Cybersicherheit: Verfolgungsjagd im Internet
Eine Meldepflicht für Angriffe aus dem Netz und eine bessere Rüstung vor allem mittelständischer Unternehmen für die zunehmende Bedrohung durch Cyberangriffe - das sind die zentralen Forderungen der Teilnehmer der Potsdamer Konferenz für Nationale Cybersicherheit 2013. Zur Untermauerung wurden die üblichen Schreckensszenarien aufgefahren, konkrete Zahlen über die tatsächliche Bedrohung konnten aber weder BKA-Vizechef Jürgen Stock noch der Präsident des Bundesamtes für Verfassungsschutz (BfV) Hans-Georg Maaßen vorlegen. Sie halten deshalb die Meldepflicht für private Wirtschaftsunternehmen für unerlässlich, wonach Unternehmen sich verpflichten, kritische Angriffe auf ihre IT-Infrastruktur zu melden. Die wird es zumindest in Deutschland aber in absehbarer Zeit nicht geben.
Nur wenige Zahlen legten Teilnehmer der Konferenz zur aktuellen Bedrohungslage aus dem Netz vor: Von über 6 Millionen Straftaten, die im vergangenen Jahr in Deutschland begangen wurden, waren etwa 60.000 aus dem digitalen Bereich, rechnet der BKA-Vizechef vor. Er sieht auch die zunehmende Professionalisierung der Täter bis hin zu organisierten Verbrechensstrukturen mit Sorge. Maaßen beziffert täglich drei Angriffe auf die IT-Infrastruktur der Regierungseinrichtungen.
Berlin: Hauptstadt der Spione
Ansonsten blieben die Argumente für den geforderten und vermeintlich kostspieligen Ausbau der Sicherheitsinfrastruktur diffus. Die Dunkelziffer der digitalen Straftaten dürfte weitaus höher liegen, fuhr Stock fort, denn viele Unternehmen und private Nutzer würden sich aus Angst oder Scham nicht an die Polizei werden. Es gebe eine zu hohe "Mauer des Schweigens" .
BfV-Chef Maaßen beschwor die Geister der Vergangenheit und zeichnete zugleich eine bedrohliche Zukunft: Berlin sei immer noch die Hauptstadt der Agenten, das habe sich seit dem Ende des Kalten Krieges nicht geändert. Heute seien es in erster Linie Spione, die "Angriffe im Bereich Wirtschaft und Forschung ausführen." Auch sei die verteidigungspolitische Situation Deutschlands in Gefahr, etwa wenn sensible Rüstungsvorhaben oder elementare militärische Informationen in die falschen Hände gelangten. "Elektronische Angriffe aller Tätergruppen zusammengenommen verursachen bereits jetzt in der deutschen Wirtschaft einen auf mehrere Milliarden Euro geschätzten finanziellen Schaden" , warnt Maaßen. Außerdem rüsten auch ausländische Terroristen auf, Dschihadisten seien eine zunehmende Bedrohung auf öffentlichen Infrastrukturen. Auch Rechtsextremisten würden immer mehr von der realen in die virtuelle Welt übergehen und sich vor allem in sozialen Netzwerken tummeln. Stock warnte zudem vor Werkzeugen wie Anonymisierungstools und Verschlüsselungstechniken, die Täter zur Verschleierung verwenden und die Aufklärung verhindern.
Auf Nachfrage nannte Maaßen auch konkrete Länder, die eine Bedrohung im Internet darstellen: China und Russland. Er ergänzte jedoch auf Nachfrage eines chinesischen Journalisten, dass es oftmals schwierig sei, einen eindeutigen Täter auszumachen. Da fehlen oftmals die technischen Möglichkeiten.
Wirtschaft und Behörden uneinig
Ohne konkrete Zahlen können aber absichernde Maßnahmen kaum durchzusetzen sein. Das will die Konferenz deutlich machen. Nach den Vorgaben der EU soll die Meldepflicht in Deutschland eingeführt werden, verlangen sowohl Stock als auch Maaßen und vor allem Innenminister Hans-Peter Friedrich (CSU).
Der Vorschlag stößt jedoch beim Wirtschaftsministerium unter Phillipp Rösler (FDP) auf Ablehnung. Auch Matthias Wachter vom Bundesverband der Deutschen Industrie (BDI) sagte kürzlich der Tageszeitung Die Welt(öffnet im neuen Fenster) , die Meldepflicht sei nicht zielführend und mit einem hohen finanziellen und bürokratischen Aufwand verbunden. "Einen zusätzlichen gesetzlichen Regelungsbedarf sehen wir nicht."
