"Es gibt so viele Verbrechen da draußen - das reicht für alle!" Was Troels Oerting, Assistant Director of Operations bei Europol, auf der von Euroforum und Handelsblatt ausgerichteten Konferenz "Cybersecurity 2012" so salopp in den Raum warf, spiegelt die aktuelle Situation gut wieder. Direkt bezogen war die Aussage zwar auf die künftige Zusammenarbeit des neuen Europäischen Cybercrime-Abwehrzentrums EC3, deren Aufbau bis Ende 2012 abgeschlossen sein soll, mit des wohl ab 2015 weltweit agierenden Interpol-Pendants mit Sitz in Singapur. Sein Statement lässt sich aber ohne weiteres auch verallgemeinern und auf die derzeitige Sicherheitslage im Internet übertragen.

Die Referenten und Teilnehmer der zweitägigen Veranstaltung in Berlin waren sich einig: Trotz zahlreicher Bemühungen, Gesetzesinitiativen und nationaler sowie internationaler Bündnisse, Kooperationen und Arbeitskreise bleibt für politische wie unternehmerische Entscheidungsträger im Bereich Cybersicherheit einiges zu tun. Martin Schallbruch, IT-Direktor im Bundesministerium des Innern (BMI), sprach von 22.000 Internetstraftaten, die im vergangenen Jahr in Deutschland bekannt geworden seien. Das betreffe unter anderem Bereiche wie Kreditkartenbetrug, Cyberspionage oder Kinderpornographie. Diese Zahl mute gering an, betrachte man allein die Zahl von 187 Millionen digitalen Identitätsdiebstählen weltweit. Das zeige schon eher die Dimension auf, die das kriminelle Internet mittlerweile erreicht habe, so Schallbruch. "Auch den Cyberspace wünschen wir uns als Raum der Freiheit, Sicherheit und des Rechts", stellte er klar. Um den wachsenden Gefahren Herr zu werden, unterstrich Schallbruch den Nutzen der Nationalen Cyber-Sicherheitsstrategie des Bundes, die vor ziemlich genau einem Jahr ins Leben gerufen worden war. Er wies auch auf das Nationale Cyber-Abwehrzentrum (NCAZ) hin, das als Koordinierungsstelle Maßnahmen erarbeiten und delegieren soll, wenn Gefahren aus dem Internet drohen. In den ersten zwölf Monaten seines Bestehens habe das NCAZ immerhin bereits 500 IT-Vorfälle untersucht und geeignete Gegenmaßnahmen koordiniert.

Es sei wichtig, dass es im Zuge aller dieser Aktionen einen übergreifenden Erfahrungsaustausch zwischen Politik, Justiz und Wirtschaft gebe - das Kerngeschäft von knapp 50 Prozent aller deutschen Unternehmen hänge schließlich bereits vom Internet ab. "Die Gefahr wächst - und Deutschland ist eines der meistattackierten Länder in Europa, beispielsweise was das Thema Industriespionage angeht", rief Schallbruch zur Zusammenarbeit auf und betonte, dass die Vernetzung entscheidend sei, denn "niemand wird das Problem für sich allein lösen können."

Sondierungsgespräche enden diese Woche

Gerade auch der Schutz kritischer Infrastrukturen steht im Fokus einer "zivilen und präventiven" Cybersicherheitsstrategie. "Der Schlüssel liegt im angemessenen Schutz der IT-Systeme", so der IT-Direktor des BMI. Im Laufe dieser Woche sollen die Gespräche der politischen Vertreter mit den Anbietern kritischer Infrastrukturen unter anderem aus den Bereichen Energie, Logistik, Verkehr, Finanzen, Telekommunikation, Medizin, Ernährung und Medien abgeschlossen sein. Danach werde die zweite Phase der Nationalen Cybersicherheitsstrategie eingeläutet: die konkrete Umsetzung in Form von möglichen neuen Gesetzen.

In den vergangenen zwölf Monaten habe sich gezeigt, "dass wir von einer flächendeckenden Strategie noch weit entfernt sind und sich die Diskussion über Cybersicherheit in den Unternehmen noch ganz am Anfang" befindet, bemängelte Schallbruch. Besonders in heterogenen Unternehmenslandschaften mit vielen kleineren Organisationen und ohne entsprechende Branchenverbände gebe es starken Nachholbedarf. Als Positivbeispiele hob der Ministeriumsvertreter das Banken- und Versicherungswesen heraus, in dem bereits einheitliche IT-Sicherheitsregelungen gelten würden. So etwas müsse das Ziel für alle kritischen Wirtschaftsbereiche sein.

Europol-Vertreter Oerting stellte im Folgenden das kürzlich bei Europol installierte European Cybercrime Centre (EC3) vor, eine Art NCAZ auf europäischer Ebene. "Am 1. Januar wollen wir mit dem EC3 richtig loslegen", kündigte der Däne an und trommelte genau wie Schallbruch für Unterstützung seitens der Industrie. Es sei "schwierig, aber nicht unmöglich, den Kampf gegen die Cyberverbrecher zu gewinnen", versprach er vollmundig und verließ anschließend von vielen guten Wünschen begleitet das Rednerpult.

Bring your own disaster

Nach den Appellen für mehr politischer und wirtschaftlicher Zusammenarbeit ging es für die Konferenzteilnehmer mit den praktischen Sicherheitsproblemen des IT-Alltags im Unternehmen weiter. Sie arbeiteten als größte Herausforderungen für die nächsten Monate und Jahre die Sicherheit mobiler Geräte (das Thema ByoD wurde im Rahmen der Konferenz oft als "Bring your own disaster" verspottet), von Cloud-Computing-Infrastrukturen und den politisch motivierten Hacktivismus heraus. Besonders wenn es um den Austausch kritischer Daten beispielsweise mit Zuliefererbetrieben ginge, spiele die Datensicherheit bisher nur eine untergeordnete bis keine Rolle in den Überlegungen der IT-Entscheider. Zudem gewinne häufig der günstige Preis, wenn es um die Zusammenstellung von Systemen gehe und nicht einheitliche Zertifizierungen, bemängelten die Konferenzteilnehmer.

Ob die zuvor vorgestellten politischen Cybersicherheits-Initiativen den Unternehmen bei diesen Problemen wirklich behilflich sein können, wurde von einigen Diskutanten im Rahmen der Konferenz übrigens durchaus kritisch hinterfragt.