Hadmut Danisch

Ansichten eines Informatikers

Das Helmholtz-Zentrum für IT-Sicherheit, Jackpots und Wahlkampfhilfe

Hadmut
26.3.2017 19:25

Die nächste Luft-Nummer im IT-Sicherheitszirkus – inklusive meiner Absturzprognose.

Es gingen in den letzten Tagen einige Meldungen dazu herum, dass im Saarland ein Helmholtz-Zentrum für IT-Sicherheit entstehen soll. Ich hatte es schon seit ein paar Tagen im Stapel, aber auch nicht für so wichtig gehalten, dass man es sogleich erwähnen sollte, ist mir jetzt aber zur Wahl im Saarland wieder eingefallen.

Man lese etwa die Saarbrücker Zeitung unter „Wir haben den Jackpot geknackt“, worin es hieß

Zwar steht die formelle Zusage der Helmholtz-Gesellschaft für die Neugründung im Saarland noch aus, wie diese gegenüber unserer Zeitung bestätigte. Dass die Nachricht vom „Jackpot“ gestern dennoch bereits offiziell von der Ministerpräsidentin verkündet wurde, dürfte der Euphorie, dem Glück – und sicher auch der Landtagswahl in anderthalb Wochen geschuldet sein.

Das ist ein wesentlicher Punkt. Es gibt ja nicht mehr so viele CDU-Regierungen und CDU-Ministerpräsidenten (innen), da werden die sich schon ziemlich reingehängt haben, um Kramp-Karrenbauer zu stützen. Das Thema Arbeitsplätze ist ja gerade im Saarland auch immer ein Thema. Und gerade eben kommt die erste Hochrechnung herein, +5% für die CDU.

Oder auch diesen Artikel: Saarland wird Zentrum für digitale Sicherheit .

Auch der Saarländische Rundfunk hat gleich zugelangt: Saarland wird erste Adresse für IT-Sicherheit.

Das Saarland. Die erste Adresse in IT-Sicherheit. Mit einem „Kompetenzzentrum“.

Der Brüller daran ist ja, dass das jener Professor Michael Backes leiten soll. Über den schreibt die Saarbrücker Zeitung:

2009 wurde er vom renommierten Massachusetts Institute of Technology (MIT) in Boston zu einem der weltweit besten 35 Forscher gewählt. Ein Jahr später ernannte ihn die Zeitschrift „Capital“ zum besten Forscher Deutschlands unter 40.

Mmmh, das ist so wie der Oskar für den besten ausländischen Film. Ernst nimmt man die nicht, aber irgendeiner muss ihn ja kriegen. Und wie das mit den Einschätzungen von Personen in der Crypto-Community so läuft, habe ich, denke ich, hinreichend beschrieben.

Und vom Fachblatt für IT-Sicherheit, Kryptographie und Wissenschaftsexzellenz „Capital“ zum besten Forscher ernannt zu werden, das ist natürlich schon der Brüller schlechthin. Da hatte wohl jemand einen guten Draht zur Redaktion. Was kommt als nächstes? Cover von der Cosmopolitan? (Ach nee, da kommt erst der andere Saarländer dran, der von der SPD mit den teuren Maasanzügen.)

Merkt Ihr was?

Fällt Euch nichts auf?

Sie jubeln über den Jackpot, das neue Super-Hurra, geleitet vom Krypto-Superman, und alles, was sie zu seinen Lobpreisungen zusammenkriegen ist, 2009 und 2010 mal zu etwas gewählt worden zu sein, solche Polit-Konsens-Dinger.

Ich kenne Backes zwar nicht persönlich, aber er ist mir kein Unbekannter. Er war damals bei der Nachfolge Beth einer der drei im abschließenden Dreiervorschlag, den man dem Ministerium vorgelegt hatte. Der bestand aus Jörn Müller-Quade, der als Hausberufung und mit sehr dünnen Leistungen eigentlich gar nicht hätte berufen werden dürfen, und zwei „Konkurrenten“, die zu diesem Zeitpunkt aber längst andere Professuren in Darmstadt und im Saarland angenommen hatten, einer davon Backes. Man hatte dem Ministerium also einen „Dreier-Vorschlag“ vorgelegt, in dem zwei schon nicht mehr zur Verfügung standen, damit die Müller-Quade nehmen mussten. Da könnte man ja so auf den schmutzigen Gedanken kommen, dass die sich da gegenseitig zu Professuren verhelfen, indem sie sich gegenseitig die Fake-Bewerbungen liefern, um Dreier-Vorschläge so aufzupumpen, dass nur einer effektiv auswählbar ist, und dafür im Gegenzug nichtangenommenen Ruf oder Auswahl in den Lebenslauf schreiben und dafür ihre eigenen Einkünfte erhöhen.

Ich will es mal so sagen: Auf einem Dreiervorschlag zu stehen (und seine Bewerbung nicht zurückgezogen zu haben), obwohl man bereits eine andere Professur angenommen hat, halte ich für strafwürdig und Beihilfe oder Teilnahme an Untreue und Betrug. Denn eigentlich hätte man dann, wenn man nicht mehr zur Verfügung steht, seine Bewerbung zurückziehen müssen und die Uni Karlsruhe hätte damals den Dreiervorschlag mit zwei anderen Bewerbern auffüllen müssen. Dann aber das Ministerium wohl kaum Müller-Quade als Hausberufung gewählt (wenn ihnen das denn klar gewesen wäre).

