von Ali Özkök
Der Cyber-Sicherheitsrat Deutschland e. V. wurde im August 2012 von namhaften Persönlichkeiten der IT-Branche gegründet. Seither berät der in Berlin ansässige, politisch neutrale Verein Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit.
Hans-Wilhelm Dünn, der seit Mai 2018 als Präsident der Institution fungiert, hat mit TRT Deutsch über Fragen der Cybersicherheit gesprochen und dabei betont, wie wichtig es gerade für Mittelständler ist, dem Thema ausreichend Aufmerksamkeit zu schenken.
Dünn äußert sich zudem auch zu heiklen Fragen wie jener der Herkunft und der Absicht hinter den meisten Hackerangriffen auf öffentliche und private Institutionen sowie zur Problematik rund um die Beteiligung umstrittener Anbieter wie Huawei an Einrichtungen der öffentlichen Infrastruktur.
Zu den Institutionen in Deutschland, die allein in den vergangenen Jahren bereits ins Visier von Cyberangriffen geraten sind, gehören beispielsweise der Deutsche Bundestag, das Paul-Ehrlich-Institut oder das Landratsamt von Anhalt-Bitterfeld. Ist die öffentliche Verwaltung zu sorglos im Umgang mit ihrer Datensicherheit – oder sind die Hacker so zahlreich und so gut?
Wir haben es hier mit einem asymmetrischen Setting zu tun. Es kämpfen die großen Goliaths gegen kleine und wendige Davids. Institutionen müssen penibel alle Schwachstellen schließen, um geschützt zu sein. Gleichzeitig können Hacker jede noch so kleine Lücke für einen Angriff verwenden. Angreifer können mit sehr kleinen Ressourcen sehr große Infrastrukturen lahmlegen und zerstören. Die Schlagkräftigkeit der Angreifer trifft auf die mangelhafte Ausstattung der Institutionen und einen eklatanten Fachkräftemangel im IT-Bereich. Die Beschaffenheit des öffentlichen Dienstes macht es schwer, die besten Fachkräfte mit entsprechend attraktiven Stellen zu binden.
Zudem gibt es keine Budgets, um einen umfassenden Schutz zu verwirklichen, auch weil noch nicht überall die Sensibilität dafür da ist, aktiv etwas für die Cybersicherheit zu tun. Im Umgang mit Cybersicherheit existieren bisher keine etablierten Standards, die Systeme sicher machen würden. Das macht das Thema so unglaublich schwierig. Die Verwaltung und die Politik sind hier zu langsam und bei weitem nicht auf dem aktuellen technischen Stand der Abwehr.
Schenkt man den Angaben von Bitkom Glauben, sind Angriffe auf Wirtschaftsunternehmen noch wesentlich alltäglicher. Die Rede ist von mehr als 220 Milliarden Euro Schaden pro Jahr. Wird die Gefahr dort unterschätzt oder rechnet jeder damit, dass es ihn selbst schon nicht treffen würde?
Leider ist es oft so, dass erst das Kind in den Brunnen gefallen sein muss, bevor dem Thema Datensicherheit die richtige Aufmerksamkeit geschenkt wird. Wer einmal gehackt wurde, bekommt eindrücklich vor Augen geführt, wie dramatisch die Folgen sein können. Kleine und mittlere Unternehmen als das Rückgrat der deutschen Wirtschaft sind attraktive Ziele für Cyberangriffe. Die familiengeführten Betriebe des Mittelstands versammeln ein riesiges Know-how, das Deutschland zum Marktführer in verschiedenen Technologien macht. Wir leben in einer Gesellschaft, in der es um Wissensvorsprung geht und es gibt für Cyberkriminelle nichts Einfacheres, als dieses Spezialwissen abzuschöpfen und dadurch Marktführerschaften zu verändern.
