Mit rund 100 Wissenschaftlern aus 44 Ländern bleibt die Konferenz ITU-Kaleidoscope, die diese Woche an der Universitat de Autònoma de Barcelona stattgefunden hat, überschaubar. Nur, etwas war dieses Jahr anders: Noch nie waren so viele Mitarbeiter der ITU-T anwesend. Und wohl noch nie hat ein Direktor der ITU-T so viel Wert darauf gelegt, den Menschen und nicht die Technik in den Vordergrund zu stellen. Seit Januar 2015 leitet der Koreaner Chaesub Lee das Büro für Standardisierung im Telekommunikationsbereich in Genf. Die Sicherheitsfrage im Netz, so sein Credo, könne nicht gelöst werden, wenn man dabei allein Angriff und Verteidigung im Sinn habe.
"Wir haben den Geräten und der Internet-Technologie blind vertraut. Das war falsch, und die Welt hat das erkannt. Leider wurden viele Menschen von der Technik enttäuscht. Schwer enttäuscht. Das ist ein Grund, warum wir diesen Weg nicht fortsetzen wollen. Wir wollen die Gesellschaft verbessern! Daher sagen wir jetzt: Anstatt uns weiterhin auf die dunkle Seite im Internet zu konzentrieren, um kriminelle Machenschaften zu unterbinden, versuchen wir, ein wenig Tageslicht in die Informationstechnik zu bringen. Das ist ein besserer Weg, und der führt zu einer besseren Gesellschaft."
"Trust 2020" lautet eine Agenda der ITU-T für die nächsten vier Jahre. Trust, wie Vertrauen. Chaesub Lee verspricht den Internetbenutzern damit nicht nur ein wenig mehr Sonnenschein, sondern auch den Telekommunikationsunternehmern Kosteneinsparungen. Denn mit Vertrauen könne man beginnen eine Art "security light" zu entwickeln, damit in Zukunft nicht jede Anwendung und jedes Gerät gleich als hohes Sicherheitsrisiko eingestuft wird und damit die Kosten der Provider nicht weiter in die Höhe getrieben werden.
Nützlich wäre so eine Entwicklung nicht nur für die Telekommunikationsunternehmen, sondern auch für die ITU-T: nämlich, wenn sie gleich selbst als Kontrollinstanz auftritt, als eine Art Clearingstelle des Vertrauens. Diese Instanz hätte die Funktion, dem Anwender auf einfache Weise zu bestätigen, ob sein digitales Gerät den Sicherheitskriterien entspricht oder nicht. Chaesub Lee nennt als Beispiel ein einfaches digitales Gerät in Form eines Löffels, der mit dem Internet verbunden ist und von Diabetikern genutzt wird, um ihren Zuckerkonsum zu kontrollieren und aufzuzeichnen. Der Löffel protokolliert die Nahrungsaufnahme und warnt seinen Besitzer, wenn die Tageseinheit an Zucker unter- oder überschritten wird.
Lee: "Wenn dieser Löffel von der Internationalen Fernmeldeunion ITU zertifiziert wird, dann könnte ich als Anwender vor dem ersten Einsatz eine einfache Anfrage an die ITU schicken. Die meldet sich dann zurück und bestätigt mir, dass es für den Löffel ein gültiges Zertifikat gibt. Damit weiß ich, ich kann den verwendeten Protokollen vertrauen, die Benutzung des Geräts ist sicher. Das ist eines der Beispiele, wie wir Vertrauen als Leistungsmerkmal und Funktion einsetzen könnten, um die Informationsgesellschaft besser zu schützen."
Vertrauen ist ein Begriff, der für Menschen weit mehr bedeutet als die Garantie einer Dienstleistung oder die Bestätigung einer stabilen Datenverbindung. Die Wissenschaftler auf der Konferenz Kaleidoscope 2015 – hier in Barcelona – sind sich nicht sicher, ob sich überhaupt eine Verbindung zwischen Vertrauen und Sicherheit herstellen lässt. Das sei nicht so leicht belegbar, meinte Siani Pearson, vom Hewlett Packard Security and Cloud Research Lab in Bristol, England. In ihrer Keynote spricht sie statt von Vertrauen von "accountability", Verantwortungsbewusstsein.
"Generell kann man sagen, dass verantwortungsvolles Handeln das Vertrauen erhöht. Oder anders gesagt: Wenn ein Unternehmen gewisse Mechanismen einführt, um sein Verantwortungsbewusstsein zu beweisen, dann sollte es von einer Zertifizierungsstelle auch als vertrauenswürdiger eingeschätzt werden."
Verantwortungsbewusstsein bedeutet, pflichtbewusst zu handeln, aber auch in die Pflicht genommen zu werden. Dafür braucht man Transparenz und Überprüfbarkeit.