keyboard_arrow_left News Übersicht

Nationale & internationale Cyber-Security: Herausforderungen der vernetzten Welt

25. April 2019

Die Meldungen über Hacker-Angriffe auf Betreiber kritischer Infrastrukturen nehmen immer mehr zu. Frühzeitig auf Bedrohungen reagieren zu können, ist praktisch unabdingbar. Aber wie ist es um die nationale und internationale Cyber-Sicherheit bestellt? Der 2012 gegründete Cyber-Sicherheitsrat Deutschland e.V. hat es sich zur Aufgabe gemacht, Unternehmen, Behörden und der Politik in Sachen Cyber-Security beratend zur Seite zu stehen. Hans-Wilhelm Dünn, Präsident des Vereins, erzählt uns im Interview, wo die größten Probleme liegen und was sich ändern muss.

PN: Können Sie kurz etwas zu Ihrer Person sagen, zu Ihrem Werdegang bis hin zum Präsidenten des Cyber-Sicherheitsrates?

HWD: Ich bin kein studierter ITler, sondern Diplom-Verwaltungswissenschaftler. In meinem ersten Job war ich persönlicher Referent eines Wirtschaftsministers, der auch Beiratsvorsitzender der Bundesnetzagentur war. IT-Sicherheit stand damals noch nicht so sehr im Zentrum öffentlicher Aufmerksamkeit, war aber natürlich dennoch ein zentrales Thema. Danach war ich Geschäftsführer eines GRW-Netzwerkes, das sich um das Thema IT-Sicherheit gekümmert hat. Hier ging es auch darum, ein Dreisäulenmodell für IT-Sicherheit aufzubauen, überwiegend konzentriert um den Standort Berlin/Brandenburg. Wir haben viele Förderprojekte umgesetzt – Förderprojekte in Kooperation mit der Industrie und der Wissenschaft. Das war alles hochspannend. Aber man hat dann bald festgestellt, dass das Thema auf internationaler Ebene anzupacken ist, dass es nicht ausreicht, wie bisher in doch eher regional begrenzten Clustern aktiv zu sein.

Aus dieser Überlegung heraus haben wir gemeinsam mit Arne Schönbohm, dem jetzigen Präsidenten vom Bundesamt für Sicherheit in der Informationstechnik, beschlossen, den Cyber-Sicherheitsrat Deutschland e.V. zu gründen. Unser Ziel war, die Menschen auf Entscheider-Ebene zu erreichen. Es gab immer tolle technisch-operative Hinterzimmer-Gespräche und Konferenzen, auf denen sich immer die gleichen Leute trafen. Aber der Entscheider eines Krankenhauses, eines Stadtwerkes, der politische Entscheider in einem Bundesland – die müssen wir erreichen, müssen wir sensibilisieren. Wir bieten eine Art Dolmetscher-Service an, bei dem wir Überzeugungsarbeit und Unterstützung leisten, damit entsprechende Maßnahmen implementiert werden. Vorfälle, wie dass Krankenhäuser nach einer Ransom-Ware Attacke handlungsunfähig sind, wollen wir vermeiden. Bei der Sache gibt es verschiedene Ebenen. Zum einen brauchen wir eine IT-Sicherheitsindustrie, aber wir brauchen natürlich auch Bedarfsträger: Von den unzähligen Stadtwerken in Deutschland bis hin zu den knapp 2000 Krankenhäusern, die letzten Endes mit den ganzen Regularien, Sicherheitsgesetzen, EU-Verordnungen leben und arbeiten müssen. Für die sind wir eine Plattform, der sie vertrauen. Alles beruht eigentlich auf einem Vertrauensnetzwerk der Köpfe. Der Cyber-Sicherheitsrat bietet eine vertrauliche Plattform, wir kennen die richtigen Leute, helfen bei der Identifikation und Umsetzung der richtigen Maßnahmen und agieren sehr international. Wir haben Außenstellen in Israel, kooperieren sehr stark mit den USA, haben gerade einen Hub in London gegründet. Wir sind vertreten in verschiedenen Ausschüssen, haben verschiedene Kooperationen auch mit anderen Vereinigungen, wo wir gemeinsam Themen analysieren und Cyber-Sicherheit als Prozess-Enabler oder manchmal auch als Showstopper platzieren.

PN: Wie mannstark ist der Cyber-Sicherheitsrat?

