Wo die Know-How-Träger sitzen
CW: Wie weit sind wir in der internationalen Zusammenarbeit von Politik und Wirtschaft in Bezug auf den Schutz kritischer Infrastrukturen vor Cyberattacken?
GERCKE: Kritische Infrastruktur hängt von Computersystemen ab und ist damit auch angreifbar. Wir müssen aber realistisch an das Thema herangehen. Ich habe mich für die NATO mit dem Thema "Angriffe auf kritische Transport-Infrastruktur" auseinandergesetzt und kann Ihnen sagen: Ein umfallender Baum ist immer noch eine größere Gefahr für den Schienenverkehr als ein Cyberangriff. Selbstverständlich ist denkbar, dass eins zum anderen führt und deshalb müssen wir uns mit diesen Szenarien beschäftigen. Und sie passieren auch, siehe den Angriff auf Stromnetze in den USA. Ob das Ausfall eines Systems zum Ausfall des anderen führt und so weiter, ist aber fraglich. Im Einzelfall möglich, allgemein aber nicht, weil nach wie vor viele unterschiedliche Systeme im Einsatz sind. Auch andere Gegebenheiten können zu Systemausfällen führen - ich sage nur Hochwasser.
Foto: Deutsche Telekom AG / Norbert Ittermann
Die Unternehmen beschäftigen sich dennoch sehr intensiv mit den Gefahren durch Angriffe auf kritische IT-Infrastrukturen und haben hier in den vergangenen Jahren viel Zeit und Ressourcen investiert. Da die meisten kritischen Infrastrukturen nicht in den Händen des Staates, sondern in denen von Unternehmen liegt, müssen sie das aber auch - schon aus Eigeninteresse. Die Frage ist vielmehr, wie sich das Gleichgewicht zwischen staatlicher Regulierung und Selbstregulierungsansätze der Industrie herstellen lässt. Es gibt derzeit weltweit sehr verschiedene Ansätze, es wird sich mit der Zeit auspendeln. Das Know-how befindet sich definitiv in den Reihen der Industrie, der Politik fehlt die Expertise. Dieser kommt hingegen eher die internationale Koordinierung der Aktionen zu - wie beispielsweise das EC3 in Den Haag (European Cybercrime Center) zeigt. Die Idee dahinter ist gut, lässt aber noch viel Raum für Verbesserungen. Wenn Täter und Opfer im Bereich Internetkriminalität beispielsweise aus verschienen Ländern kommen, hat immer der Täter einen Vorteil, weil sich die länderübergreifende Koordination der Ermittlungstätigkeit von Behörden immer noch sehr schwierig gestaltet. Zudem ist das Ganze noch sehr klein gedacht, die Internetkriminalität findet ja nicht nur in Europa statt, sondern weltweit.
CW: Was soll dann das NCAZ (Nationale Cyber-Abwehrzentrum) bei uns in Deutschland, das einen noch kleineren Zugriffsbereich besitzt?
GERCKE: Es ist nicht seine Aufgabe, Abgriffe abzuwehren. Es geht darum, die Koordination verschiedener Behörden sicherzustellen. Ein- und derselbe Angriff wie beispielsweise ein Computervirus kann eine Straftat sein - somit wären die Strafverfolgungsbehörden zuständig. Wenn das Virus aber von einer terroristischen Organisation stammt, wären ganz andere Behörden zuständig. Gesetz den Fall, das ein Staat dahinter steckt, wieder andere. Deshalb ist die gemeinsame Betrachtung und dynamische Informationsweitergabe durch eine zentrale Stelle ganz wichtig.
Industrie und Nachwuchs
CW: Ihre Einschätzung zum Thema "Security by Design" in der Industrie?
GERCKE: Bisher wurden die Industrienanlagen nicht mit dem Internet verbunden, daher spielte das Thema IT-Sicherheit eine geringere Rolle. Die Anlagen mussten nur effizient arbeiten. Vergleichen wir das doch einmal mit unseren Software-Betriebssystemen: Auch die hatten früher kaum Sicherheitstechnik eingebaut, heute ist sie selbstverständlich. Mittlerweile haben sich aber auch die Anforderungen der Industrie gewandelt. Dass "Security by Design" ein Verkaufsargument für deutsche Produkte sein kann, stimmt. Wir dürfen uns aber nicht der Illusion hingeben, dass das deutsche Sicherheitsdenken dem weltweiten Standard entspricht. In einigen Entwicklungsländern, in denen Sie nur stundenweise Strom bekommen, weil die Generatoren dauernd ausfallen, existieren eventuell andere Prioritäten. Deshalb plädiere ich auch hier dafür, sich für international gültige Mindest-Sicherheitsstandards zu einigen - dann wüsste auch die deutsche Industrie genau, was sie produzieren muss, damit es woanders einen Absatz findet.
CW: Sie kommen als Professor viel mit dem Security-Nachwuchs zusammen. Laufen wir Gefahr, dass uns die Expertise ausgeht?
GERCKE: Ja, es gibt einen Fachkräftemangel, aber wir könnten das durch Teams sehr gut abdecken - für einzelne Teilaspekte gibt es genügend Experten da draußen. IT-Sicherheit ist zu einem extrem komplexen Thema geworden. Noch vor zehn Jahren konnte sich ein Systemadministrator große Teile selbst erschließen. Das geht heute nicht mehr. Das beginnt mit den technischen Prozessen, die man verstehen muss - ich muss das ganze System und seine Strukturen kennen, um es absichern zu können. Die Anforderungen an den Security-Nachwuchs steigen - noch haben wir aber keine Ausbildungsstandards.
Das Gefühl, dass es hier einen Fachkräftemangel gibt, entsteht vielleicht dadurch, dass es Vorstellungen und Anforderungsprofile gibt, die eine einzige Person gar nicht mehr erfüllen kann. Wir müssen zur Kenntnis nehmen, dass wir in Technologie und Manpower investieren müssen - den Systemadministrator, der zugleich auch IT-Sicherheitsbeauftragter und Systemanalytiker mit umfangreichen Prozesskenntnissen ist, wird es nicht mehr geben. Diese Aufgaben müssen auf mehrere Schultern und verschiedene Hierarchieebenen verteilt werden.
Zur Person
Rechtsanwalt Prof. Dr. Marco Gercke ist Direktor des Instituts für Medienstrafrecht und Honorarprofessor an der Universität Köln. Er berät unterschiedliche internationale Organisationen im Zusammenhang mit rechtlichen Aspekten des Informationsstrafrechts.