Professor Marco Gercke

"Die Behörden sind nicht in der Lage, mit der Internetkriminalität umzugehen"

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Warum wehrt sich die Wirtschaft so gegen eine allgemeinverbindliche Meldepflicht bei Datenverlusten? Und wie lassen sich Manager in IT-Security trainieren? Darüber haben wir mit Strafrechtsprofessor Marco Gercke gesprochen.

CW: Wo stehen die deutschen Unternehmen beim Thema IT- und Cyber-Sicherheit?

Marco Gercke setzt auf verbesserte sichere Arbeitsabläufe in den Unternehmen.
Marco Gercke setzt auf verbesserte sichere Arbeitsabläufe in den Unternehmen.
Foto: privat

GERCKE: In technischer Hinsicht haben die meisten Unternehmen - Großunternehmen wie Mittelständler - die Zeichen der Zeit erkannt. In den Großunternehmen finden wir dezidierte Cyber-Security-Abteilungen, einige haben ihre eigenen Computer Emergency Response Teams (CERTs). Da sind die meisten gut aufgestellt. Was mitunter noch fehlt, ist die Erkenntnis, dass organisatorische Strukturen notwendig sind und bestimmte Prozesse eingehalten werden. Ein Beispiel: Ein Unternehmen hat ein geschlossenes IT-System für die Nutzung von Mobiltelefonen implementiert. Nun kommt aber der Vorstand daher und möchte ein anderes Gerät haben, was nicht unterstützt wird. Dieser Wunsch zeigt, dass da häufig noch die Erkenntnis fehlt, dass es nicht nur rein technische Lösungen sind, sondern diese in ein Gesamtsystem eingebettet sein müssen. Das ist besonders im deutschen Mittelstand noch nicht komplett verankert. Das Bewusstsein ist da, es fehlt aber noch an den Leitlinien, wie eine Organisation ausgerichtet werden muss, damit eine Absicherung gegen Cyberangriffe besser gewährleistet ist.

CW: Solche Wünsche kommen ja nicht von ungefähr, Stichwort Bedienkomfort der Geräte. Ist es nicht die IT, die hier zu unflexibel ist?

GERCKE: Ich möchte darauf hinaus, dass nicht mehr das Gerät der schwächste Punkt ist, den sich die Angreifer suchen. Früher war das so, weil es keine vorinstallierten Sicherheitslösungen gab, sondern diese erst nachträglich eingebaut werden mussten. Heute ist der Benutzer die große Schwachstelle. Schauen Sie sich die gehackten Twitter-Accounts der Associated Press und anderen an. Hier ging es in erster Linie um Phishing-Attacken, die mit der Unwissenheit des Nutzers spielen. Wir brauchen ein neues Bewusstsein und eine neue Art des Umgangs mit solchen Vorfällen. In den vergangenen zwei Jahren haben wir hier einen Paradigmenwechsel feststellen können, sowohl in den USA als auch hier in Deutschland. Früher hat kein Unternehmen offen zugegeben, dass etwas geschehen ist, heute ist das anders. Die Telekom hat öffentlich gemacht, wie oft ihre Systeme angegriffen wurden, Thyssen ist zur Bundesregierung gegangen, auch andere. So entsteht ein Dialog, der sich auch um die menschlichen Schwachstellen dreht.

Pro und Contra Meldepflicht

CW: Warum wehrt sich die Industrie dann trotzdem gegen eine allgemeinverbindliche Meldepflicht für Datenverluste?

Geht es nach Bundesinnenminister Hans-Peter Friedrich, kommt die gesetztliche Meldepflicht für alle schon bald.
Geht es nach Bundesinnenminister Hans-Peter Friedrich, kommt die gesetztliche Meldepflicht für alle schon bald.
Foto: BMI

GERCKE: Die Unternehmen tauschen sich untereinander offen aus. Die diskutierten gesetzlichen Meldepflichten sehen hingegen so aus, dass eine Meldung an eine staatliche Behörde vorgeschrieben wird, ohne dass ein Austausch innerhalb der Industrie stattfindet. In Bezug auf personenbezogene Daten gibt es eine solche Vorschrift bereits. Die Behörden sind aber auch jetzt schon nicht in der Lage, mit dem Thema Internetkriminalität umzugehen. Machen Sie doch den Test und gehen Sie zur Polizei, um eine Straftat zu melden. Dann werden die Beamten ihre Formulare aus dem Schrank holen und fragen, worum es sich handelt. Ihre Antwort: "Ich habe ein Computervirus". Was passiert? In dem meisten Fällen werden Sie wohl nach Hause geschickt. Nach §303a Strafgesetzbuch ist das Verändern von Daten auf Ihrem Rechner jedoch eine Straftat. Deshalb müsste es eigentlich verfolgt werden. In der polizeilichen Kriminalstatistik von 2010 hatten wir 1987 Fälle von Datenmanipulation, Eurostat erzählt gleichzeitig jedoch, dass rund zwölf Millionen Deutsche ein Computervirus haben. Die Zahlen passen nicht zusammen.