HWD: Wir arbeiten hier aktuell mit fünf Leuten, die das sozusagen hauptamtlich betreiben. Das Problem, das wir derzeit in diesem ganzen Cyber-Umfeld sehen, ist, dass es relativ viele Leute gibt, die sich im Rahmen einer Organisation dieser Themen annehmen. Unser Ziel ist, mit den Profis und auch den Bedarfsträgern das Know-how und die Leute zu bündeln. Es gibt einen wahnsinnigen Fight-for-Talents – es fehlen aktuell einfach die Leute, um das alles umfassend darzustellen.

PN: Sie sprechen in ihrem Vortrag auch über internationale Cyber-Security. Wie kann man sich die Zusammenarbeit innerhalb der EU-Staaten vorstellen?

HWD: Das ist ein interessantes Thema. Ich war im ersten Quartal sehr viel in Brüssel und Athen unterwegs, wo die Europäische Agentur für Netz- und Informationssicherheit sitzt. Ich muss da kritisch attestieren, was sicherlich auch viele so für den Praxisalltag bestätigen: Das Thema ist auf der EU-Ebene angekommen, es ist aber eigentlich noch ein bisschen zahnlos. Denn die Hoheit dieser Sicherheitsthemen liegt immer noch bei den Nationalstaaten, was etwa an den unterschiedlichen Fortschritten der Umsetzung der NIS-Richtlinie deutlich wird. Dazu kommen dann noch weitere Cyberakteure auf EU-Ebene wie die Digitalkommissarin Frau Mariya Gabriel, das CERT-EU oder das European Cybercrime Center EC3. Das Ganze ist zurzeit also eher noch ein Flickenteppich. Wenn wir in Europa unsere eigenen Systeme verstehen und auch kontrollieren wollen, gestaltet sich das Ganze noch sehr schwierig. Auch weil das alles in der Regel aus Ländern wie den USA, Israel, Russland, China oder anderen außereuropäischen Staaten kommt. Uns fehlt einfach eine zentrale durchschlagkräftige Plattform, die dann auch juristisch auf einem entsprechenden Fundament steht.

PN: Gibt es denn mit außereuropäischen Staaten Kooperationen?

HWD: Es gibt eine Vielzahl von internationalen Kooperationsformaten, wie in der Eingangsfrage bereits erwähnt. Die grenzübergreifende Vernetzung ist vor allem im Bereich der Cyber-Sicherheit unabdingbar. Denn Cyberkriminelle haben bisweilen unter anderem deshalb ein leichtes Spiel, weil nationale Strafverfolgungsbehörden in ihren Befugnissen häufig auf den nationalen Raum begrenzt und auf die Kooperation mit ausländischen Behörden angewiesen sind.

PN: Wurde das Thema Cyber-Sicherheit bzw. nationale wie auch internationale IT-Sicherheit zu lange vernachlässigt?

HWD: Wir haben in den letzten 20 Jahren viel Kompetenz generiert und geschaffen. Aber wir waren in Teilen nicht in der Lage, diese Kompetenzen hier in Deutschland entsprechend strategisch zu entwickeln. Um es klar zu sagen: Wir haben Top-Unternehmen und auch Strukturen in Teilen hier in Deutschland, aber die reichen nicht aus. Das, was wir hier quasi in der Kinderstube selbst produziert haben, ist auch zu großen Teilen sehr schnell abgewandert in andere Länder. Das hängt teilweise auch damit zusammen, dass man Private Equity, also Investorenumfelder, braucht, um solche Themen weiterzuführen und zu fördern.

