CW: Wo stehen die deutschen Unternehmen beim Thema IT- und Cyber-Sicherheit?
Foto: privat
GERCKE: In technischer Hinsicht haben die meisten Unternehmen - Großunternehmen wie Mittelständler - die Zeichen der Zeit erkannt. In den Großunternehmen finden wir dezidierte Cyber-Security-Abteilungen, einige haben ihre eigenen Computer Emergency Response Teams (CERTs). Da sind die meisten gut aufgestellt. Was mitunter noch fehlt, ist die Erkenntnis, dass organisatorische Strukturen notwendig sind und bestimmte Prozesse eingehalten werden. Ein Beispiel: Ein Unternehmen hat ein geschlossenes IT-System für die Nutzung von Mobiltelefonen implementiert. Nun kommt aber der Vorstand daher und möchte ein anderes Gerät haben, was nicht unterstützt wird. Dieser Wunsch zeigt, dass da häufig noch die Erkenntnis fehlt, dass es nicht nur rein technische Lösungen sind, sondern diese in ein Gesamtsystem eingebettet sein müssen. Das ist besonders im deutschen Mittelstand noch nicht komplett verankert. Das Bewusstsein ist da, es fehlt aber noch an den Leitlinien, wie eine Organisation ausgerichtet werden muss, damit eine Absicherung gegen Cyberangriffe besser gewährleistet ist.
CW: Solche Wünsche kommen ja nicht von ungefähr, Stichwort Bedienkomfort der Geräte. Ist es nicht die IT, die hier zu unflexibel ist?
GERCKE: Ich möchte darauf hinaus, dass nicht mehr das Gerät der schwächste Punkt ist, den sich die Angreifer suchen. Früher war das so, weil es keine vorinstallierten Sicherheitslösungen gab, sondern diese erst nachträglich eingebaut werden mussten. Heute ist der Benutzer die große Schwachstelle. Schauen Sie sich die gehackten Twitter-Accounts der Associated Press und anderen an. Hier ging es in erster Linie um Phishing-Attacken, die mit der Unwissenheit des Nutzers spielen. Wir brauchen ein neues Bewusstsein und eine neue Art des Umgangs mit solchen Vorfällen. In den vergangenen zwei Jahren haben wir hier einen Paradigmenwechsel feststellen können, sowohl in den USA als auch hier in Deutschland. Früher hat kein Unternehmen offen zugegeben, dass etwas geschehen ist, heute ist das anders. Die Telekom hat öffentlich gemacht, wie oft ihre Systeme angegriffen wurden, Thyssen ist zur Bundesregierung gegangen, auch andere. So entsteht ein Dialog, der sich auch um die menschlichen Schwachstellen dreht.
Pro und Contra Meldepflicht
CW: Warum wehrt sich die Industrie dann trotzdem gegen eine allgemeinverbindliche Meldepflicht für Datenverluste?
Foto: BMI
GERCKE: Die Unternehmen tauschen sich untereinander offen aus. Die diskutierten gesetzlichen Meldepflichten sehen hingegen so aus, dass eine Meldung an eine staatliche Behörde vorgeschrieben wird, ohne dass ein Austausch innerhalb der Industrie stattfindet. In Bezug auf personenbezogene Daten gibt es eine solche Vorschrift bereits. Die Behörden sind aber auch jetzt schon nicht in der Lage, mit dem Thema Internetkriminalität umzugehen. Machen Sie doch den Test und gehen Sie zur Polizei, um eine Straftat zu melden. Dann werden die Beamten ihre Formulare aus dem Schrank holen und fragen, worum es sich handelt. Ihre Antwort: "Ich habe ein Computervirus". Was passiert? In dem meisten Fällen werden Sie wohl nach Hause geschickt. Nach §303a Strafgesetzbuch ist das Verändern von Daten auf Ihrem Rechner jedoch eine Straftat. Deshalb müsste es eigentlich verfolgt werden. In der polizeilichen Kriminalstatistik von 2010 hatten wir 1987 Fälle von Datenmanipulation, Eurostat erzählt gleichzeitig jedoch, dass rund zwölf Millionen Deutsche ein Computervirus haben. Die Zahlen passen nicht zusammen.
Deshalb meine Frage: Was bringt es, einer staatlichen Stelle etwas zu melden? Wenn diese Stelle in der Lage wäre, mit den Informationen auch wirklich etwas zu tun, könnten wir meiner persönlichen Meinung nach darüber diskutieren. Deshalb sollten wir den Dialog untereinander fördern. Wenn Unternehmen A montags angegriffen wird und direkt die anderen Unternehmen informiert, ist Unternehmen B dienstags in der Lage, den Angriff abzuwehren. Wenn Unternehmen A es stattdessen am Montag der staatlichen Stelle meldet und die die Information zwei Wochen für sich behält, wird Unternehmen B am Dienstag erfolgreich angegriffen, Unternehmen C am Mittwoch und so weiter.
CW: Also das gleiche Prinzip wie bei den Cloud-Intelligence-Modellen der Security-Dienstleister, die die Bedrohungsdaten der Kunden zentral einsammeln und ihre Produkte damit automatisch verbessern. Was halten Sie von diesem Ansatz?
