„Wir brauchen eine ganz neue Sicherheitskultur“
Interview Die Experten für Cyberabwehr, Tom Koehler und Oliver Rolofs, schlagen Alarm: Deutschland ist gegen Angriffe auf empfindliche digitale Systeme nur unzureichend geschützt. Was geschehen ist, um die Lücken zu schließen
Herr Rolofs, Herr Koehler, wenn es um die Sicherheit im Cyberspace geht, folgt eine schlechte Nachricht der anderen. Wie gefährlich ist die Lage? Oliver Rolofs: Wir leben ganz allgemein in Zeiten wachsender Unsicherheiten. Das hat zuletzt die Aufkündigung des INF-Vertrags zur Begrenzung atomarer Mittelstreckenraketen durch die USA gezeigt und ist ein weiteres Negativbeispiel dafür, wie gerade die globale Ordnung zerfällt. Doch dass die Sicherheitslage heute so schlecht ist wie niemals seit dem Ende des Kalten Krieges, gilt genauso für den Bereich des Digitalen.
Lässt sich die Bedrohung in Zahlen fassen?
Tom Koehler: Durch Cyber-Kriminalität entsteht jährlich weltweit ein Schaden in Höhe von 600 Milliarden US-Dollar. Die digitale Transformation hat zudem die gesamten wirtschaftlichen und politischen Machtverhältnisse auf der Welt verändert. Deutschland und Europa liegen im Bereich der Informationstechnologien durch fehlendes Risikokapital um Jahrzehnte zurück, vor allem gegenüber China und den USA. Zudem mangelt es hierzulande an einer weitblickenden Technologiepolitik. Diese riesigen Kompetenzlücken erstrecken sich auch auf die Abwehrfähigkeit gegenüber Cyber-Angriffen. Die Gefahren gehen dabei vom wirtschaftlichen nahtlos in den politischen Sektor über.
Und manchmal geht die Gefahr ja einfach von einem frustrierten Heranwachsenden in einem deutschen Kinderzimmer aus, wie der jüngste Datenskandal zeigt.
Rolofs: Ja, schon Einzeltäter können, wenn sie talentiert sind, einen immensen Schaden verursachen und Unternehmen oder ganze Infrastrukturen lahmlegen. Diesmal hat es Personen des öffentlichen Lebens getroffen, die Opfer von Doxing, also dem Zusammentragen und Veröffentlichen personenbezogener Daten geworden sind. Hier ist es bei einem Reputationsschaden geblieben. Doch die Dimension des Problems ist größer: Das vermehrte Auftreten von digitaler organisierter Kriminalität oder staatlichen Hackergruppen potenziert die Cybergefahren und das Schadenspotenzial um ein Vielfaches. Gleichzeitig hat der Fall um die Veröffentlichung sensibler Informationen von zahlreichen Politikern und Prominenten ein erschreckendes Maß an Naivität im Umgang mit privaten Daten offenbart. An den Bemühungen um Sicherheit im digitalen Raum muss sich immer auch der Einzelne beteiligen – die Digitalisierung ist nun mal eine gesamtgesellschaftliche Verantwortung.
Sind unsere Computer und Smartphones Einfallstor für Kriminelle und Spione?
Koehler: Das Organisierte Verbrechen kennt längst Möglichkeiten, von beinahe jedem Ort der Welt aus Konten abzuräumen, Betrug oder Erpressung zu verüben, mit illegalen Dingen zu handeln. Cyber-Kriminalität ist lukrativer als Drogenoder Menschenhandel, das Risiko, erwischt zu werden, ist zudem viel geringer. Und wir brauchen uns nichts vormachen: Diese Art der Kriminalität ist auf Wachstumskurs. Deshalb müssen wir auf allen Ebenen unsere Anstrengungen vervielfachen und die Zusammenarbeit besser orchestrieren. Die Antwort auf vernetzte Cyber-Risiken müssen vernetzte Schutzmaßnahmen sein.
Welche Rolle spielen die staatlichen Hacker, deren Möglichkeiten erst recht Angst einflößen?
Rolofs: Staaten wie Russland und China, aber auch Nordkorea und der Iran verfügen über eine hohe Schlagkraft im Cyberspace. Bei den einen steht Cyberspionage oder Cyberkriminalität im Vordergrund, bei den anderen hat das politische Gründe, um Unruhe im geopolitischen Kontext zu stiften, wie etwa die Attacken auf den Bundestag und die Infiltration des Bundesnetzes beweisen – dahinter wird Russland vermutet.
Gibt es dafür Beweise?
Koehler: Der endgültige Nachweis, dass hinter einem Angriff wirklich ein bestimmter Staat steckt, gelingt nur selten. Die Herkunft solcher Attacken wird meist gut verschleiert. Nicht selten arbeiten uns nicht wohlgesinnte Geheimdienste mit kriminellen Hackern zusammen, wie das etwa in Russland und Nordkorea der Fall ist. Nordkoreanische Hacker haben sich zum Beispiel auf den Diebstahl von Digitalwährungen spezialisiert, um Devisen für das Regime in Pjöngjang zu beschaffen.