Was die deutsche Behördenlandschaft angeht, nehmen wir langsam an Fahrt auf, auch wenn das Thema lange vernachlässigt wurde. Viele neue Stellen wurden installiert, wie die Zentrale Stelle für Informationstechnik im Sicherheitsbereich ZITiS oder die Agentur für Innovationen in der Cyber-Sicherheit ADIC. Solche Strukturen werden aber nicht von heute auf morgen aufgebaut und greifen dann perfekt ineinander. Wichtig ist es dabei, Doppelarbeit zu vermeiden und die Cyber-Sicherheit in Deutschland tatsächlich und effizient zu stärken. Das sind dann natürlich auch wieder Personalfragen. Wir haben in Deutschland ein föderales System, und in jedem Bundesland gibt es eine zentrale Ansprechstelle für Cybercrime, die sogenannten ZACs. In Berlin beispielsweise ist dieses ZAC für mehr als hunderttausend Unternehmen zuständig – wird allerdings personaltechnisch nicht angemessen abgebildet. Sie können sich also vorstellen, wie das ganze Themenfeld von Cybercrime bis hin zur Wirtschaftsspionage bewältigt werden kann. Der IT-Sicherheitsfachkräftemangel ist für Unternehmen und Behörden gleichermaßen eine Herausforderung und muss demnach dringend nachhaltig gelöst werden. Wenn alle morgen Cyber-Sicherheit als wichtigen Prozess-Enabler erkennen und umsetzen würden, wären wir gar nicht in der Lage, das personell zu stemmen. Das Problem was schnelle Lösungen angeht: Die Leute durchlaufen erstmal sechs Jahre Studium, gehen dann nochmal drei Jahre in die Praxis, um überhaupt einsatzfähig zu sein. Wir brauchen Ausbildungsmodule, die es uns ermöglichen, schneller mehr Leute bedarfsgerecht auszubilden.

PN: Ende 2018 gab es Schlagzeilen, dass es immer mehr Hacker-Angriffe auf die Betreiber kritischer Infrastruktur gäbe. Wie gut ist Deutschland diesbezüglich gerüstet?

HWD: Die deutsche KRITIS-Infrastruktur ist an sich auf einem guten Level, viele von den Betreibern fallen zudem unter das IT-Sicherheitsgesetz, das zum Einhalt gewisser IT-Sicherheits-Mindeststandards verpflichtet. Wichtig sind für eine stabile Cybersicherheitsarchitektur allerdings gleichermaßen vorhandene Kapazitäten und Kompetenzen, egal ob DAX30-Konzern oder KMU. Cyberkriminelle sind sehr gut darin, Schwachstellen in einem System ausfindig zu machen und über diese dann Netzwerke erfolgreich zu infiltrieren. Es ist also wichtig, dass man flächendeckend, also auch in kleinen Stadtwerken, entsprechend sensibilisiert und so wenig digitale Angriffsfläche wie möglich anbietet. Andernfalls wird es Hackern sehr leicht gemacht, in Steuerungssysteme einzudringen und im schlimmsten Falle das Licht auszuknipsen. Allerdings sind wir in allen Bereichen massiv vernetzt: In der Industrie, im Bereich der kritischen Infrastrukturen, sprich Banken, Ernährung, Strom, Energie bis hin zu den Krankenhäusern. Die Vernetzung ist Grundlage des Geschäftsbetriebes. So entsteht ein komplexes System aus Schnittstellen und Abhängigkeiten mit vielen potenziellen Einfallstoren. Das ist das, was viele noch nicht verstehen. Als eine Gesellschaft, die letzten Endes auf IT-Infrastruktur basiert, sind wir hochangreifbar und das kann dann zu riesigen Ketteneffekten führen, die unser gesellschaftliches Leben wie wir es normal kennen, massiv beeinträchtigen können.

PN: Wenn man sich das so vor Augen führt, weiß man ja gar nicht, wo man anfangen soll, nachzubessern…

HWD: An dieser Stelle führe ich nochmal das Beispiel IT-Sicherheitsgesetz aus dem Jahr 2015 an: Es ist generell keine schlechte Sache, verbindliche Standards einzuführen, damit die Systeme sicherer werden. Das Problem ist nur: Wie setzt man das dann um? Und mit welchem Personal? Es ist immer toll, einen Schwellenwert festzusetzen, aber kann dieser Schwellenwert auch überall sinnvoll sein?
Ein Krankenhaus mit 30.000 vollstationären Behandlungen pro Jahr ist per Schwellenwert-Definition eine kritische Infrastruktur. Wenn es aber in der Gegend 30 Alternativkrankenhäuser gibt, ist die Situation eine andere als beispielsweise auf dem Land. Ein Krankenhaus, das irgendwo auf dem Land steht, zählt per Definition vielleicht nicht als kritische Infrastruktur. Aber wenn es hier einen Ausfall gibt, ist die ärztliche Versorgung in der Region nicht mehr gewährleistet. Das gibt es natürlich in vielen Bereichen. Die Frage ist auch immer, wem ich diese ganzen Pflichten dann auferlege. Für die Implementierung einer ISO 27001 braucht es 16 Monate, es muss Geld bereitgestellt und entsprechende Grundvoraussetzungen geschaffen werden. Es ist die eine Sache, zu sagen, ihr müsst jetzt alles entsprechend melden. Aber dazu braucht es Verantwortliche, die sich extremst gut auskennen, hochqualifiziert sind, um dann überhaupt etwas melden zu können. Und auf der anderen Seite muss es da natürlich auch jemanden geben, der dann eine Hilfestellung gibt. Das sind Dinge, die noch in den Anfängen stehen. Es ist sicherlich richtig, dass man das alles mit einem Gesetz untermauert. Aber man muss auch hinter die Kulissen schauen, prüfen, wie das im Arbeitsalltag aussieht.