Mir ist Backes aber auch fachlich schon aufgefallen. Negativ. Denn der hat damals das X-Pire! verzapft, über das ich damals einige Artikel geschrieben habe, beispielsweise Idiotische Kryptographie, Made in Germany. Schon damals lag auf der Hand, dass das fachlich völliger Quatsch ist und Backes da so ein paar ganz grundsätzliche elementare Dinge in der IT-Sicherheit nicht verstanden hat (beispielsweise, dass man in der IT-Sicherheit nicht voraussetzen kann, dass der Angreifer kooperiert und sich an Regeln hält, denn wenn er das täte, bräuchte man ja keine IT-Sicherheit).

Aber was soll’s, unsere damlige Cyber-Expertin, die damalige Verbraucherschutzministerin Ilse Aigner (CSU) war ganz begeistert und jubelte über IT-Sicherheit Made in Germany.

Ja. Made in Germany war es. Das ist wohl wahr.

Und zwar genau auf dem Niveau, das man in Deutschland in der IT-Sicherheit nach dem großen Polit-Putzen noch übriggelassen hatte. Da gab es einen, der nicht mal Primzahlen definieren konnte, aber Professor für IT-Sicherheit wurde. Da gab’s eine, die weder Authentifikation, noch Anonymisierung verstanden hatte, schon gar nicht den Unterschied, aber der Meinung war, dass Passworte nur sicher sind, wenn sie möglich kurz sind, nämlich weil man sie sich dann leicht merken kann und nicht unter die Tastatur schreiben muss. Cyber-Angreifer sind die, die einem nachts unter die Tastaturen gucken. Hat mit Auszeichnung promoviert und Forschungskarriere gemacht. Dann gab es Müller-Quade, der jahrelang an seinem Wahlsystem Bingo-Voting gebastelt hatte (obwohl darin leicht ein Fehler zu zeigen war), und eben X-pire!. Nur noch so harmloses, militärisch und geheimdienstlich garantiert irrelevantes Zeug, nichts, was auch nur irgendwie entfernt an der Kommunikationshoheit der USA kratzen oder gegen deren Interessen verstoßen könnte.

Und gerade so in dem Zeitraum, in dem man die IT-Sicherheitsprofessuren alle mit solchen Harmlos-Blümchen besetzt hat, gab die Bundesregierung noch die Parole aus, “IT Security Business is growing up.” IT-Sicherheit, so die Auffassung der damaligen Regierung (Merkel) ist, wenn die zugehörige Industrie steigende Umsätze meldet. Wir haben zwar nicht verstanden, was es ist, aber wir sehen es so wie bei Bäckern und Schustern, wenn der Umsatz brummt, wird’s gut sein.

Heute sieht das alles anders aus, denn inzwischen ist das Internet nicht mehr nichtexistent, sondern immerhin „Neuland“, und auf einmal machen sie alle auf Cyberkrieger, weil’s plötzlich wichtig (und noch schlimmer: angeblich wahlentscheidend) ist. Und auf einmal sitzt man tief in der Scheiße, weil man ja vor 10-20 Jahren die IT-Sicherheitsforschung komplett totgeschlagen, die ernsthaft aktiven Leute verscheucht und alle durch solche Spielzeug-Forscher und Bällchenbäder ersetzt hat. Jetzt brennt die Hütte und sie meinen, Geld hilft, viel Geld hilft viel.

Nöh.

Tut’s nicht.

Weil es erstens nicht genug Geld ist, und man zweitens ja auch noch Zeit braucht. Hätte man damals, vor 20 Jahren, ordentliche IT-Sicherheitsforschung und -Institute aufgebaut, stünden wir heute wesentlich besser da.

Mal so eine Frage zum Nachdenken: Was fällt Euch im Bereich der IT-Sicherheit ein, was deutsche Universitäten in den letzten 30 Jahren Nennenswertes hervorgebracht haben, was die Kommunikations- oder Systemsicherheit erhöht?

Na?

Genau. Das war so gewollt.

Man sabotiert seit Mitte der neunziger Jahre die Sicherheits- und Kryptoforschung, Grüße von der NSA und dem BND soll ich auch ausrichten, und was dann noch übrigblieb war sowas wie Bingo-Voting und X-Pire!. Und jetzt eben dieses Helmholtz-Institut im Saarland.

Im Saarland.

Im Saarland.

Der Markt an Sicherheitsexperten ist dünn. Da wüsste ich schon in Deutschland nicht viele, die ins Saarland gehen würden. Und das ist noch diplomatisch ausgedrückt. Auf internationaler Ebene? Da müsste man schon viel bieten.

Wieviel bieten sie denn?

Sie haben im Jahr einen Etat von 50 Millionen. Und wollen 500 Leute beschäftigen. 500 Wissenschaftler. Also nicht inklusive anderem Personal, sondern zusätzlich. Macht einen Etat von 100.000 Euro pro Wissenschaftler. Jetzt zieht davon mal all die anderen Kosten ab, Gebäude, Unterhalt, Ausstattung, Sekretärin, was da halt so anfällt. Da bleibt an Grundetat nicht viel übrig, damit bekommt man keine befähigten Sicherheitsforscher. Man bekommt dafür solche Allerwelts-Postdocs, deren Diss noch nie einer gelesen hat.

Man wird also sehr viele Drittmittel und Aufträge einwerben müssen. Ob das klappen kann?

Ich habe da ernsthafte Zweifel. Leute, die was können, sind da in der Industrie stark gesucht. Und um es ganz deutlich zu sagen: Es ist heute besser, wenn man als Firma seine Forschung selbst macht, anstatt sie den gender-bekloppten staatlichen Forschungseinrichtungen zu überlassen. Da kommt häufig nichts rüber, und das spricht sich halt auch herum.

Meine Einschätzung ist, dass das nicht funktioniert. Der falsche Ort. Der falsche Chef. Das falsche Konzept. Die falsche Ausrichtung. Das falsche Land.

Aber ihren Hauptzweck haben sie ja gerade erfüllt. Die CDU hat die Wahl gewonnen.