„Wir brau­chen ei­ne ganz neue Si­cher­heits­kul­tur“

In­ter­view Die Ex­per­ten für Cy­ber­ab­wehr, Tom Ko­eh­ler und Oli­ver Ro­lofs, schla­gen Alarm: Deutsch­land ist ge­gen An­grif­fe auf emp­find­li­che di­gi­ta­le Sys­te­me nur un­zu­rei­chend ge­schützt. Was ge­sche­hen ist, um die Lü­cken zu schlie­ßen

Wertinger Zeitung - - Politik - In­ter­view: Bern­hard Jun­gin­ger

Herr Ro­lofs, Herr Ko­eh­ler, wenn es um die Si­cher­heit im Cy­ber­space geht, folgt ei­ne schlech­te Nach­richt der an­de­ren. Wie ge­fähr­lich ist die La­ge? Oli­ver Ro­lofs: Wir le­ben ganz all­ge­mein in Zei­ten wach­sen­der Un­si­cher­hei­ten. Das hat zu­letzt die Auf­kün­di­gung des INF-Ver­trags zur Be­gren­zung ato­ma­rer Mit­tel­stre­cken­ra­ke­ten durch die USA ge­zeigt und ist ein wei­te­res Ne­ga­tiv­bei­spiel da­für, wie ge­ra­de die glo­ba­le Ord­nung zer­fällt. Doch dass die Si­cher­heits­la­ge heu­te so schlecht ist wie nie­mals seit dem En­de des Kal­ten Krie­ges, gilt ge­nau­so für den Be­reich des Di­gi­ta­len.

Lässt sich die Be­dro­hung in Zah­len fas­sen?

Tom Ko­eh­ler: Durch Cy­ber-Kri­mi­na­li­tät ent­steht jähr­lich welt­weit ein Scha­den in Hö­he von 600 Mil­li­ar­den US-Dol­lar. Die di­gi­ta­le Trans­for­ma­ti­on hat zu­dem die ge­sam­ten wirt­schaft­li­chen und po­li­ti­schen Macht­ver­hält­nis­se auf der Welt ver­än­dert. Deutsch­land und Eu­ro­pa lie­gen im Be­reich der In­for­ma­ti­ons­tech­no­lo­gi­en durch feh­len­des Ri­si­ko­ka­pi­tal um Jahr­zehn­te zu­rück, vor al­lem ge­gen­über Chi­na und den USA. Zu­dem man­gelt es hier­zu­lan­de an ei­ner weit­bli­cken­den Tech­no­lo­gie­po­li­tik. Die­se rie­si­gen Kom­pe­tenz­lü­cken er­stre­cken sich auch auf die Ab­wehr­fä­hig­keit ge­gen­über Cy­ber-An­grif­fen. Die Ge­fah­ren ge­hen da­bei vom wirt­schaft­li­chen naht­los in den po­li­ti­schen Sek­tor über.

Und manch­mal geht die Ge­fahr ja ein­fach von ei­nem frus­trier­ten Her­an­wach­sen­den in ei­nem deut­schen Kin­der­zim­mer aus, wie der jüngs­te Da­ten­skan­dal zeigt.

Ro­lofs: Ja, schon Ein­zel­tä­ter kön­nen, wenn sie ta­len­tiert sind, ei­nen im­men­sen Scha­den ver­ur­sa­chen und Un­ter­neh­men oder gan­ze In­fra­struk­tu­ren lahm­le­gen. Dies­mal hat es Per­so­nen des öf­fent­li­chen Le­bens ge­trof­fen, die Op­fer von Do­xing, al­so dem Zu­sam­men­tra­gen und Ver­öf­fent­li­chen per­so­nen­be­zo­ge­ner Da­ten ge­wor­den sind. Hier ist es bei ei­nem Re­pu­ta­ti­ons­scha­den ge­blie­ben. Doch die Di­men­si­on des Pro­blems ist grö­ßer: Das ver­mehr­te Auf­tre­ten von di­gi­ta­ler or­ga­ni­sier­ter Kri­mi­na­li­tät oder staat­li­chen Ha­cker­grup­pen po­ten­ziert die Cy­ber­ge­fah­ren und das Scha­den­s­po­ten­zi­al um ein Viel­fa­ches. Gleich­zei­tig hat der Fall um die Ver­öf­fent­li­chung sen­si­bler In­for­ma­tio­nen von zahl­rei­chen Po­li­ti­kern und Pro­mi­nen­ten ein er­schre­cken­des Maß an Nai­vi­tät im Um­gang mit pri­va­ten Da­ten of­fen­bart. An den Be­mü­hun­gen um Si­cher­heit im di­gi­ta­len Raum muss sich im­mer auch der Ein­zel­ne be­tei­li­gen – die Di­gi­ta­li­sie­rung ist nun mal ei­ne ge­samt­ge­sell­schaft­li­che Ver­ant­wor­tung.