Im Gegensatz zu großen DAX-Unternehmen können sich mittelständische Unternehmen meistens kein Security-Operation-Center oder teure Sicherheitsvorkehrungen leisten. Das ist eine konkrete Bedrohung für den Mittelstand. Ich stelle dennoch fest, dass Cybersicherheit hier nicht als ein Aspekt des Risk-Managements gesehen wird. Das Thema ist nicht auf der Geschäftsführungsebene oder im Haftungsbereich angesiedelt. Es bleibt auf einer technisch-operativen Ebene, bis ein Vorfall tatsächlich die IT und die Produktionstechniken beeinträchtigt. Erst wenn ein bestimmter Schmerzpunkt erreicht ist, beschäftigen sich die Führungsetagen mit der Sicherheit ihrer Infrastruktur.
Grundsätzlich sehe ich eine Sensibilität für das Thema Cybersicherheit, in der Umsetzung mangelt es jedoch an Verständnis. Cybersicherheit sollte zur Priorität jeder Geschäftsführung zählen und entsprechend behandelt werden. Dazu gehört eine angemessene Investitionsbereitschaft, um Technik und Personal für Angriffe zu wappnen. Die Unternehmen tun bisher zu wenig, um sich richtig zu schützen. Laut der von Ihnen angesprochenen Bitkom-Studie entfallen nur sieben Prozent aller Aufwendungen für den IT-Bereich auf die IT-Sicherheit. Hier braucht es deutliche Steigerungen, die der Relevanz des Themas angemessen sind.
Welche Erkenntnisse gibt es bislang über die Urheber der Angriffe? Aus welchen Ländern kommen die meisten Cyberangriffe und weiß man, wer die Akteure sind und inwieweit sie Rückendeckung von Militär oder Geheimdiensten haben? Es ist ein grundlegendes Problem, dass wir derzeit nicht sagen können, wer die Angreifer hinter den Maschinen sind. Wir haben auf der einen Seite staatliche Akteure und auf der anderen Seite kriminelle Organisationen. Teilweise gibt es in diesem Bereich auch Schnittmengen. Was Cyberangriffe kennzeichnet, ist ein beträchtlicher Anteil an Verschleierungsaktionen. Oft werden bewusst falsche Fährten gelegt, um irreführende Eindrücke zu hinterlassen und die Schuld auf staatliche Akteure oder einzelne Kriminelle abzuwälzen. Die Identifizierung von Angriffsquellen verlangt sehr viel Zeit und Know-how. Völker- und staatsrechtlich stoßen die Gesellschaft und die Ermittlungsbehörden hier immer wieder an Grenzen, weil es bisher nicht gelungen ist, gemeinsame Regeln verbindlich festzulegen. Die Bekämpfung von Cybercrime ist ein globales Thema, das einer starken Zusammenarbeit internationaler Akteure bedarf, andernfalls sind einzelnen Staaten die Hände gebunden. Sinnvoll wäre es, eine an die UN angegliederte internationale Plattform einzurichten, die die Attribution kontrolliert und gemeinsame Standards setzt. Urheber der Angriffe sind sowohl kriminelle Gruppierungen, die das Know-how aus Firmen abschöpfen oder über Erpressungen und Datendiebstahl Geld verdienen. Gleichzeitig bedienen sich staatliche Nachrichtendienste dieser Mechanismen, da es einfache Methoden sind, um im Forschungs- und Entwicklungsbereich an Informationen zu gelangen. Die Dienste können aus der Ferne agieren, ohne physisch vor Ort sein zu müssen oder Agenten zu entsenden. Bisher mangelt es an Ressourcen und technischen Tools, um diese Attacken nachzuvollziehen. Die Attributionsphasen dauern in der Regel Monate, um einigermaßen belastbar Urheber zu benennen. Vieles stellt sich auf den ersten Blick auch anders dar, als es tatsächlich ist. Schnelle Vermutungen lassen sich schwer verifizieren. Bei einem Einbruch können Fingerabdrücke gesichert werden – im Bereich Cybercrime ist das wesentlich schwieriger. Oft werden auch Infrastrukturen infiltriert und dann für