“Bei Sicherheit ein massives Schweigen der Industrie”

Die IT-Sicherheit bietet nach wie vor viele rechtliche Grauzonen. Sandro Gaycken, Fellow der Deutschen Gesesllschaft für Auswärtige Politik und Senior Researcher der Freien Universität Berlin, erklärt, was eine Meldepflicht von Übergriffen leisten könnte, so wie ihn der viel diskutierte Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vorsieht.

Die IT-Industrie diskutiert aufgeregt den “Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“. Das Gesetz sieht vor, dass die Betreiber der sogenannten “kritischen Infrastrukturen” einen Mindeststandard an Sicherheit ihrer Informationstechnologie sicherstellen müssen. Allerdings wehren sich viele Verbände und Unternehmen gegen eine staatliche Kontrolle der Cybersecurity. Ein Interview mit Sandro Gaycken, Associated Fellow bei der Deutschen Gesellschaft für Auswärtige Politik.

silicon.de: In den Medien ist immer öfter von einem sogenannten Cyberwar die Rede. Wie ist Ihre Einschätzung – befinden wir uns in einem Cyberwar?

Doktor Gaycken: Es gibt eine juristische Definition, die ist allerdings im Fluss. Cyberwar wird sehr flexibel interpretiert, es gibt viel Interpretationsspielraum.

Im strategischen Bereich sind diese juristischen Definitionen nicht so relevant. Hier müssen wir analysieren – welche Staaten agieren mit dem Mittel “Hacking”, auf welche Weise hat das strategische Effekte und ab wann muss ein Staat reagieren. Verglichen mit einer juristischen Definition ist die Schwelle wesentlich niedriger.

Wenn beispielsweise ein Land seine militärischen Cybereinheiten dafür benutzt, um systematische Industriespionage zu betreiben, um andere Länder zu schwächen und sich selbst zum Marktführer zu machen – dann ist das sicher kein Krieg. Aber das hat eine wichtige strategische Komponente und muss sicherheitspolitisch beobachtet werden.

silicon.de:: Aus der sicherheitspolitischen Sicht gesehen – haben diese Attacken eine direkte Auswirkung auf Wirtschaft und Unternehmen?

Gaycken ist Associated Fellow, Deutsche Gesellschaft für Auswärtige Politik und Senior Researcher am Institut für Informatik an der Freien Universität Berlin.
Sandro Gaycken ist Associated Fellow, Deutsche Gesellschaft für Auswärtige Politik und Senior Researcher am Institut für Informatik an der Freien Universität Berlin.

Gaycken: Jetzt im Moment eher weniger. Wir bemerken Bewegung bei kritischen Infrastrukturen, und man muss jetzt bereits Risiken anders abschätzen – in der Zukunft werden die Auswirkungen ganz sicher gravierender.

silicon.de: Sprechen wir nicht über den direkten Schaden – sondern über Kreditwürdigkeit und Versicherungsschutz eines Unternehmens. Welche Auswirkungen werden die Sicherheitsprobleme haben?

Gaycken: Das entwickelt sich gerade. Es gibt jetzt die ersten Versuche, für Sicherheitsrisiken Versicherungsmodelle zu entwerfen. Die Versicherungen wissen scheinbar nicht genau, wie sie diese Risiken beziffern oder bewerten oder Compliance messen sollen. Darüber hinaus gibt es für die Unternehmen keine Verpflichtungen solche Versicherungen abzuschließen.

Diese neuen Compliance-Konzepte sind gerade im Entstehen.
Dafür, dass Unternehmen für größere Cyberschäden real haftbar gemacht werden – dafür gibt es kaum Vorgaben.

silicon.de: Diese Themen sind auch in der Gesetzesinitiative aus dem Bundesinnenministerium – dem “Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme” kein Thema…

Gaycken: Der Gesetzentwurf sieht vor, dass man eine Meldepflicht einführt und Mindeststandards definiert. Das sind die aus meiner Sicht wesentlichen Punkte.

Beim Thema Meldepflicht muss man abwarten, wie sinnvoll das ist. Wenn man dieses “Information Sharing” als Schutz- und als Abschreckungsstrategie aufbaut, wird das aus meiner Sicht nicht funktionieren. Denn es gibt eine ganze Reihe von technischen und taktischen Möglichkeiten, um diese Maßnahmen zu umgehen.

Aber wenn man sagt, das Ziel ist, überhaupt erst mal ein solides Lagebild zu erhalten – dann kann es sinnvoll sein. Tatsächlich benötigen wir sehr dringend eine Übersicht, was eigentlich passiert und an welchen Stellen man handeln muss. Eine solche Übersicht würde die ganze Diskussion auch ein großes Stück voranbringen.

silicon.de: Für wie sinnvoll halten Sie die im Gesetzentwurf geforderten Minimalstandards für Cybersicherheit?

Gaycken: “Minimalstandards” machen einerseits natürlich Sinn. Auf der Ebene der EU arbeiten viele Länder gerade daran, sie setzen Standards um und bauen Institutionen auf, um sich mit Cyberkrisen auseinandersetzen zu können.

Andererseits finde ich es sehr schwierig, weil die minimalen Standards in keiner Weise ausreichend sind. Man verpflichtet hier die Industrie für sehr viel Geld Standards zu implementieren, die wahrscheinlich nicht effektiv sind. Ich denke, in ein oder zwei Jahren wird man deutlich nachbessern müssen.

Ich hätte es sehr sinnvoll gefunden, wenn man von Anfang an hohe Standards vorgeschrieben hätte. Aber bei den niedrigen Standards sind die Widerstände schon erheblich – ein hoher Sicherheitsstandard hätte noch größer Widerstände hervorgerufen.

