Cyber-Kriminalität

Die Politik muss in 3 Punkten handeln

05.11.2014
Cyber-Kriminelle, Nachrichtendienste und sonstige Hacker greifen tagtäglich an. Die Politik schaut zu - oder erlässt neue Gesetze, ohne die alten umzusetzen. Deswegen ist es gut, dass die CIOs sich jetzt wehren. Ein Kommentar von Jörg Asma.

Weltweit sehen sich Unternehmen finanziellen Verlusten ausgesetzt. Sie verlieren durch digitale Hehlerei geistiges Eigentum, und somit ihr wertvollstes Asset: die Intellectual Property (IP). Mittelbare Verluste entstehen zudem durch die Reaktion auf Sicherheitsvorfälle, unter anderem für den Einsatz von Juristen und Forensikern oder Krisenkommunikatoren, um öffentlichen Reputationsschaden abzuwenden.

Jörg Asma, Managing Director bei Comma, Management Consulting für Sicherheit: "Unternehmen verlieren durch digitale Hehlerei geistiges Eigentum und somit ihr wertvollstes Asset: die Intellectual Property."
Jörg Asma, Managing Director bei Comma, Management Consulting für Sicherheit: "Unternehmen verlieren durch digitale Hehlerei geistiges Eigentum und somit ihr wertvollstes Asset: die Intellectual Property."
Foto: Comma Soft AG

Aber auch Personenschäden sind möglich. Als Beispiel sei hier die Kompromittierung von Scada-Systemen (Supervisory Control and Data Acquisition) genannt. Es ist davon auszugehen, dass die Schäden heute in hohen mehrstelligen Milliardenbeträgen pro Jahr und Land liegen.

Die European Union Agency for Network and Information Security (Enisa) geht trotzdem von einer sehr umfassenden Abdeckung europäischer Länder in puncto Cyber-Security-Gesetzgebung aus. Dies verwundert insoweit, als die aktuelle Situation nicht als zufriedenstellend angesehen werden kann. Um Unternehmen künftig besser zu unterstützen, sollte die Politik vor allem drei Punkte ins Visier nehmen:

1. Nutzung bestehender Gesetze und Forcierung der Anwendung dieser Gesetze im Rahmen der Strafverfolgung

Die Politik erlässt immer mehr neue Gesetze, obwohl existierende Gesetzgebung zum einen erweitert werden könnte, zum anderen erst einmal ihre Durchführung sichergestellt werden muss. Vor allem mit der Anwendung der Telekommunikationsgesetze oder des sogenannten Hacker-Paragrafen sind die CIOs in Deutschland bisher nicht zufrieden. Die Einführung und Umsetzung von Sicherheitsmaßnahmen kann zudem aus dem existierenden Handelsrecht - "der Pflicht des guten Kaufmanns, Schaden von seinem Unternehmen abzuwenden" - abgeleitet werden.

2. Prävention und Detektion im Kontext bestehender Gesetze ermöglichen

Prävention und Detektion von Cyber-Angriffen sind zu Schlüsselkomponenten bei deren Abwehr geworden. Im Konflikt damit stehen aber auch einige der Gesetze, die insbesondere in Deutschland Monitoring und Logging von Daten und Datenströmen nahezu unmöglich machen und CIOs, die dieses anordnen, nahe an Straftatbestände heranbringen. Hier ist insbesondere eine Justierung der existierenden Gesetze, die die Detektion von Sicherheitsvorfällen erschweren, angeraten. Es ist verständlich, dass der Mitarbeiterdatenschutz und die Persönlichkeitsrechte im Zentrum unserer Kultur stehen. Wenn jedoch Arbeitsplätze und damit das Wohlergehen der Mitarbeiter durch Monitoring gesichert werden können, gilt es hier neue legislative Wege zu beschreiten.

3. No-Spying-Abkommen forcieren

In der Vergangenheit hat es in der Politik immer wieder erfolgreiche Ansätze gegeben, bestimmte Vorgehensweisen oder Waffen zu ächten, indem man einen internationalen Konsens geschaffen und diesen kodifiziert hat. Die Bundesregierung hat mit ihrem Vorschlag eines "No-Spying-Abkommens" eine Vorlage dazu geschaffen. Auch das "Five-Eyes"-Konstrukt zwischen den USA, Großbritannien, Kanada, Neu-Seeland und Australien basiert auf einem Konsens, gemeinsam "Signal Intelligence" zu betreiben, sich aber gegenseitig nicht auszuspionieren.

Ob tatsächlich ein globales oder europäisches No-Spying-Abkommen realisierbar und in der Realität umsetzbar ist, darf durchaus bezweifelt werden. Allerdings sollte man im Rahmen der Europäischen Union die Kodifizierung von Wirtschaftsspionage, die in einigen EU-Mitgliedstaaten weiterhin zu finden ist, als nicht mehr hinnehmbar bezeichnen und hier einen Vorstoß starten, diese Gesetze zu entfernen. Schließlich würde es gelten, dies auch in einer transatlantischen Allianz umsetzen.

CIOs starten die öffentliche Diskussion

Diese Forderungen sind keine Utopie, auch wenn ihre Umsetzbarkeit zunächst im politischen Willensbildungs- und Gesetzgebungsprozess geprüft werden muss. Das wird Zeit kosten. Umso wichtiger ist es, jetzt mit der Diskussion zu beginnen. Ich begrüße es sehr, dass CIOs wie Hajo Popp vom Deutschen Zentrum für Luft- und Raumfahrt das Thema offen ansprechen und in der internationalen CIO-Szene nach Mitstreitern für einen besseren Schutz suchen.

CIOmove - Protest in Davos und München

Jörg Asma berät neben der Europäische Union und der Deutsche Akademie der Technikwissenschaften (ACATECH) auch den "CIOmove" des Münchener Professors Helmut Krcmar. In dem internationalen Netzwerk sind CIOs wie Hajo Popp vom Deutschen Zentrum für Luft- und Raumfahrt (DLR) organisiert, die mehr Schutz im Internet einfordern. Der CIOmove wird im Januar nach Davos und Münchener Sicherheitskonferenz zu diskutieren, siehe: www.ciomove.com

Der Ansatz, IT-Security beim World Economic Forum und bei der Münchener Sicherheitskonferenz zu platzieren, ist der richtige. Das Thema muss dort platziert werden, wo es hingehört: ganz oben auf die politische Agenda