa auffällig, wenn es einen Angriff auf 50 Leute gibt und alle 50 haben dieselben Eigenschaften. Es gibt bestimmte technische Hinweise, nach denen wir suchen. Wenn diese Bedingungen erfüllt sind, dann ist es hoch wahrscheinlich, dass es sich um einen staatlichen Angreifer handelt. Schwieriger ist es dann, den Angriff einem bestimmten Staat zuzuordnen. In unseren Mitteilungen sagen wir nicht: Sie werden von diesem oder jenem Staat angegriffen.

Aus welchem Staat erfolgen die meisten Angriffe? Gibt's da eine Rangliste?

Die gibt es. Aber die veröffentlichen wir nicht. Die Wahrheit ist: Jeder spricht gerne über eine Hand voll Länder. Tatsächlich hätte der Geheimdienst fast jedes Landes gerne die Fähigkeit zu solchen Angriffen. Aber das kann nicht jeder leisten. Deshalb kaufen sie Angriffe. Und deshalb können wir nicht sagen: Diese fünf Staaten sind für alle Hacker-Angriffe verantwortlich. Etwa 50 Staaten haben in irgendeiner Form die Mittel dafür. Und wir versuchen, die technisch versierten Angreifer ebenso abzuwehren wie jene, die Standard-Software verwenden.

Sie schützen Ihre Bürger. Ist Facebook selbst so etwas wie ein Staat?

Mein Gott, das ist ganz schön philosophisch. Wir wollen unsere Nutzer wie Menschen behandeln. Und die vertrauen uns, dass wir unsere Arbeit möglichst gut erledigen. Und das nehmen wir sehr, sehr ernst.

Wie viele Mitteilungen haben Sie an bedrohte Personen verschickt?

Das veröffentlichen wir nicht.

Wie hat sich das Verständnis von Sicherheit nach den Snowden-Enthüllungen verändert?

Eine der interessanten Aspekte der Snowden-Enthüllungen ist, dass da technisch eigentlich nichts Super-Überraschendes dabei war. Das hat viele Leute erstaunt. Viele Profis hätten gedacht, wenn man an Dokumente der besten Geheimdienste herankommt – aus den USA, aus China, Russland, Israel, Frankreich, den technisch versierten Staaten – dass man dann so etwas wie geheime, magische Angriffswerkzeuge entdecken würde. Aber es gab keine.

Die Snowden-Enthüllungen haben gezeigt, dass die NSA Techniken von der Stange nutzt, die von jedem benutzt werden könnten – aber eben in einem Ausmaß, das niemand erwartet hatte. Die größte Veränderung nach den Snowden-Enthüllungen war eine breite Bewegung hin zur HTTPS-Verschlüsselungstechnik. Das war ein großes Upgrade für die Sicherheit im ganzen Internet.

Ist Snowden für Sie dann ein Verräter oder ein Held?

Ich höre diese Frage ständig.

Sorry.

Das ist schon okay. Ich kenne ihn nicht. Ich kenne seine Beweggründe nicht. Ich weiß jedoch, dass seine Enthüllungen zwei Entwicklungen zur Folge hatten, die sehr positiv sind. Erstens, wir verschlüsseln jetzt alles. Und, zweitens, Demokratien führen eine Debatte über das Ausmaß von Überwachungsgesetzen. Ich kann nur dieses Erbe beurteilen. Und das ist ein positives.

Vor einiger Zeit, als Sie noch bei Yahoo waren, haben Sie sich mit NSA-Direktor Mike Rogers ein Wortgefecht darüber geliefert, ob für Geheimdienste Hintertüren in Verschlüsselungsdienste eingebaut werden sollten. Tut sich da eine Kluft zwischen dem Silicon Valley und Washington auf?

Wir hoffen immer noch auf eine klare Aussage der Regierung. Aus unserer Sicht sind starke Verschlüsselungssysteme entscheidend, wenn es darum geht, die Privatsphäre unserer Nutzer zu schützen. Die Vereinigten Staaten sollten die Idee, Sicherheit zu schwächen, nicht mit einem demokratischen Stempel versehen. Das ist nichts, was liberale Demokratien tun sollten.

Der Europäische Gerichtshof hat das Safe-Harbor-Abkommen mit den USA gekippt. Ist dieses Misstrauen gegenüber dem Umgang mit den Daten europäischer Nutzer in den USA gerechtfertigt?