Sind un­se­re Com­pu­ter und Smart­pho­nes Ein­falls­tor für Kri­mi­nel­le und Spio­ne?

Ko­eh­ler: Das Or­ga­ni­sier­te Ver­bre­chen kennt längst Mög­lich­kei­ten, von bei­na­he je­dem Ort der Welt aus Kon­ten ab­zu­räu­men, Be­trug oder Er­pres­sung zu ver­üben, mit il­le­ga­len Din­gen zu han­deln. Cy­ber-Kri­mi­na­li­tät ist lu­kra­ti­ver als Dro­genoder Men­schen­han­del, das Ri­si­ko, er­wischt zu wer­den, ist zu­dem viel ge­rin­ger. Und wir brau­chen uns nichts vor­ma­chen: Die­se Art der Kri­mi­na­li­tät ist auf Wachs­tums­kurs. Des­halb müs­sen wir auf al­len Ebe­nen un­se­re An­stren­gun­gen ver­viel­fa­chen und die Zu­sam­men­ar­beit bes­ser or­ches­trie­ren. Die Ant­wort auf ver­netz­te Cy­ber-Ri­si­ken müs­sen ver­netz­te Schutz­maß­nah­men sein.

Wel­che Rol­le spie­len die staat­li­chen Ha­cker, de­ren Mög­lich­kei­ten erst recht Angst ein­flö­ßen?

Ro­lofs: Staa­ten wie Russ­land und Chi­na, aber auch Nord­ko­rea und der Iran ver­fü­gen über ei­ne ho­he Schlag­kraft im Cy­ber­space. Bei den ei­nen steht Cy­ber­spio­na­ge oder Cy­ber­kri­mi­na­li­tät

„Im Mo­ment ist nichts im grü­nen Be­reich. Wir ver­wal­ten nur die Ri­si­ken.“Tom Ko­eh­ler

im Vor­der­grund, bei den an­de­ren hat das po­li­ti­sche Grün­de, um Un­ru­he im geo­po­li­ti­schen Kon­text zu stif­ten, wie et­wa die Atta­cken auf den Bun­des­tag und die In­fil­tra­ti­on des Bun­des­net­zes be­wei­sen – da­hin­ter wird Russ­land ver­mu­tet.

Gibt es da­für Be­wei­se?

Ko­eh­ler: Der end­gül­ti­ge Nach­weis, dass hin­ter ei­nem An­griff wirk­lich ein be­stimm­ter Staat steckt, ge­lingt nur sel­ten. Die Her­kunft sol­cher Atta­cken wird meist gut ver­schlei­ert. Nicht sel­ten ar­bei­ten uns nicht wohl­ge­sinn­te Ge­heim­diens­te mit kri­mi­nel­len Ha­ckern zu­sam­men, wie das et­wa in Russ­land und Nord­ko­rea der Fall ist. Nord­ko­rea­ni­sche Ha­cker ha­ben sich zum Bei­spiel auf den Dieb­stahl von Di­gi­tal­wäh­run­gen spe­zia­li­siert, um Devisen für das Re­gime in Pjöng­jang zu be­schaf­fen.

