ZEIT ONLINE: Nach dem Hackerangriff auf den Bundestag gab es in Deutschland viel Kritik an den IT-Verantwortlichen. Schlampen die Deutschen bei der Computersicherheit?

Dan Kaminsky: Niemand sollte sich wundern, wenn irgendwo ein Hackerangriff gelingt. Alles kann gehackt werden. Ich gehe davon aus, dass sämtliche Großunternehmen irgendwo in ihren Systemen mit Hackern zu tun haben, und in staatlichen Systemen mehren sich erfolgreiche Einbrüche. Die USA zum Beispiel haben gerade sensible Daten sämtlicher Menschen mit Top-Security-Zugang zu Staatsgeheimnissen an chinesische Hacker verloren.

ZEIT ONLINE: Weil neuerdings Geheimdienste und staatlich angestellte Superhacker im Netz unterwegs sind?

Kaminsky: Hacken ist ziemlich leicht. Schon Teenager kriegen das hin. Und einige der aufsehenerregendsten Computereinbrüche der Geschichte waren technisch gesehen Standard – etwa die Attacke auf Sony Pictures Entertainment im vergangenen Jahr, für die Barack Obama öffentlich Nordkorea verantwortlich machte. So was kriegen drei bis vier Ingenieure in drei bis vier Monaten hin.

ZEIT ONLINE: Es heißt aber doch immer wieder, dass manche Hackerangriffe die "Handschrift" großer kompetenter staatlicher Einrichtungen trügen.

Kaminsky: Mal stimmt das und mal nicht. Staatliche Einrichtungen können sicher schlagkräftiger, mit geringeren Fehlerquoten, dauerhafter und unbemerkter arbeiten. Und sie können andere Ziele angreifen: Kraftwerke zum Beispiel, technische Infrastruktur.

ZEIT ONLINE: Aber noch einmal: Hätte man die Bundestagscomputer nicht besser schützen können?

Kaminsky: Es gibt unter Hackern einen uralten Wettlauf zwischen Angreifern und Verteidigern. Heute steht es so, dass Angreifer sehr viele Möglichkeiten haben und Verteidiger nur sehr wenige. Niemand weiß im Augenblick, wie man Computer wirklich sicher macht.

ZEIT ONLINE: Sie scheinen nicht sehr zuversichtlich zu sein.

Kaminsky: Die Lage könnte sich ändern. Alle großen technologischen Entwicklungen sind anfangs schrecklich unsicher, denken sie an Eisenbahnen, Autos und Fluggeräte. Zunächst sollen sie einfach funktionieren, dann werden sie sicherer gemacht. An der Sicherheit des Internets und den Computersystemen arbeiten wir ernsthaft erst seit 15 Jahren.

ZEIT ONLINE: Kommt das denn voran?

Kaminsky: Eine ganze Bewegung in der Informatik sucht gerade nach neuen Programmiermethoden, um Einfallstore für Hacker systematisch auszuschließen. Besonders interessant finde ich den Langsec-Ansatz, die Suche nach einer Art verbindlicher Grammatik für Computerprogramme und Datenformate. Wenn man deren Regeln einhält, soll es für einen Programmierer sehr schwierig werden, Fehler zu produzieren, die später von feindlichen Hackern ausgenutzt werden könnten. Wenn künftig ein System ein Programm ausführen soll oder wenn eine Software einen Datensatz zu verarbeiten hat, wird erst einmal streng wie von einem Grammatiklehrer geprüft, ob alle Regeln eingehalten werden.

ZEIT ONLINE: Das klingt noch sehr theoretisch.

Kaminsky: Es ist eine neue Technologie, sie entsteht gerade. Am Ende soll es nicht nur möglich sein, wirklich sichere Software zu schreiben. Es soll auch ganz natürlich geschehen, ohne besondere Anstrengung, und es soll billig sein.

ZEIT ONLINE: Welche anderen Ansätze halten Sie für vielversprechend?

Kaminsky: Laufende Sicherheitstests für Computernetzwerke werden üblicher: Da bezahlen Firmen und Institutionen Hacker dafür, ständig bei ihnen einzudringen und die entdeckten Lücken dann zu schließen. Heute geschieht das schon sporadisch oder in großen Abständen, aber künftig wird ein echtes Dauerfeuer "freundlicher" Hacker nötig sein. Drittens erleben Intrusion Detection Systems einen Aufwind, das ist Software zum Aufspüren von Hackerattacken. Damit sollen Einbrüche gar nicht verhindert werden – die werden sowieso gelingen – sondern die Eindringlinge vor allem gut beobachtet. Auf diese Weise kann man besser abschätzen, wer diese Hacker sind, was sie wollen, und man kann verhindern, dass sie sich tage- oder wochenlang Zugang verschaffen.