Rund 160 internationale Sicherheitsexperten trafen sich auf der "Deep Sec", um darüber zu reden, wie Computersysteme sicherer gemacht werden können. Um dies zu erreichen, brauche es vor allem eine offene Diskussion über Fehlschläge, sagt René Pfeiffer, Sicherheitsberater und einer der Veranstalter.

"Fehlschläge sind ein Teil von IT-Security, weil man es nicht immer schafft. Es gibt Einbrüche, es gibt Kompromittierungen. Wir wollten einfach nur klarmachen, dass dies völlig in Ordnung ist, dass man über alles offen reden kann. Das hat nichts mit Preisgabe zu tun, sondern ist ein Zugeben: Ja, ich habe welche. Ja, es gelingt mir nicht immer und wie können wir das in Zukunft besser machen."

Ein Credo der Sicherheitsbranche lautet: Fehler lassen sich vermeiden, indem man sie oft genug begeht.

"Wir haben das in unserem Motto drinnen, ja. Dieser Spruch: 'If you want to fail less, fail often' heißt letztendlich: Hier muss man die geeignete Portion lernen, damit man etwas verbessern kann. Das Problem, das in der IT-Security oft stattfindet, ist: Wenn nicht passiert, glaubt man, dass alles in Ordnung ist. Erst dann, wenn etwas passiert, fängt man an, die Konfigurationen zu hinterfragen und zu verbessern. Übersetzt heißt das einfach: Wenn ich weniger Fehlschläge haben will, muss ich oft etwas verbessern. Denn die Fehlschläge sind der Anlass, wo man was macht, denn normalerweise macht man ohne Anlass nichts."

Ein altbekanntes Problem: Sicherungen werden meist erst dann erstellt, wenn Daten bereits verloren gegangen sind. Und auch die Auslagerung der Daten in eine Cloud ist keine Lösung - auch nicht für die NASA. In einem Vortrag wurde darauf hingewiesen, dass es der NASA keineswegs billiger kommt, wenn sie ihre Daten in entfernte Rechenzentren auslagert. Ein Grund dafür ist, dass nicht nur ein Cloud-Service genutzt werden kann, sondern mehrere. Dabei die Übersicht nicht zu verlieren ist ein Mehraufwand für die Administratoren. Michael Kafka, einer der Veranstalter der Deep Sec und in der Community unter dem Pseudonym Mika bekannt, hält von derartigen Trends generell wenig.

"Wir aus der Security werden auf Themen geworfen wie: 'bring your own device', Smartphones und Cloud. Lauter unwichtiges Zeug. Wir haben momentan noch kaum die Basis im Griff! Wir haben kaum eine Kontrolle darüber, wer in unserem System herumspaziert. Wir hören es in unseren Vorträgen, dass teilweise ein halbes bis ein Jahr lang Backdoors existieren. Das ist wirklich problematisch."

Anstatt solche Hintertüren - Backdoors - zu schließen, werden durch die Auslagerung neue geöffnet. Bereits seit Jahren wird auf der Deep Sec der Begriff Cyberwar hinterfragt. Ein Krieg, der vermehrt von militärischen Organisationen, Politikern und Medien heraufbeschworen wird. Krieg ist ein todbringendes Handwerk, das strikten Regeln zu folgen hat. So steht es im Völkerrecht: Ein Krieg hat einen eindeutigen Anfang - die Kriegserklärung eines Staates -, und er hat ein eindeutiges Ende, an dem ein Friedenschluss oder auch eine Staatenbildung steht. Beides trifft auf einen Cyberwar, der mit Software geführt werden soll, nicht zu. Die Sicherheitsexperten auf der Deep Sec lehnen diesen Begriff daher ab. Ein Cyber-Krieg ist kein klassischer Krieg mit neuen Mitteln, sondern etwas ganz anderes.

Michael Kafka: "In unseren Kreisen spricht man nicht von auf- oder abrüsten, das ist nicht der übliche Jargon."

René Pfeiffer: "Also das große Problem da ist, dass oft mithilfe von Analogien diskutiert wird. Das heißt, man verwendet Metaphern, man verwendet 'Cyberwar'. Wenn ich 'Krieg' sage, dann habe ich plötzlich Waffen, und dann hat der eine mehr und der andere weniger. Das sind alles Analogien. Die klingen zwar gut, aber wenn ich wieder zurück gehe zur Security, dann kann ich damit nichts anfangen. Wenn ich mir jetzt überlege: Was ist eine Cyber-Waffe? Was ist eine digitale Waffe? Das ist nichts anderes als Code. Das sind Zahlen. Das heißt, ich müsste zu den Mathematikern gehen und ihnen sagen: Ihr müsst abrüsten. Was heißt das dann? Das macht überhaupt keinen Sinn."