GERCKE: Es ist natürlich eine Möglichkeit, die Echtzeit-Kommunikation auszunutzen und "live" zu patchen. Die Bandbreite der Angriffe zeigt jedoch, was das für einen Aktualisierungsaufwand bedeutet. Wir müssen das Thema Cybersecurity schließlich auch nicht nur für den deutschen Mittelständler betrachten, sondern beispielsweise auch für Unternehmen in Entwicklungsländern. Die Zahl der Schadsoftware, die jeden Tag entdeckt wird, ist so groß, dass es in diesen Ländern technisch gar nicht möglich ist, die Informationen darüber regelmäßig herunterzuladen. Es ist daher immer zu überlegen, was wir selbst und was wir weltweit implementieren und nutzen können.
Weiterbildung der Manager
CW: Müssen wir Unternehmensvorstände stärker in die Pflicht nehmen, sich und ihre Mitarbeiter im IT-Sicherheitsbereich weiterzubilden?
Foto: Deutsche Telekom AG / Norbert Ittermann
GERCKE: Im Prinzip ja. Wenn Sie heute in einem Unternehmen beginnen, werden Sie gleich am ersten Tag - als normaler Mitarbeiter wohlgemerkt - über den Datenschutz aufgeklärt. Diese Schulung ist mittlerweile ein normales Prozedere - es hat aber gedauert, bis es soweit war. Ähnlich läuft es vielleicht in Zukunft im Bereich Cybersicherheit - hier wird es noch ein paar Jahre dauern, wir sind aber auf dem richtigen Weg. Wir schaffen gerade die organisatorischen und regulatorischen Strukturen dafür. Wichtig sind die ständigen Schulungen, das ist keine einmalige Angelegenheit. Wir müssen Informationsportale aufbauen, um das Wissen zu bündeln. Es ist ja alles schon da, aber eben nicht an einer Stelle. Da können auch die Medien Vorbild und Kooperationspartner sein, die auf ihren Portalen schon lange Security-Meldungen zusammentragen.
CW: Der Datenschutz wird so hoch aufgehängt, weil andernfalls Strafen drohen. Was ist mit der Datensicherheit: Reichen die Gesetze aus?
GERCKE: Das Strafrecht sollte das letzte Mittel sein, wenn es keine anderen Möglichkeiten mehr gibt. Im Bereich des Datenschutzes haben wir ein solches Strafrecht, dessen Folgen ein Unternehmensvorstand aber delegieren kann. Schließlich soll er die zentralen strategischen Entscheidungen treffen und sich nicht mit anderem aufhalten. Wir haben damit trotzdem Strukturen, die einen Vorstand für das Thema sensibilisieren. Der Vorstand ist verantwortlich für das Risikomanagement. Für entstehende Schäden gibt es Versicherungen - was die Strafbarkeit angeht, können sie hingegen nicht einfach die Sekretärin zur Verantwortung ziehen. Deshalb sind diese Strukturen der persönlichen Verantwortlichkeit schon wichtig, ich sehe aber keinen Bedarf, sie noch weiter auszubauen. Gerade in den vergangenen Jahren haben wir in Deutschland im Bereich der Internetkriminalität viele Strafnormen geschaffen und in kaum einem Bereich entkriminalisiert. Und zu einer Kriminalpolitik gehören beide Seiten. Die sehe ich im Moment aber nicht, daher wäre ich vorsichtig mit der Forderung nach neuen Gesetzen.
Zum Video: "Die Behörden sind nicht in der Lage, mit der Internetkriminalität umzugehen"
Wo die Know-How-Träger sitzen
CW: Wie weit sind wir in der internationalen Zusammenarbeit von Politik und Wirtschaft in Bezug auf den Schutz kritischer Infrastrukturen vor Cyberattacken?
GERCKE: Kritische Infrastruktur hängt von Computersystemen ab und ist damit auch angreifbar. Wir müssen aber realistisch an das Thema herangehen. Ich habe mich für die NATO mit dem Thema "Angriffe auf kritische Transport-Infrastruktur" auseinandergesetzt und kann Ihnen sagen: Ein umfallender Baum ist immer noch eine größere Gefahr für den Schienenverkehr als ein Cyberangriff. Selbstverständlich ist denkbar, dass eins zum anderen führt und deshalb müssen wir uns mit diesen Szenarien beschäftigen. Und sie passieren auch, siehe den Angriff auf Stromnetze in den USA. Ob das Ausfall eines Systems zum Ausfall des anderen führt und so weiter, ist aber fraglich. Im Einzelfall möglich, allgemein aber nicht, weil nach wie vor viele unterschiedliche Systeme im Einsatz sind. Auch andere Gegebenheiten können zu Systemausfällen führen - ich sage nur Hochwasser.