Sind wir gut genug aufgestellt, um Gefahren abzuwehren?
Koehler: Nein, in keiner Weise. Da nutzt es auch wenig, dass mit der neuen Cyberagentur in Leipzig nun noch eine weitere Institution gegründet wird. Effektiver werden wir vielmehr, wenn wir Kompetenzen bündeln und sich überschneidende Zuständigkeiten besser abstimmen oder gar abbauen. Darüber sollte der nationale Cyber-Sicherheitsrat intensiver nachdenken. In den USA ist nach den Terroranschlägen vom 11. September 2001 das Heimatschutzministerium gegründet worden, das 22 Behörden unter einem Dach vereinte. Nach diesem Vorbild brauchen wir auch in Deutschland eine schlagkräftigere Cyberabwehr.
Hat Deutschland dafür überhaupt genügend eigene qualifizierte CyberSoldaten?
Rolofs: Das ist tatsächlich ein riesiges Problem. Der Markt für IT-Fachleute ist praktisch leer gefegt. Diese Leute haben in der Wirtschaft deutlich bessere Verdienstmöglichkeiten. Und das ist auch einer der Gründe, warum wir in der Cybersicherheit über die deutschen Grenzen hinaus aktiv werden müssen. Da sind europäische Lösungen gefragt. In einigen EU-Ländern gibt es ausgeprägte digitale Kompetenzen, andere Staaten sind dagegen zu klein, um die Aufgabe allein bewältigen zu können. Kleinstaaterei hilft nicht weiter, das schaffen wir nur gemeinsam. Wie sollte Europa da vorgehen? Koehler: Mit dem „Cybersecurity Act“hat die Europäische Kommission da schon den richtigen Weg eingeschlagen. Die Europäische Agentur für Netz- und Informationssicherheit soll aufgerüstet werden und wird die EU-Mitgliedsstaaten so besser bei der Prävention und Cyberabwehr unterstützen können. Es geht bei dem Vertrag unter anderem um einheitliche Sicherheitsstandards von digitalen Produkten und Dienstleistungen. Der Digitale Binnenmarkt braucht ein starkes Sicherheitsfundament. Das wird umso wichtiger, je mehr das Internet der Dinge Fahrt aufnimmt.
Welche Gefahren birgt denn die zunehmende Vernetzung aller möglicher Anlagen und Geräte, vom Kraftwerk bis zur Kaffeemaschine? Rolofs: Da entstehen Risiken, die sich multiplizieren und deren Auswirkungen vielen Entscheidern nicht bewusst sind. Es ist erschreckend, dass bei der Digitalisierung dem Sicherheitsaspekt bislang wenig Priorität eingeräumt wurde. Wir schauen ziemlich unbekümmert zu, wie sich alles um uns herum vernetzt. Städte unter der Überschrift Smart City werden zunehmend digital gesteuert, und wir verlassen uns blind darauf. Ein gezielter Hackerangriff reicht, um eine smarte Stadt komplett lahmzulegen. Was dann? Banken, Logistikkonzerne wie Maersk oder Telekommunikationsunternehmen wie die Telekom waren ja schon von solchen Attacken betroffen, die auch Auswirkungen auf unsere kritischen Infrastrukturen hatten. Doch das alles waren nur Warnschüsse. Um größere Katastrophen zu verhindern, müssen wir eine ganz neue Sicherheitskultur etablieren, die sich von der Software über sämtliche Endgeräte bis hin zu großen Anlagen erstreckt und genauso unsere Gesellschaft mitnimmt. Wir müssen uns aber auch stärker damit beschäftigen, wie wir nach einem großen Cyberangriff wieder auf die Beine kommen und entsprechende Resilienzen sowie Rückfalloptionen aufbauen. Denn alle Risiken werden wir niemals ausschließen können.
Das hört sich sehr bedrohlich an. Gibt es denn gar keine Hoffnung?
Koehler: Doch. Wir haben in Deutschland gute Wissenschaftler. Und in der ganzen Europäischen Union gibt es heute fast fünf Millionen Programmierer, mehr übrigens als in den USA. Wenn wir unser Wissen bündeln, unsere industriellen Wurzeln mit unserer Handwerkskultur und Innovationskraft besser verbinden, können wir in Europa neben dem Datenschutz auch bei der CyberSicherheit international Maßstäbe setzen. Im Moment aber ist nichts im grünen Bereich. Wir verwalten nur die Risiken. In Zukunft müssen wir endlich dahin kommen, die Chancen der Digitalisierung zu gestalten.
Interview: Bernhard Junginger
„Im Moment ist nichts im grünen Bereich. Wir verwalten nur die Risiken.“Tom Koehler „Ein gezielter Angriff reicht, um eine smarte Stadt komplett lahmzulegen.“Oliver Rolofs
Info: Tom Koehler und Oliver Rolofs von der Strategieberatungsfirma Connecting Trust haben vor fünf Jahren die Münchner Cybersicherheitskonferenz mit ins Leben gerufen, die jeweils vor der Münchner Sicherheitskonferenz stattfindet.