Deshalb meine Frage: Was bringt es, einer staatlichen Stelle etwas zu melden? Wenn diese Stelle in der Lage wäre, mit den Informationen auch wirklich etwas zu tun, könnten wir meiner persönlichen Meinung nach darüber diskutieren. Deshalb sollten wir den Dialog untereinander fördern. Wenn Unternehmen A montags angegriffen wird und direkt die anderen Unternehmen informiert, ist Unternehmen B dienstags in der Lage, den Angriff abzuwehren. Wenn Unternehmen A es stattdessen am Montag der staatlichen Stelle meldet und die die Information zwei Wochen für sich behält, wird Unternehmen B am Dienstag erfolgreich angegriffen, Unternehmen C am Mittwoch und so weiter.

CW: Also das gleiche Prinzip wie bei den Cloud-Intelligence-Modellen der Security-Dienstleister, die die Bedrohungsdaten der Kunden zentral einsammeln und ihre Produkte damit automatisch verbessern. Was halten Sie von diesem Ansatz?

GERCKE: Es ist natürlich eine Möglichkeit, die Echtzeit-Kommunikation auszunutzen und "live" zu patchen. Die Bandbreite der Angriffe zeigt jedoch, was das für einen Aktualisierungsaufwand bedeutet. Wir müssen das Thema Cybersecurity schließlich auch nicht nur für den deutschen Mittelständler betrachten, sondern beispielsweise auch für Unternehmen in Entwicklungsländern. Die Zahl der Schadsoftware, die jeden Tag entdeckt wird, ist so groß, dass es in diesen Ländern technisch gar nicht möglich ist, die Informationen darüber regelmäßig herunterzuladen. Es ist daher immer zu überlegen, was wir selbst und was wir weltweit implementieren und nutzen können.

Weiterbildung der Manager

CW: Müssen wir Unternehmensvorstände stärker in die Pflicht nehmen, sich und ihre Mitarbeiter im IT-Sicherheitsbereich weiterzubilden?

Konzerne wie die Telekom stellen Unternehmenslenker in Simulationen von Cyberangriffen auf die Probe.
Konzerne wie die Telekom stellen Unternehmenslenker in Simulationen von Cyberangriffen auf die Probe.
Foto: Deutsche Telekom AG / Norbert Ittermann

GERCKE: Im Prinzip ja. Wenn Sie heute in einem Unternehmen beginnen, werden Sie gleich am ersten Tag - als normaler Mitarbeiter wohlgemerkt - über den Datenschutz aufgeklärt. Diese Schulung ist mittlerweile ein normales Prozedere - es hat aber gedauert, bis es soweit war. Ähnlich läuft es vielleicht in Zukunft im Bereich Cybersicherheit - hier wird es noch ein paar Jahre dauern, wir sind aber auf dem richtigen Weg. Wir schaffen gerade die organisatorischen und regulatorischen Strukturen dafür. Wichtig sind die ständigen Schulungen, das ist keine einmalige Angelegenheit. Wir müssen Informationsportale aufbauen, um das Wissen zu bündeln. Es ist ja alles schon da, aber eben nicht an einer Stelle. Da können auch die Medien Vorbild und Kooperationspartner sein, die auf ihren Portalen schon lange Security-Meldungen zusammentragen.

CW: Der Datenschutz wird so hoch aufgehängt, weil andernfalls Strafen drohen. Was ist mit der Datensicherheit: Reichen die Gesetze aus?

GERCKE: Das Strafrecht sollte das letzte Mittel sein, wenn es keine anderen Möglichkeiten mehr gibt. Im Bereich des Datenschutzes haben wir ein solches Strafrecht, dessen Folgen ein Unternehmensvorstand aber delegieren kann. Schließlich soll er die zentralen strategischen Entscheidungen treffen und sich nicht mit anderem aufhalten. Wir haben damit trotzdem Strukturen, die einen Vorstand für das Thema sensibilisieren. Der Vorstand ist verantwortlich für das Risikomanagement. Für entstehende Schäden gibt es Versicherungen - was die Strafbarkeit angeht, können sie hingegen nicht einfach die Sekretärin zur Verantwortung ziehen. Deshalb sind diese Strukturen der persönlichen Verantwortlichkeit schon wichtig, ich sehe aber keinen Bedarf, sie noch weiter auszubauen. Gerade in den vergangenen Jahren haben wir in Deutschland im Bereich der Internetkriminalität viele Strafnormen geschaffen und in kaum einem Bereich entkriminalisiert. Und zu einer Kriminalpolitik gehören beide Seiten. Die sehe ich im Moment aber nicht, daher wäre ich vorsichtig mit der Forderung nach neuen Gesetzen.

Inhalt dieses Artikels