Sind wir gut ge­nug auf­ge­stellt, um Ge­fah­ren ab­zu­weh­ren?

Ko­eh­ler: Nein, in kei­ner Wei­se. Da nutzt es auch we­nig, dass mit der neu­en Cy­be­r­agen­tur in Leip­zig nun noch ei­ne wei­te­re In­sti­tu­ti­on ge­grün­det wird. Ef­fek­ti­ver wer­den wir viel­mehr, wenn wir Kom­pe­ten­zen bün­deln und sich über­schnei­den­de Zu­stän­dig­kei­ten bes­ser ab­stim­men oder gar ab­bau­en. Dar­über soll­te der na­tio­na­le Cy­ber-Si­cher­heits­rat in­ten­si­ver nach­den­ken. In den USA ist nach den Ter­ror­an­schlä­gen vom 11. Sep­tem­ber 2001 das Hei­mat­schutz­mi­nis­te­ri­um ge­grün­det wor­den, das 22 Be­hör­den un­ter ei­nem Dach ver­ein­te. Nach die­sem Vor­bild brau­chen wir auch in Deutsch­land ei­ne schlag­kräf­ti­ge­re Cy­ber­ab­wehr.

Hat Deutsch­land da­für über­haupt ge­nü­gend ei­ge­ne qua­li­fi­zier­te Cy­berSol­da­ten?

Ro­lofs: Das ist tat­säch­lich ein rie­si­ges Pro­blem. Der Markt für IT-Fach­leu­te ist prak­tisch leer ge­fegt. Die­se Leu­te ha­ben in der Wirt­schaft deut­lich bes­se­re Ver­dienst­mög­lich­kei­ten. Und das ist auch ei­ner der Grün­de, war­um wir in der Cy­ber­si­cher­heit über die deut­schen Gren­zen hin­aus ak­tiv wer­den müs­sen. Da sind eu­ro­päi­sche Lö­sun­gen ge­fragt. In ei­ni­gen EU-Län­dern gibt es aus­ge­präg­te di­gi­ta­le Kom­pe­ten­zen, an­de­re Staa­ten sind da­ge­gen zu klein, um die Auf­ga­be al­lein be­wäl­ti­gen zu kön­nen. Kle­in­staa­te­rei hilft nicht wei­ter, das schaf­fen wir nur ge­mein­sam. Wie soll­te Eu­ro­pa da vor­ge­hen? Ko­eh­ler: Mit dem „Cy­ber­se­cu­ri­ty Act“hat die Eu­ro­päi­sche Kom­mis­si­on da schon den rich­ti­gen Weg ein­ge­schla­gen. Die Eu­ro­päi­sche Agen­tur für Netz- und In­for­ma­ti­ons­si­cher­heit soll auf­ge­rüs­tet wer­den und wird die EU-Mit­glieds­staa­ten so bes­ser bei der Prä­ven­ti­on und Cy­ber­ab­wehr un­ter­stüt­zen kön­nen. Es geht bei dem Ver­trag un­ter an­de­rem um ein­heit­li­che Si­cher­heits­stan­dards von di­gi­ta­len Pro­duk­ten und Di­enst­leis­tun­gen. Der Di­gi­ta­le Bin­nen­markt braucht ein star­kes Si­cher­heits­fun­da­ment. Das wird um­so wich­ti­ger, je mehr das In­ter­net der Din­ge Fahrt auf­nimmt.

