Cybersicherheit in Deutschland: Stein ins Rollen bringen, aber nicht werfen
Digitales Kompetenzniveau der Entscheider ist auf dem Niveau eines Faxgeräts, sagt ein Experte. Wozu in der Anhörung zur Cybersicherheit in Berlin geraten wurde
Auch wenn die Angriffe zunehmen: Deutschland will in der Cybersicherheit in der Defensive bleiben. Diese müsse allerdings besser aufgestellt werden. Der Ausschuss für Digitales beschäftigte sich dazu mit den Zuständigkeiten und Möglichkeiten in der Bundesrepublik Deutschland. Im Vorfeld hatte der Digitalausschuss Experten wie den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber und Manuel Atug von der AG Kritis eingeladen und um die Beantwortung von 18 Fragen rund um die Cybersicherheit gebeten. Einig waren sich alle geladenen Experten darin, dass es keine offensive, sondern eine defensive Cyberabwehr geben sollte. Außerdem sprachen sich die Beteiligten für eine Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus.
Atug betonte jedoch, dass dies allein nicht reichen würde. Damit wird der im Koalitionsvertrag der Ampelkoalition vereinbarte "strukturelle Umbau der IT-Sicherheitsarchitektur" – um das BSI unabhängiger auf- und als "zentrale Stelle im Bereich IT-Sicherheit" auszubauen – konkreter. "Zu viele Akteure und zu viele ineffektive Gesetze machen die Cybersecurity komplex und Komplexität ist der Feind von Sicherheit". Oftmals fehle zudem eine Überprüfung der Gesetze – eine echte Cybersecurity durch Etablieren von Wissen und einer guten Digitalisierung durch Security-by-Design oder Privacy-by-Design "als wissenschaftlich evaluierte Design-Prinzipien, die funktionieren", gebe es Atug zufolge auch nicht. Das Problem der derzeit hohen Bedrohungslage liegte auch darin, dass Menschen, die Sicherheitslücken melden, rechtliche Konsequenzen fürchten.
Meldestelle fĂĽr SicherheitslĂĽcken
Laut Atug sollten auch Nachrichtendienste und andere staatliche Akteure zur Meldung von Schwachstellen verpflichtet werden. Es könne nicht sein, dass der Staat jahrelang Schwachstellen zur Überwachung ausnutze. Ebenfalls einig waren sich die Befragten über eine Meldestelle für Sicherheitslücken. Möglicherweise könnte sie beim BSI angesiedelt werden. Auf Nachfrage von Ausschussmitglied Maximilian Funke-Kaiser von der FDP sprach sich Atug vehement gegen ein Schwachstellenmanagement aus. Sicherheitslücken sollten unter keinen Umständen aus taktischen Gründen offen gehalten werden.
Mit EnternalBlue hatte der US-Geheimdienst NSA lange Sicherheitslücken von Windows-Computern zurückgehalten, um diese auszuspähen. In der Folge waren diese Rechner empfänglich für Ransomware-Attacken, die bei Tätern aufgrund der hohen möglichen Lösegeldsummen hoch im Kurs stehen. Der Einsatz von Pegasus durch das israelische Unternehmen NSO-Group ist bis heute noch nicht abschließend geklärt. Erst kürzlich hat das oberste Gericht in den USA eine Klage von Meta aufgrund des unberechtigten Zugriffs auf dessen WhatsApp-Server zugelassen.
Dr. Sven Herpig, Leiter für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung, ging auch auf das im Koalitionsvertrag verankerte "Recht auf Verschlüsselung" ein. Seit Gründung des BSI sei die Diskussion um die Verschlüsselung einer der ältesten Aspekte rund um die Cybersicherheitspolitik. Immer wieder werde in diesem Zusammenhang der Einsatz von Überwachungssoftware durch Polizeien und Nachrichtendienste bei Online-Durchsuchung und Telefonüberwachung und Standardisierungsbemühungen für Abhörschnittstellen diskutiert.
