Sicherheitskonferenz: "Wer im Glashaus sitzt, sollte nicht mit Exploits werfen"

Inhaltsverzeichnis

Ein gemischtes Fazit der derzeitigen Lage der IT-Sicherheit zog der Bonner Cyber Security Summit 2020. Während einige Experten Deutschland auf einem guten Weg sehen und graduelle Verbesserungen auf den Weg bringen wollen, zeigen sich andere desillusioniert von Bürokratie und faulen Kompromissen.

Vorbild oder Schlusslicht?

BSI-Präsident Arne Schönbohm zeichnete auf der Online-Konferenz ein positives Bild der Lage und der Aktivitäten der eigenen Behörde. Die Digitalisierung sei erst am Anfang, also müssen man jetzt Vorsorge treffen, um eine Immunisierung der Gesellschaft gegen Cyberattacken zu erreichen. Deutschland müsse sich dabei auch nicht hinter anderen Nationen verstecken. "Denke ich an autonomes Fahren, denke ich an die großen Automobilkonzerne, wo wir doch weltweit führend sind", sagte Schönbohm. Das BSI arbeite daran, die notwendigen Verknüpfungen zwischen Industrie, Wissenschaft und Gesellschaft herzustellen.

Linus Neumann vom Chaos Computer Club zeichnete ein deutlich anderes Bild. "Trotz aller Widerstände haben wir ein Fortschreiten der Digitalisierung zu verzeichnen", spöttelte der Hacker. In Deutschland würden Innovationen durch Bürokratie und Verwaltung stark verlangsamt. Das Ergebnis seien dann aber keine gründlich durchdachten Systeme, sondern es müssten durch immer neue Kompromisse viele Abstriche bei der IT-Sicherheit gemacht werden. Ziel sei es oft nicht, Angriffe zu verhindern, sondern die Verantwortung dafür abzuschieben.

Bei der Technischen Richtlinie für Breitband-Router sei es nicht nur um Sicherheit gegangen. Stattdessen hätten Router-Hersteller einen Weg gesucht, sich von der Konkurrenz aus Asien abzusetzen, ohne tatsächlich viel an ihren eigenen Routern ändern zu müssen. Dass bei der Entwicklung der Corona-Warn-App die Bedenken des Chaos Computer Clubs gehört und kompromisslos umgesetzt wurden, sei für den Verein nach 30 Jahren eine völlig neue Erfahrung gewesen.

"Falsche Prioritäten"

Angreifer könnten seit über 20 Jahren die gleichen Attacken nutzen, um Firmen anzugreifen – etwa über Mail-Anhänge mit Makroviren. Bei den Bemühungen für Abwehrmaßnahmen würden die IT-Systeme nur unnötig komplex gemacht, sodass sie niemand mehr verstehe. Neumann warnte auch davor, dass Deutschland staatliche Hacking-Attacken einführt: "Wer im Glashaus sitzt, sollte nicht mit Exploits werfen". Stattdessen müsse der Staat tätig werden, um eine kompromisslos auf Sicherheit optimierte IT-Infrastruktur im Zuge der Daseinsvorsorge zu schaffen.

Dass dies in den bestehenden Strukturen nicht einfach ist, zeigte der Bundesdatenschutzbeauftragte Ulrich Kelber in seinem Vortrag. Statt von Anfang an Datenschutz mitzudenken, würde dieser erst ganz zum Schluss ins Spiel gebracht, wenn es eigentlich zu spät ist. Es fehle an Zusammanarbeit. "Man hat das Gefühl, jede Kommune erfindet den Prozess neu." Kelber kritisierte in diesem Zusammenhang auch die elektronische Patientenakte. So sei es nicht nachvollziehbar, dass diese die Anforderungen nicht erfülle, die schon seit über zehn Jahren feststünden. "Hier sind ganz einfach falsche Prioritäten gesetzt worden", sagte Kelber.

"Scheintote" Vorratsdatenspeicherung

Dennoch sei nicht alles schlecht in Deutschland, meint Kelber. So hätten es die Behörden etwa in beeindruckender Geschwindigkeit geschafft, sichere Zugänge zu den Behördennetzen nachzurüsten, um die Heimarbeit in den Krisenzeiten zu ermöglichen. Seine Behörde selbst sei wegen der frühzeitigen Einführung der elektronischen Akte voll einsatzfähig gewesen. Die Praktikabilität stößt aber an Grenzen. So könne er viele verbreitete Videokonferenz-Lösungen nicht in dem sicheren Netz seines Hauses verwenden, weil diese mitunter Ports öffneten und nicht zu kontrollieren seien. Seine pragmatische Lösung: Der Behördenchef richtete sich ein separates Laptop für Videokonferenzen ein, das nicht ins offizielle Netz des Bundes darf.

Kelber warb für bessere Lösungen und Interoperabilität. So könnten Behörden ähnlich wie in Frankreich einen sicheren Instant-Messenger fördern, indem sie ihre Kommunikation darauf abwickelten. Mit der Corona-Warnapp habe Deutschland eine Art Goldstandard geschaffen, der dafür gesorgt habe, dass die App häufiger installiert worden sei als alle anderen europäischen Warn-Apps zusammengenommen. Das Gegenteil sei bei den Listen zur Erfassung von Restaurantbesuchern der Fall. "Hier würde ich mir wünschen, dass die Sicherheitsbehörden über die gesetzlichen Regelungen hinaus eine besondere Zurückhaltung an den Tag legen", sagte Kelber. Vorratsdatenspeicherung und Verschlüsselungsverbote bezeichnete der Behördenchef als "Scheintote".

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden Umfrage jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Passwörter vorgeben

Wo die Reise hingehen sollte, hat der Weisenrat für Cyber-Sicherheit in einem ersten Jahresbericht festgehalten. In Bonn appellierten die Mitglieder des Gremiums etwa bei der Implementierung von Künstlicher Intelligenz sorgsam vorzugehen. Man dürfe nicht einfach Systeme implementieren, die im Normalfall gut funktionieren, aber im Krisenfall unvorhersehbare Ergebnisse produzierten. Deshalb müssten die entsprechenden Systeme überprüfbar sein und zertifiziert werden, bevor sie etwa im Rahmen einer SmartCity eingerichtet werden können.

Im Kleinen appelliert der Weisenrat dafür bestehende Passwortregeln zu überdenken. So habe etwa der verbreitete Zwang zum ständigen Wechsel der Passwörter nicht etwa die Sicherheit erhöht, sondern vermindert, warnen die Experten. Die viel größere Gefahr bestehe darin, dass Mitarbeiter die gleichen Passwörter an unterschiedlichen Stellen verwenden und somit Firmensysteme leicht angreifbar machten. Linus Neumann plädierte an dieser Stelle gar für eine radikale Lösung: "Warum sollte man heute überhaupt noch den Nutzer:innen die freie Wahl ihres Passworts erlauben?"

(vbr)