Cybersicherheit: Mehr politisches Engagement des Staates notwendig

Politische Fragen standen im Zentrum des Fachforums "Cybersicherheit: Prävention – Repression" auf dem Europäischen Polizeikongress. Die Bedrohungslage verschlechtert sich weiter rasant. So habe sich in Deutschland die Schadensumme durch Cyberangriffe seit 2017 verdoppelt und betrage nun 100 Milliarden Euro. Weltweit werde mit Schäden in Höhe von 6 Billionen Euro bis zum Jahr 2021 gerechnet. Diese Zahlen nannte Clemens Schulz, Direktor für Desktop Security bei Rohde & Schwarz.

"Jede Entscheidung in der Cybersicherheit hat Vor- und Nachteile für die sicherheitspolitischen Ziele eines Staates. So schwächen Hintertüren, die staatliche Organisationen in Software einbauen, die allgemeine IT-Sicherheit und staatliche Hackbacks können zu noch mehr Cyberangriffen führen", sagte Julia Schuetze, Projektmanagerin für Internationale Cyber-Sicherheitspolitik bei der Stiftung Neue Verantwortung. Sie forderte, der Staat müsse auf Grundlage eines gesamtpolitischen Konzepts Prioritäten setzen und klären, welche Maßnahmen welchen Zielen dienen und wie Interessenkonflikte in der Cybersicherheit gelöst werden können. Außerdem sprach sie sich für eine Evaluation des IT-Sicherheitsgesetzes 2.0 aus.

Als Kooperationspartner in der Cybersicherheit biete sich neben den USA zusätzlich Japan an, meinte Schuetze, um zum Beispiel die Forensik zu verbessern. Das Land befinde sich in der IT-Sicherheit in einer ähnlichen Situation wie Deutschland und verfüge mit dem Japan Cybercrime Control Center über eine geeignete Institution. Europol hat kürzlich eine Zusammenarbeit mit Japan beschlossen.

Außerdem ähnele das föderale politische System dem der Bundesrepublik, was die Kooperation erleichtere. Auch "in Japan werden offensive Fähigkeiten in der Cybersicherheit diskutiert, obwohl sie von der Verfassung verboten sind", sagte sie.

Eine Frage der "digitalen Souveränität"

"Wollen wir Hackbacks? Und wenn ja, unter welchen Voraussetzungen?", schloss sich Michael Barth, Direktor für Corporate Affairs bei Genua, seiner Vorrednerin an. Der Staat müsse in vielfacher Hinsicht seine Rolle definieren. Wichtig sei dabei die "digitale Souveränität", das heißt, wo wolle man unabhängig oder abhängig sein. "Strategisch sollte der Staat über eine geeignete Industriepolitik als Teil der Sicherheitspolitik nachdenken", sagte Barth, der auch Vorsitzender des Arbeitskreises Sicherheitspolitik der Bitkom ist. Als Beispiel nannte er die Kosten von 3 Milliarden Euro für einen Backbone der Telekom. Wenn man das den Marktkräften überlasse, erscheine die Summe sehr hoch. Werde diese Infrastruktur aber sicherheitspolitisch begriffen, relativiere sich das. Der Staat müsse auch entscheiden, ob er in Schlüsseltechnologien investieren wolle oder sie den USA und China überlasse.

Auch Barths eigenes Unternehmen Genua ist gewissermaßen ein Fall von Industriepolitik geworden. Schrittweise wurde der Sicherheitsspezialist und Kryptoanbieter vom Bund übernommen, denn als Tochter der Bundesdruckerei gehört er nun zum Bundesfinanzministerium. "Wir sind daher jetzt das Sicherheitshaus des Bundes. Unsere Kunden sehen den Backbone des Bundes. Das ist ein Mehrwert für uns", freute sich Barth.

Auf die Frage eines Zuhörers, ob die staatliche Exportkontrolle eher helfe oder schade, antwortete Barth, dass die Größe des Marktes die digitale Souveränität beeinflusse. "Genua hat gute Erfahrungen mit dem Bundesamt für Ausfuhrkontrolle gemacht." Auch in der EU sei das klar geregelt. Christoph Erdmann, Gründer und CEO von Secusmart, widersprach: "Die nicht vorhandene digitale Souveränität Deutschlands hängt nicht mit der Exportkontrolle zusammen. Das Pentagon sponsert US-Unternehmen. Wir tun uns da schwerer. Die deutschen Behörden sollten zum Beispiel mit deutschen Kryptoanbietern zusammenarbeiten."

Nutzer müssen mitziehen

Erdmann stellte die Nutzerperspektive in den Mittelpunkt. Es helfe nicht, die Verfahren "total sicher" zu machen, wenn die Anwender sie dann nicht benutzten, weil sie wegen der Sicherheitsfeatures bedienungsunfreundlich seien. "Da der Cyberraum nicht national reguliert werden kann, muss man Anreize für die Nutzer schaffen. Zum Beispiel sollten Behördenmitarbeiter ihre Diensthandys auch privat nutzen dürfen. Es gibt aber ein breites Spektrum an Meinungen in den Behörden, wie viel private Nutzung sie zulassen sollten."

Man müsse sich technologisch auf die Zukunft vorbereiten: "Die E-Mail ist das Fax von morgen. Die Zukunft sieht nach Kollaborations- und Chat-Tools wie Slack und Mattermost aus." Die Kollaboration müsse auf VS-Geräten funktionieren. "Der Nutzer muss den Mehrwert für sich erkennen, sonst akzeptiert er die Cybersicherheit nicht", so sein Credo. (olb)