Foto: Deutsche Telekom AG / Norbert Ittermann
Die Unternehmen beschäftigen sich dennoch sehr intensiv mit den Gefahren durch Angriffe auf kritische IT-Infrastrukturen und haben hier in den vergangenen Jahren viel Zeit und Ressourcen investiert. Da die meisten kritischen Infrastrukturen nicht in den Händen des Staates, sondern in denen von Unternehmen liegt, müssen sie das aber auch - schon aus Eigeninteresse. Die Frage ist vielmehr, wie sich das Gleichgewicht zwischen staatlicher Regulierung und Selbstregulierungsansätze der Industrie herstellen lässt. Es gibt derzeit weltweit sehr verschiedene Ansätze, es wird sich mit der Zeit auspendeln. Das Know-how befindet sich definitiv in den Reihen der Industrie, der Politik fehlt die Expertise. Dieser kommt hingegen eher die internationale Koordinierung der Aktionen zu - wie beispielsweise das EC3 in Den Haag (European Cybercrime Center) zeigt. Die Idee dahinter ist gut, lässt aber noch viel Raum für Verbesserungen. Wenn Täter und Opfer im Bereich Internetkriminalität beispielsweise aus verschienen Ländern kommen, hat immer der Täter einen Vorteil, weil sich die länderübergreifende Koordination der Ermittlungstätigkeit von Behörden immer noch sehr schwierig gestaltet. Zudem ist das Ganze noch sehr klein gedacht, die Internetkriminalität findet ja nicht nur in Europa statt, sondern weltweit.
CW: Was soll dann das NCAZ (Nationale Cyber-Abwehrzentrum) bei uns in Deutschland, das einen noch kleineren Zugriffsbereich besitzt?
GERCKE: Es ist nicht seine Aufgabe, Abgriffe abzuwehren. Es geht darum, die Koordination verschiedener Behörden sicherzustellen. Ein- und derselbe Angriff wie beispielsweise ein Computervirus kann eine Straftat sein - somit wären die Strafverfolgungsbehörden zuständig. Wenn das Virus aber von einer terroristischen Organisation stammt, wären ganz andere Behörden zuständig. Gesetz den Fall, das ein Staat dahinter steckt, wieder andere. Deshalb ist die gemeinsame Betrachtung und dynamische Informationsweitergabe durch eine zentrale Stelle ganz wichtig.
Industrie und Nachwuchs
CW: Ihre Einschätzung zum Thema "Security by Design" in der Industrie?
GERCKE: Bisher wurden die Industrienanlagen nicht mit dem Internet verbunden, daher spielte das Thema IT-Sicherheit eine geringere Rolle. Die Anlagen mussten nur effizient arbeiten. Vergleichen wir das doch einmal mit unseren Software-Betriebssystemen: Auch die hatten früher kaum Sicherheitstechnik eingebaut, heute ist sie selbstverständlich. Mittlerweile haben sich aber auch die Anforderungen der Industrie gewandelt. Dass "Security by Design" ein Verkaufsargument für deutsche Produkte sein kann, stimmt. Wir dürfen uns aber nicht der Illusion hingeben, dass das deutsche Sicherheitsdenken dem weltweiten Standard entspricht. In einigen Entwicklungsländern, in denen Sie nur stundenweise Strom bekommen, weil die Generatoren dauernd ausfallen, existieren eventuell andere Prioritäten. Deshalb plädiere ich auch hier dafür, sich für international gültige Mindest-Sicherheitsstandards zu einigen - dann wüsste auch die deutsche Industrie genau, was sie produzieren muss, damit es woanders einen Absatz findet.
CW: Sie kommen als Professor viel mit dem Security-Nachwuchs zusammen. Laufen wir Gefahr, dass uns die Expertise ausgeht?
GERCKE: Ja, es gibt einen Fachkräftemangel, aber wir könnten das durch Teams sehr gut abdecken - für einzelne Teilaspekte gibt es genügend Experten da draußen. IT-Sicherheit ist zu einem extrem komplexen Thema geworden. Noch vor zehn Jahren konnte sich ein Systemadministrator große Teile selbst erschließen. Das geht heute nicht mehr. Das beginnt mit den technischen Prozessen, die man verstehen muss - ich muss das ganze System und seine Strukturen kennen, um es absichern zu können. Die Anforderungen an den Security-Nachwuchs steigen - noch haben wir aber keine Ausbildungsstandards.
Das Gefühl, dass es hier einen Fachkräftemangel gibt, entsteht vielleicht dadurch, dass es Vorstellungen und Anforderungsprofile gibt, die eine einzige Person gar nicht mehr erfüllen kann. Wir müssen zur Kenntnis nehmen, dass wir in Technologie und Manpower investieren müssen - den Systemadministrator, der zugleich auch IT-Sicherheitsbeauftragter und Systemanalytiker mit umfangreichen Prozesskenntnissen ist, wird es nicht mehr geben. Diese Aufgaben müssen auf mehrere Schultern und verschiedene Hierarchieebenen verteilt werden.
Zur Person
Rechtsanwalt Prof. Dr. Marco Gercke ist Direktor des Instituts für Medienstrafrecht und Honorarprofessor an der Universität Köln. Er berät unterschiedliche internationale Organisationen im Zusammenhang mit rechtlichen Aspekten des Informationsstrafrechts.