Uralte Schwachstellen vs. krasse Angreifer
Die Cybersicherheitsagentur in Deutschland müsse zudem entschlackt werden, und zwar "nicht nur von den vielen Akteuren, im Wimmelbild der Verantwortungsdiffusion", sagte Atug. Mangelnde Transparenz aufgrund nicht öffentlicher Dokumente bemängelte auch Herpig. Zwar möchten alle mitspielen. Sobald etwas passiere, zeigt sich laut Atug allerdings niemand verantwortlich. Überall seien "viele krasse Angreifer". Allerdings stelle sich keiner die Frage, ob Systeme grob fahrlässig betrieben werden, "wenn archäologisch wertvolle Fernwartung, Betriebssysteme oder Netzwerkkomponenten mit uralten Schwachstellen betrieben werden", ohne Sicherheitspatches. Teilweise würden Hersteller – sofern ihre Firmen noch existieren – die Patches aufgrund des Alters der Software nicht mehr anbieten.
Defensive Cyberabwehr
Einigkeit herrschte ebenfalls bei der Frage nach der Art der Cyberabwehr – eine offensive Cyberabwehr, beispielsweise in der Form von Hackbacks, kam dabei nicht infrage. Eine DDoS-Attacke als Gegenmaßnahme sei laut Stefanie Frey von der Cybersecurity-Firma Deutor oft schon nicht möglich, da man die Täter nicht lokalisieren könnte. Außerdem könne die Attacke auch andere Systeme beeinträchtigen. Sie forderte ebenso eine Stärkung der Polizei, durch finanzielle Anreize für Bewerber. Zudem fehle oft die Befugnis, zu ermitteln. Ebenso würde Opfer Fälle in den meisten Fällen nicht melden, da es nahezu keine Erfolgschancen gebe.
Von den 300.000 Polizisten könne Atug zufolge "jeder ein Knöllchen ausstellen, aber nur ein minimaler Bruchteil sei in der Lage, eine Strafanzeige für Online-Vorfälle entgegennehmen". Professor Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen, sieht den Fachkräftemangel ebenfalls und fordert sogar eine Reformierung der juristischen Ausbildung, um sie "weitaus interdisziplinärer als bislang zu gestalten". IT-Juristen sollen in der Lage sein, sowohl über rechtliches als auch technisches Wissen zu verfügen. Er schlägt daher vor, dass Juristen ihr Studium um einen Cybersecurity-Master ergänzen können.
Auch der Sprecher der AG Kritis kritisiert, dass in Deutschland nicht genug Experten in den Bereichen Programmierung, Algorithmen und Datenstrukturen ausgebildet werden. Das Wissen müsse für die digitale Souveränität vorhanden sein. Doch die Realität sieht anders aus. Die Sicherheitsforscher-Community müsse mit Entscheidern auf dem digitalen Kompetenzniveau eines Faxgeräts diskutieren, "wieso gewisse Vorgehensweisen und offensive Wunschträume schlicht Gegenteiliges erzeugen" und digital nicht nachhaltig sind. Daher seien Technologieschulden für folgende Generationen vorprogrammiert – die AG Kritis müsse dauernd Brandherde löschen. Mit Rechtsdurchsetzung würde vieles gehen, wenn der Staat das wollen würde und könnte.
Internet kennt keine Ländergrenzen
Die IT-Sicherheit müsse nach Ansicht von Atug bundesweit "harmonisiert und koordiniert" werden, da das Internet keine Landesgrenzen kenne. Dabei kritisierte die AG Kritis auch, dass für IT-Sicherheit zuständige Behörden in den Ländern dem Stand der Technik zum Teil Jahre hinterherhinken und nach veralteten wissenschaftlichen Kenntnissen handelten. Als Beispiel führt die AG Kritis bayerische Behörden an, die auf Anweisung des bayerischen Landesamts regelmäßig ihre Passwörter wechseln. Für eine Umsetzung der NIS2-Richtlinie – die EU-weite Gesetzgebung zur Cybersicherheit – sei es wichtig, auch auf Länderebene zuständige Behörden zu benennen. Zusätzlich landeseigene Verwaltungsbehörden aufzubauen, scheine nicht zielführend.
Falsch zugeordnetes Zitat geändert
(mack)