Die Entscheidung des Europäischen Gerichtshofs ist sehr frustrierend, weil es bei Facebook keine geheimen Hintertüren gibt. Es gibt einen Transparenzbericht, der genau aufführt, auf welchem Weg uns die US-Regierung um Informationen bitten kann. Es gibt Durchsuchungsbefehle und Vorladungen, davon hatten wir zuletzt 20000 im Berichtszeitraum. Und dann gibt es die so genannten Fisa-Anordnungen, die Anordnungen gemäß dem Foreign Intelligence Surveillance Act. Das ist weniger als 8000 Mal vorgekommen.

Bei unseren Sicherheitsmaßnahmen achten wir sehr darauf, dass jede Regierung uns offiziell um Daten bitten muss. Und dafür haben wir sehr klare Richtlinien. Der "Freedom Act" hat da sehr klare Vorgaben. Und diese Kontrollmechanismen können sich sehr gut mit denen des Europäischen Recht messen lassen. In manchen europäischen Ländern kann man überhaupt nicht melden, ob es Anfragen gab. In anderen gewähren Telekommunikationsfirmen ihren Regierungen direkten Zugang zu Daten. Wir machen das alles nicht. Wir geben der US-Regierung keinen direkten Zugang. Ich möchte das sehr klar sagen: Die Entscheidung des Europäischen Gerichtshofs basiert nicht auf den Fakten dessen, was bei Facebook wirklich geschieht.

Aber verstehen Sie nicht die Sorge der Europäer darum, was mit ihren Daten in den USA passiert?

Es gibt viele Leute, die sich aus gutem Grund um die Sicherheit des Internets sorgen sollten. Mein Job besteht aus nichts anderem. Ob die Informationen sich physisch in den USA befinden, spielt dabei überhaupt keine Rolle. Die Probleme, die sich daraus ergeben, dass Regierungen massenhaft im Datenverkehr des Internets schnüffeln, dass Regierungen in die Telefone ihrer Bürger einbrechen oder Schadsoftware installieren, das alles hat nichts mit physischen Grenzen zu tun. Die Behauptung, dass die Daten der Europäer in den USA weniger sicher seien, ist faktisch einfach nicht wahr. Bei der Abwehr jedes staatlichen Gegners ist die physische Verortung der Daten nicht wichtig. Dass die Daten sich in den USA befinden, bedeutet, dass es einige Überwachungsgesetze gibt, die für eine US-Firma gelten. Aber diese Gesetze sind viel enger gefasst als die Gesetzgebung in den meisten europäischen Ländern.

Sie drehen das Argument also um: Ihrer Ansicht nach sich die europäischen Vorgaben nicht so hart wie die amerikanischen Vorgaben?

Wenn Sie sich um die Sicherheit Ihrer Daten sorgen, müssen Sie sicherstellen, dass Ihre Daten bei Firmen gespeichert werden, denen Sie zutrauen, die besten Sicherheitsteams zu haben und die beste Arbeit zu leisten, um Angreifer fern zu halten. Und das geschieht unabhängig von der physischen und geografischen Verortung des Hauptquartiers einer multinationalen Firma.

Warum sollten wir ausgerechnet Facebook vertrauen?

Ich verstehe, dass es nicht einfach ist zu entscheiden, wem man vertraut. Deshalb müssen wir mehr darüber sprechen, wie wir für Sicherheit sorgen. Deshalb werden wir in den nächsten Jahren genauer erklären, was wir getan haben, um das Internet sicherer zu machen. Wir betreiben etwa ThreatExchange, eine offene, kostenlose Plattform zum Austausch von Informationen über Angriffe. Wir haben OSquery veröffentlicht, ein Open-Source-Werkzeug zur Systemüberwachung. Die Sicherheit unserer Nutzer ist nicht nebensächlich. Es ist ein entscheidender Teil der Werte von Facebook und unserer Fähigkeit, der ganzen Welt einen Dienst anzubieten.

Bislang ist Facebook nicht durch eine offene Kommunikationsstrategie aufgefallen, gerade in Europa nicht.

Techkonzerne müssen generell besser darin werden, zu vermitteln was sie in Sachen Sicherheit unternehmen. Das stimmt schon. Im Silicon Valley sind wir ziemlich gut darin, über die positiven Aspekte unserer Produkte zu sprechen. Wir müssen auch über die Nachteile sprechen. Es gibt schlechte Menschen in der Welt, und sie wollen die Technik missbrauchen. Und das und das tun wir, um Sie gegen diese Leute zu schützen.

Sie haben ein Vermittlungsproblem?

Ja. Im Silicon Valley glauben Ingenieure traditionell daran, dass ihre Produkte für sich selbst sprechen.

Interview: Florian Güßgen
täglich & kostenlos
Täglich & kostenlos

Stern Logo Das könnte Sie auch interessieren

Partner-Tools