Wel­che Ge­fah­ren birgt denn die zu­neh­men­de Ver­net­zung al­ler mög­li­cher An­la­gen und Ge­rä­te, vom Kraft­werk bis zur Kaf­fee­ma­schi­ne? Ro­lofs: Da ent­ste­hen Ri­si­ken, die sich mul­ti­pli­zie­ren und de­ren Aus­wir­kun­gen vie­len Ent­schei­dern nicht be­wusst sind. Es ist er­schre­ckend, dass bei der Di­gi­ta­li­sie­rung dem Si­cher­heits­as­pekt bis­lang we­nig Prio­ri­tät ein­ge­räumt wur­de. Wir schau­en ziem­lich un­be­küm­mert zu, wie sich al­les um uns her­um ver­netzt. Städ­te un­ter der Über­schrift Smart Ci­ty wer­den zu­neh­mend di­gi­tal ge­steu­ert, und wir ver­las­sen uns blind dar­auf. Ein ge­ziel­ter Ha­cker­an­griff reicht, um ei­ne smar­te Stadt kom­plett lahm­zu­le­gen. Was dann? Ban­ken, Lo­gis­tik­kon­zer­ne wie Ma­ersk oder Te­le­kom­mu­ni­ka­ti­ons­un­ter­neh­men wie die Te­le­kom wa­ren ja schon von sol­chen Atta­cken be­trof­fen, die auch Aus­wir­kun­gen auf un­se­re kri­ti­schen In­fra­struk­tu­ren hat­ten. Doch das al­les wa­ren nur Warn­schüs­se. Um grö­ße­re Ka­ta­stro­phen zu ver­hin­dern, müs­sen wir ei­ne ganz neue Si­cher­heits­kul­tur eta­blie­ren, die sich von der Soft­ware über sämt­li­che End­ge­rä­te bis hin zu gro­ßen An­la­gen er­streckt und ge­nau­so un­se­re Ge­sell­schaft mit­nimmt. Wir müs­sen uns aber auch stär­ker da­mit be­schäf­ti­gen, wie wir nach ei­nem gro­ßen Cy­ber­an­griff wie­der auf die Bei­ne kom­men und ent­spre­chen­de Resi­li­en­zen so­wie Rück­fall­op­tio­nen auf­bau­en. Denn al­le Ri­si­ken wer­den wir nie­mals aus­schlie­ßen kön­nen.

„Ein ge­ziel­ter An­griff reicht, um ei­ne smar­te Stadt kom­plett lahm­zu­le­gen.“

Oli­ver Ro­lofs

Das hört sich sehr be­droh­lich an. Gibt es denn gar kei­ne Hoff­nung?

Ko­eh­ler: Doch. Wir ha­ben in Deutsch­land gu­te Wis­sen­schaft­ler. Und in der gan­zen Eu­ro­päi­schen Uni­on gibt es heu­te fast fünf Mil­lio­nen Pro­gram­mie­rer, mehr üb­ri­gens als in den USA. Wenn wir un­ser Wis­sen bün­deln, un­se­re in­dus­tri­el­len Wur­zeln mit un­se­rer Hand­werks­kul­tur und In­no­va­ti­ons­kraft bes­ser ver­bin­den, kön­nen wir in Eu­ro­pa ne­ben dem Da­ten­schutz auch bei der Cy­ber­Si­cher­heit in­ter­na­tio­nal Maß­stä­be set­zen. Im Mo­ment aber ist nichts im grü­nen Be­reich. Wir ver­wal­ten nur die Ri­si­ken. In Zu­kunft müs­sen wir end­lich da­hin kom­men, die Chan­cen der Di­gi­ta­li­sie­rung zu ge­stal­ten. ⓘ

In­fo: Tom Ko­eh­ler und Oli­ver Ro­lofs von der Stra­te­gie­be­ra­tungs­fir­ma Con­nec­ting Trust ha­ben vor fünf Jah­ren die Münch­ner Cy­ber­si­cher­heits­kon­fe­renz mit ins Le­ben ge­ru­fen, die je­weils vor der Münch­ner Si­cher­heits­kon­fe­renz statt­fin­det.

Archivfoto: Si­las St­ein, dpa

Ver­bor­gen, aber ei­ne zu­neh­men­de Ge­fahr: Die dunk­len Sei­ten im Netz alar­mie­ren deut­sche Ex­per­ten für Cy­ber­ab­wehr. Tom Ko­eh­ler und Oli­ver Ro­lofs be­kla­gen im Ge­spräch mit un­se­rer Zei­tung ei­ne feh­len­de Sen­si­bi­li­sie­rung für die Ri­si­ken der Di­gi­ta­li­sie­rung.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.