Meldepflicht ist zu teuer
Eine gesetzliche Meldepflicht sei für die Unternehmen zu teuer, sagte auch der Geschäftsführer des Bitkoms Bernhard Rohleder auf der Konferenz am Hasso-Plattner-Institut für Informatik in Potsdam. Er sehe die Meldepflicht skeptisch, weil der bürokratische Aufwand in keinem Verhältnis zum Nutzen stehe und zusätzlich unnötige Kosten verursache. Ein entsprechendes Gesetz werde sicherlich nicht mehr in der laufenden Legislaturperiode verabschiedet werden. Zu groß seien die Unstimmigkeiten zwischen Wirtschaftsministerium und Innenministerium.
Es gebe noch zahlreiche Bedenken, etwa bei der möglichen Überlagerung zwischen deutscher und europäischer Gesetzgebung, sagte der Leiter der European Network and Information Security Agency (Enisa) Udo Helmbrecht. Ein weiterer Unterschied zur europäischen Variante sei die Einbeziehung der Provider in die Meldepflicht. Das sei in Europa vorgesehen, in Deutschland aber nicht. Sollte Deutschland hingegen keine eigene Initiative zur Meldepflicht erarbeiten, würde Europa die Vorschläge anderer umsetzen müssen, warnte Rohleder.
Wirtschaft in Gefahr
Vertreter aus Wirtschaft und IT sehen die Gefahrenlage im Netz ebenfalls drastisch und erläutern ihre aktuellen Gegenmaßnahmen gegen "Cyberkriminelle" und "Hacker" . Ibrahim Karasu vom Bundesverband deutscher Banken sieht mit den zunehmenden Angriffen einen potenziellen Vertrauensverlust der Bankkunden und fordert ein "abgeschlossenes sicheres Internet mit garantierter Bandbreite." Gerrit Bleumer von der Francotyp-Postalia pflichtet ihm bei. Nicht auszudenken wäre es, wenn Cyberkriminelle die von seiner Firma vertriebenen Frankiermaschinen hacken würden, sie seien "wie Geldautomaten" . Jan Neutze, Sicherheitsexperte bei Microsoft, erklärt, dass Angriffe nicht mehr in erster Linie über Betriebssysteme (30 Prozent), sondern über fehlerhafte Software, Hardware sowie über "das Bios" erfolgen und wie sehr sich seine Firma inzwischen um die Sicherheit seiner Kunden bemüht. Volker Smid, Vizechef bei HP, sieht vor allem mittelständische Unternehmen in Gefahr. Sie können sich aber Hilfe bei Expertenfirmen holen, das sei eine durchaus lohnende Investition. Es reiche nicht mehr, einen Zaun um ein Werksgelände zu bauen.
Keiner könne aber genau beziffern, wie groß der Schaden durch Netzangriffe tatsächlich sei, sagte Rohleder. Und deshalb seien auch die Kosten für Gegenmaßnahmen kaum überschaubar. Umfragen des Bitkoms hätten aber ergeben, dass nur etwa 57 Prozent der Unternehmen die Bedrohung aus dem Netz ernst nehmen. Und nur etwa die Hälfte dieser Unternehmen hätte einen ernstzunehmenden Notfallplan. Wichtiger seien deshalb die Aufklärung und ein effizienter Austausch von Informationen. Die IT-Produkte müssen sicherer werden.
Kriminelle im Vorteil
Das Hasso-Plattner-Institut hat inzwischen eine Datenbank entwickelt(öffnet im neuen Fenster) , die Schwachstellen und Sicherheitslücken in Computersystemen sammelt und in einem einheitlichen Format bereitstellt. Als Quellen dienen unter anderem NVD, CPE, OSVDB, Secunia, Security Focus, die Microsoft Security Bulletins, die Google Security Notes und die Security Notes von SAP. Damit können Unternehmen auf konkrete Gefahren reagieren und "im Notfall den Netzstecker ziehen" , sagte Christoph Meinel.
Die zahlreichen Vorschläge offenbarten auf der Konferenz zur Cybersicherheit große Ratlosigkeit angesichts der durchaus realen Bedrohung für Unternehmen aus dem Netz. Einige Teilnehmer stellten selbst die Netzneutralität infrage, etwa durch die Forderung eines vom Internet abgetrennten Netzes. Eine Offenlegung der tatsächlichen Gefahrenlage wäre durchaus wünschenswert - im Zweifel auch eine verpflichtende Meldepflicht. Immerhin setzen fast alle Teilnehmer auf präventive Maßnahmen. Und sie fordern eine bessere Ausbildung, um den Mangel an fähigem Personal für die Abwehr von Netzkriminalität auszugleichen. Aktuell seien die Kriminellen im Vorteil, so der Tenor der Veranstaltung.