 

 

silicon.de: Brauchen spätere, hohe Sicherheitsstandards dann eine neue Gesetzessinitiative?

Gaycken: Das kommt darauf an, wie die Standards an den Bedarf angepasst werden. Man wird beobachten, wie sich die Sicherheitsthemen ändern und welche neuen Technologien wichtig werden. Ich nehme an, das entwickelt sich dann Zug um Zug.

Wir haben sehr viele Konzepte diskutiert, die aber überhaupt nicht realisierbar sind, weil der Sicherheitsmarkt noch überhaupt nicht so weit ist. Der ganze Markt ist sehr konventionell und traditionell ausgerichtet; zum Beispiel auf Virenscanner und Firewalls und diese Technologien. Mir wäre es lieber, wenn man sichere Computer entwickelt und nicht die IT-Sicherheitstechnologie den unsicheren Systemen überstülpt.
silicon.de: Die derzeitige Entwicklung mit Tablet PCs, Cloud-Anwendungen oder Smartphone geht also genau in die falsche Richtung?

Gaycken: Ja, das ist ein Security-Alptraum. Mitarbeiter bringen Computer in gesicherte Bereiche, bringen damit einen ungesicherten Heimbereich in einen gesicherten Arbeitsbereich ein.

Ein anderes Risiko ist das Konzept von Industrie 4.0 und die immer weiter reichende Vernetzung beispielsweise von Industrieproduktionen. Das Sicherheitskonzept einer Produktionshalle basiert doch darauf, dass keine fremden Personen dort hineinkommen. Wenn ich jetzt aber diese Produktionsanlage mit dem Internet verbinde, bekommen ein paar Milliarden Menschen Zutritt. Die haben dort alle nichts zu suchen.

Mit so einer vergleichsweise kleinen Handlung hat man eine ganz andere Sicherheitssituation. Dann kollabieren die anderen Sicherheitssysteme gleich mit.

silicon.de: Sind Ihren Kollegen in der Politik diese Probleme bewusst?

Gaycken: Die kennen die Probleme und nehmen sie ernst. Aber es ist schwierig hier zu regulieren. Denn es gibt keine besonders guten Zahlen und es gibt ein massives Schweigen der Industrie. Tatsächlich lässt sich niemand in seine Zahlen und Analysten schauen. Und zwar weder die Kriminellen noch die Opfer – falls die Opfer überhaupt merken, dass bei ihnen etwas passiert ist.

silicon.de: Inwieweit werden die Opfer und Täter zu Verbündeten? Im Moment redet ja keiner über Cyberattacken oder mögliche Cyberschäden.

Gaycken: Das ist richtig, im Moment scheint es allen gut dabei zu gehen, wenn sie nicht darüber reden. Wir arbeiten mit Indizien – zum Beispiel würden sich deutsche Banken nicht Sicherheitsabteilungen mit vielen hundert hochbezahlten Mitarbeitern leisten, wenn sie keine Probleme hätten.

Die Banken haben große Schwierigkeiten – zum Beispiel mit den Manipulationen an den Finanzmärkten. Es gibt viele Kriminelle, die das große Geld angreifen wollen.

silicon.de: Ein Beispiel aus dem Bankenbereich war die Manipulationen am LIBOR (London Interbank Offered Rate)-Zins. Die wurde zum großen Teil über Chats abgesprochen und ist deshalb sehr detailliert dokumentiert. Fällt das bereits unter Cybersecurity – oder ist es ganz normale Kriminalität?

Gaycken: Wenn ein Hack als wesentliches Element der Manipulation nachgewiesen werden kann, fällt es unter Cybersecurity. Wenn es aber Bankmitarbeiter sind, die sich über Chats untereinander über Manipulationen absprechen, dann ist es ganz normaler Betrug. Die Kriminalisten unterscheiden Computerverbrechen im “engeren Sinne” oder im “weiteren Sinne”. Bei der Rechtsprechung ist viel im Fluss. Eben auch weil viele Unternehmen die Angriffe überhaupt nicht melden.

silicon.de: Gibt es belastbare Zahlen, wie viele Menschen in ‚Cyberarmeen‘ organisiert sind und wie viele vom Ausland aus unsere Infrastrukturen angreifen?

Gaycken: Nein, es gibt keine belastbaren Zahlen, wir stochern alle im Nebel. Wir wissen kaum, wie die Staaten arbeiten und wie viele Angreifer es gibt. Wir wissen nicht, welche Angreifer kriminell und wie viele militärisch organisiert sind.

Aber der Staat muss sich darüber Informationen verschaffen und die Infrastruktur schützen. Das ist die Aufgabe des Staates. Wenn das Überleben des Staates gefährdet ist, muss der Staat regulieren und Verantwortung übernehmen.

silicon.de: Da sind wir wieder beim Anfang unseres Gespräches. Gefährden Cyberangriffe tatsächlich das Überleben des Staates?

Gaycken: Ich denke schon. Das Potential ist auf jeden Fall da. Es sind Angriffe denkbar, mit denen die Angreifer politischen Einfluss nehmen wollen. Eine Option für Erpressungen ist der Eingriff in die Börsenkurse – verbunden mit dem Hinweis, dass das wieder passieren kann. Ein zweites Szenario ist, dass ein ausländischer Staat massiv Innovationen und Forschungen ausspioniert und dann damit eine eigene Industrie aufbaut, die unserer Wirtschaft Konkurrenz macht. Darüber sollten wir uns Sorgen machen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de