Politik Die Schwächen der deutschen Cyberabwehr und die zweischneidige Rolle des Staates im Netz

Aktuelle Bedrohungen im Blick: das Nationale IT-Lagezentrum.
Aktuelle Bedrohungen im Blick: das Nationale IT-Lagezentrum.

Einige hundert Fachleute treffen sich heute zum 16. Deutschen IT-Sicherheitskongress in Bonn. Wie gut Deutschland vor Angriffen aus dem Internet geschützt ist, wollten wir von Sven Herpig, Experte für Cyber-Sicherheitspolitik, wissen.

Herr Herpig, eine Vielzahl an Behörden und staatlichen Stellen haben mit Cybersicherheit zu tun, das Zusammenspiel ist komplex geworden. Sind wir in diesem Bereich gut aufgestellt?

Es gibt etliche Baustellen. Das fängt damit an, dass 2016 eine neue Cybersicherheitsstrategie verabschiedet wurde. Die gibt aber keine wirkliche Strategie vor und ist kein vernünftiges Aufgabenheft, sondern die schlechteste Mischung aus beidem. Wir prüfen auch gar nicht nach, ob die Maßnahmen überhaupt umgesetzt werden und wie erfolgreich das ist. Geld ist ebenfalls nicht hinterlegt. Und was ist mit den Akteuren? Bei den Behörden ist es ähnlich. Es gibt sehr viele, die sich mit dem Thema beschäftigen – auch immer wieder neue. Zwei Institutionen halten das Ganze zusammen: einmal der Nationale Cybersicherheitsrat, wo alle strategischen Fragen besprochen werden sollten. Und auf operativer Ebene das Bundesamt für die Sicherheit in der Informationstechnik und dort speziell das Cyberabwehrzentrum, wo viele Akteure zusammenarbeiten. Wenn das funktionieren würde, wären wir sehr gut aufgestellt. Warum klappt das nicht? Auf operativer Ebene kann die Zusammenarbeit zwischen Behörden schwierig werden, wenn jeder beispielsweise um Ressourcen kämpft. Zudem wurde das Cyberabwehrzentrum nie auf eine rechtliche Grundlage gestellt. Damit eine sinnvolle Kooperation stattfinden kann, müssen Informationen gut fließen. Das ist aber nicht gewährleistet. Eine Reform steht noch aus. Vom Cybersicherheitsrat mit Vertretern aus Ministerien und Wirtschaft wiederum habe ich den vergangenen ein, zwei Jahren so gut wie nichts mehr gehört. Das ist schade, weil ein strategisches Leitmedium sinnvoll wäre. Was ist also zu tun? Es ergibt Sinn, dass wir diese zentralen Akteure haben. Digitalisierung durchdringt alle Bereiche, daher arbeiten viele Akteure im Bereich IT-Sicherheit mit. Dann braucht man eben zentralisierte Plattformen, bei denen die Fäden zusammenlaufen und wo die Themen effizient bearbeitet werden können. Da sieht es in der Theorie eigentlich ganz gut aus. Aber diese zentralen Akteure müssen besser und effizienter arbeiten.

Lösegeld, Spionage, kritische Infrastrukturen 

Wenn wir von IT-Sicherheit sprechen, um welche Bedrohungen geht es da?

Die sind ganz unterschiedlich. Individuelle Nutzer können Opfer von Cyberkriminellen werden, die zum Beispiel mit Schadsoftware Daten auf dem Privatrechner verschlüsseln und eine Art Lösegeld erpressen. Dagegen muss sich jeder selbst schützen. Kleine und mittlere Unternehmen werden ebenfalls Ziel von Cyberkriminellen. Sie werden auch zum begehrten Ziel von Wirtschaftsspionage. Deshalb sind Firmen viel stärker gefordert, Sicherheitsmaßnahmen zu ergreifen. Große Konzerne stellen ein noch bedeutsameres Ziel für Nachrichtendienste dar. Dann haben wir kritische Infrastrukturen: Stromnetzbetreiber, Wasserwerke, Krankenhäuser. Mit einem Angriff auf sie können im Extremfall zwischenstaatliche Konflikte ausgetragen werden. Damit sind wir schon auf der staatlichen Ebene. Genau, die Rechner der Regierung, des Bundestags, der Polizeibehörden. Da haben wir einen hohen Schutzbedarf, weil die Systeme für eine Vielzahl von Angreifern interessant sind. Hinzu kommen die Parteien, wie wir jüngst gesehen haben. Sie werden von staatlicher Seite nicht besonders geschützt. Das macht sie zu vermeintlich leichten Opfern, über die man der Demokratie Schaden zufügen kann – gerade im Wahlkampf. Neuerdings wird die Idee einer aktiven Cyberabwehr vorangetrieben. Was hat es damit auf sich? Auf der niedrigsten Reaktionsstufe geht es darum, eine Cyberattacke zu stoppen und nachzuverfolgen, wer der Angreifer ist. Im Extremfall greife ich die fremden Rechner – ob in Deutschland oder im Ausland – selbst an, um dort Daten zu löschen oder die Computer abzuschalten. Manche dieser Maßnahmen sind heute schon rechtlich zulässig. Stärker invasives Vorgehen, der sogenannte Hackback, soll künftig auf eine rechtlich solide Grundlage gestellt werden.

Mehr Befugnisse für Strafverfolger: "Das kann sehr heikel sein"

Ist das klug, dass der Staat auch als Angreifer agiert?

Die Frage muss man gar nicht erst rechtlich betrachten. Aus technischer Sicht ist es selten sinnvoll, in externe Systeme einzudringen. Es gibt viele Maßnahmen, die weniger invasiv sind und den gleichen Zweck erfüllen. Man muss sie nur ausschöpfen. Sicherheitsbehörden sollen immer mehr Befugnisse bei der Strafverfolgung im Internet bekommen. Wie ist das einzuschätzen? Das kann sehr heikel sein. Zum Beispiel müssen Behörden zur Überwachung verschlüsselter Telekommunikation Schadsoftware einkaufen – von Firmen, die ihre Produkte auch an autokratische Staaten wie Saudi-Arabien verkaufen. Gleichzeitig brauche ich für den Zugriff auf Geräte bestimmte Schwachstellen. Auch die muss ich einkaufen oder finden, sie dürfen noch nicht bekannt und noch nicht geschlossen sein. Das alles führt de facto zu weniger IT-Sicherheit.

Zur Person

Sven Herpig ist Leiter für Internationale Cyber-Sicherheitspolitik bei der Stiftung Neue Verantwortung, einer Berliner Denkfabrik für Fragen der Digitalisierung. Zuvor arbeitete er bei deutschen Bundesbehörden im Bereich IT-Sicherheit. | Interview: Peter Müller

Herpig
Herpig
x