PN: Jüngst gab es den Fall, dass Hacker in das Netz des diplomatischen Dienstes der EU eingedrungen sind und dort Informationen und Dokumente runterladen konnten. In der Presse las man davon, dass möglicherweise eine Eliteeinheit des chinesischen Militärs dahinterstecken könnte. Können Sie dazu mehr sagen?

HWD: Das ist ein ganz wichtiges Thema unter der Überschrift Attribution. Ich nehme hierfür das Beispiel Einbruch. Wenn jemand in mein Haus einbricht, ruf ich die Polizei. Die Polizei nimmt Fingerabdrücke und wertet die Spuren aus. Ich hoffe dann, dass man irgendeine Spur hat, die man weiterverfolgt und im Bestfall den Täter oder die Täterin findet und hinter Schloss und Riegel bringt. Genau das ist derzeit so im Cyber-Raum nicht möglich. Wenn ausländische Staaten hochkomplexe Cyberangriffe fahren, das zu attribuieren, also herauszufinden, wer die Person, bzw. Organisation hinter dem Keyboard ist, wer das initiiert oder beauftragt hat – das ist technisch, aber auch juristisch kaum darstellbar. Unter Umständen gehen die Sicherheitsbehörden monatelang davon aus, dass ein Staat Y ein Netzwerk infiltriert hat, um dann festzustellen, dass doch der Staat X dahintersteckt. Wenn wir von staatlicher Aggression in dem Bereich reden, müssen wir von einem unheimlichen Know-how und wahnsinnigen Ressourcen ausgehen, mit denen das Ganze verschleiert wird. 

Bei Angriffen auf den deutschen Bundestag, die Europäische Kommission oder hochsensible kritische Infrastrukturen sind Top-Leute am Werk und die lassen es nicht zu, dass sie zurückverfolgt werden können. In der Presse schwelt dann immer die berühmte Frage nach dem Hack Back: Kann ich den Angreifer zerstören? Grundsätzlich gilt hier: Verteidigung ist die beste Verteidigung, eben auch weil wir im Grunde überhaupt gar nicht in der Lage zur Attribution sind. Was auf dem Thema Attribution aufbaut, ist allerdings die Frage nach einer angemessenen Reaktion auf schwerwiegende Cyberangriffe: Wenn jemand einen Dax 30-Konzern kapert, dort in die Infrastruktur eingreift, diese okkupiert und von dort einen Angriff startet: Wie reagieren wir dann? Gehen wir dann einfach in dessen Systeme rein, verstoßen gegen Datenschutz und unter Umständen: Zerstören wir dann diesen vermeintlichen Angreifer und seine Infrastruktur? Das ist als würden Sie einen Elefanten in einen Porzellanladen schicken, um hinten am anderen Ende eine teure Vase zu holen. Er soll dabei nichts kaputt machen, nichts verwischen, keine Spuren hinterlassen. Aber wenn der Elefant hinten angekommen ist, um diese Vase zu holen, liegt alles in Scherben.

 

Im Juli treffen Sie Hans-Wilhelm Dünn auf unserem Strategiegipfel IT & Information Security in Berlin: In seinem Vortrag nimmt er die „Herausforderungen (inter)nationaler Cyber-Sicherheit“ noch einmal genau unter die Lupe. Gemeinsam mit Mechthild Stöwer (Fraunhofer SIT), Andreas Walz (Talanx), Andreas Jambor (RWE) und Abdou-Naby Diaw (Lufthansa) widmet er sich in unserer Podiumsdiskussion außerdem der Frage nach dem Bedrohungspotential Künstlicher Intelligenz.

Wir freuen uns drauf!