Angriffe auf andere Ziele genutzt. So kann es passieren, dass Strafverfolgungsbehörden eine Grundschule ins Visier nehmen, nur um später festzustellen, dass diese von anderen gekapert wurde. Was sind die Ziele der meisten Cyberangriffe? Geht es eher um die Gewinnung von Daten oder Geschäftsgeheimnissen – oder stehen Sabotage und Datenvernichtung im Vordergrund? Es handelt sich um sehr verschiedene Formen. Wir verzeichnen viel Sabotage und verstärkt den Abfluss von Know-how. Außerdem ist es für einige Akteure auch interessant, Konkurrenten auszuschalten. Ungefähr ein Drittel der Unternehmen wurde im vergangenen Jahr mit Schadsoftware bzw. Malware konfrontiert. Dabei kann es sowohl um das Ausspähen von Daten, die Zerstörung von Systemen oder die Fernsteuerung von Geräten gehen. DDoS-Attacken waren bei gut einem Viertel der Unternehmen zu verzeichnen. Dabei werden ungeschützte Rechner gekapert, um mit ihnen ein anderes System mit so vielen Anfragen zu bombardieren, bis es zusammenbricht. Ransomware ist ein stark wachsendes Problem. Angreifer verschaffen sich damit Zugang zu einem System und verschlüsseln dieses, sodass es nicht mehr nutzbar ist. Um erneut Zugang zu erhalten, müssen Betroffene oft erhebliche Lösegeldzahlungen in Kauf nehmen. Durch die Wichtigkeit der Daten und Systeme bleibt Betroffenen jedoch oft keine andere Möglichkeit, insbesondere wenn es sich um Ziele in der kritischen Infrastruktur handelt. Vor allem die USA haben in den vergangenen Jahren enormen Druck ausgeübt, wenn es um Themen wie die Beteiligung des chinesischen Unternehmens Huawei am Ausbau des 5G-Netzes geht. Sind die Bedenken, auf diese Weise feindseligen Akteuren Tür und Tor zu öffnen, berechtigt? Und wenn ja, welche Alternativen gäbe es, um das Risiko zu minimieren, ohne technologisch den Anschluss zu verlieren? Grundsätzlich ist es ein Problem, wenn bei besonders wichtiger Infrastruktur die Nutzer nicht über die Beschaffenheit und Funktionsweise der Systeme informiert sind. Es ist im dringenden Interesse der Europäer, die eigenen Systeme kontrollieren zu können. Dazu muss ein Design vorausgesetzt werden, das garantiert, dass Soft- und Hardware ausschließlich eigenständig und nicht durch Hersteller oder andere Staaten kontrolliert werden. Wir benötigen Regeln, die in Gesetzen wie dem IT-Sicherheitsgesetz festgeschrieben werden. So muss beispielsweise die Komponentenprüfung verankert werden. Damit kann sichergestellt werden, dass die erhältliche Soft- und Hardware einer Überprüfung durch staatliche Stellen standhält und transparent gestaltet ist. Im Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es bereits Security Labs, die sich als wertvolles Instrument erwiesen haben. Wenn Anbieter hierzulande in der kritischen Infrastruktur tätig sein wollen, werden sie dort zuvor auf Herz und Nieren geprüft. Es ist angelegt wie der Blick unter die Motorhaube beim Autohändler. Für einzelne Komponenten muss es klare Regeln geben, was erlaubt ist und was nicht. Das ist notwendig, weil die Entwicklung eigener Soft- und Hardwarelösungen exorbitant teuer würde und auch nicht in einem angemessenen Zeitrahmen zu realisieren wäre. Das Wichtigste ist, dass Europa in der Lage ist, die eigenen Systeme zu steuern und zu kontrollieren. Security by Design spielt hier eine große Rolle. So wie bei der Entwicklung eines Autos der Sicherheitsgurt und der Airbag eingeplant werden, so müssen auch IT-Produkte die Cybersicherheit und den Datenschutz bereits in der Konzeption mitdenken und diesen nicht erst im Nachhinein ergänzen. Vielen Dank für das Gespräch!