DLD18: Cybersecurity als Aufgabe für Staat, Unternehmen und die Bürger
Cybersecurity war ein Topthema der DLD 18, auf der zu hören war, es sei heute kein Problem mehr, die Schuldigen von Cyberattacken zu finden. Was es jetzt brauche, seien klare Regeln für effektive Gegenschläge.
Cybersecurity hat für die Europäische Kommission oberste Priorität, versicherte EU-Digitalkommissarin Mariya Gabriel in ihrer Keynote auf der Konferenz DLD18 in München. Ein Signal dafür sei die Umwandlung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) von einer temporären in eine dauerhafte Behörde. Allerdings forderte Gabriel die Unternehmen auf, deutlich mehr in die Waagschale zu werfen, denn die EU-Ausgaben von 1,8 Milliarden Euro nähmen sich immer noch sehr bescheiden aus im Vergleich zu den von den USA 2017 investierten 19 Milliarden US-Dollar.
Zum diesjährigen Safer Internet Day am 6. Februar will die Kommission eine Kampagne starten, mit der Jugendliche, Schüler und Eltern aufgeklärt werden sollen, wie sie sich mit "wenigen, einfachen Schritten sicherer" im Netz bewegen können, sagte Gabriel. Mehr Information und Bildung im diesem Bereich seien dringend notwendig, um die "alarmierenden Zahlen" zu senken, nach denen 90 Prozent der Cyberattacken von einfachen Nutzer-Fehlern begünstigt würden. Unterstützen will Gabriel auch grenzüberschreitende Praktika für 5000 bis 6000 Studierende im Bereich Cybersecurity.
Weiter geplant sind ein Verordnungsvorschlag zur konzertierten EU-Antwort auf Cyberattacken sowie ein EU-Rahmen für die freiwillige Zertifizierung von Geräten und Software. Der deutsche Bundesrat hatte im Dezember die Freiwilligkeit der Zertifizierung und auch den Verzicht auf Gewährleistungsregeln für Software im EU-Verordnungsentwurf angekreidet.
Qualitätsproblem im Software- und Hardwaremarkt
Der Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, forderte in einer Diskussionsrunde mit Gabriel, bestehende Zertifizierungssysteme wie das in die Jahre gekommende Sog-IS MRA und nationale Initiativen wie den deutsch-französischen Cloud-Standard C5 nicht zu vergessen. Die gerade mal 85 Arbeitsplätze in der ENISA – das BSI hat rund zehnmal so viele – reichten bei weitem nicht aus, meinte Schönbohm.
Gleichzeitig wies er die Idee eines staatlichen "Wetterdienstes" für Angriffe zurück. "Die Warnung vor Spectre gab es schon vor zwei Jahren auf einer Konferenz", sagte Schönbohm. Für ihn gibt es ein "riesiges Qualitätsproblem". Das BSI geht von insgesamt 600 Millionen für Malware anfällige Programmen aus, jeden Tag registriere die Behörde 280.000 neue Softwareprodukte. Es gelte, die Nachlässigkeit beim Verkauf sowie beim Kauf von Software und Hardware abzustellen: "Kaufen Sie ihr Smartphone nach Security-Gesichtspunkten?", fragte er.
Den Endkunden dürfe es aber nicht aufgebürdet werden, selbst Sicherheitsexperte im eigenen Netz zu werden – oder einzustellen, sagte Infineon-Chef Reinhard Ploss. Er legte dem Regulierer nahe, einen besseren Netzwetterbericht zu erstellen und riet dazu, Sicherheit zum Standardfeature zu machen. Einen viel besseren Transfer der wissenschaftlichen Ansätze im Cybersecurity-Bereich empfahl Gabi Dreo Rodosek, Chefin des Forschungsinstituts CODE an der Hochschule der Bundeswehr, die gerade elf neue Professuren beruft.
Regeln für den Gegenschlag im Cyberspace
Völkerrechtliche Vereinbarungen, wie sich Opfer von groß angelegten digitalen Attacken zur Wehr setzen können, forderte Dmitri Alperovitch, Gründer des Sicherheitsunternehmens CrowdStrike, in einer von DLD und Münchner Sicherheitkonferenz gemeinsam veranstalteten Runde zur "Wehrhaftigkeit der Demokratie im digitalen Zeitalter". Alperovitch erklärte das Problem "Attribution" für gelöst – also die eindeutige Identifikation des hinter einer Attacke stehenden Angreifers. Beispiele dafür seien die Beschuldigung der USA, Nordkorea sei für WannaCry verantwortlich oder Russland und Israel für Stuxnet.
"Attribution ist leicht", meint Aperovitch, "jetzt brauchen wir Abschreckung." Schützenhilfe bekam er von der ukrainischen Parlamentsabgeordneten Svitlana Zalishchuk. "Putin hat sich in die ukrainischen Wahlen eingemischt, in die US-amerikanischen und die französische – und hatte er dafür irgendwelche Konsequenzen zu tragen?"
Merle Maigre vom NATO Cooperative Cyber Defence Centre of Excellence in Tallin warnte allerdings vor der möglichen Eskalation, die Cybergegenschläge mit sich bringen könnten. Statt nach neuen völkerrechtlichen Vereinbarungen über den Cyberkrieg zu reden, solle bestehendes internationales Recht auch im Cyberspace angewendet werden. Daher habe die Nato die Entwicklung des Tallinn-Manual mit unterstützt.
(anw)