„Die Cyber- und IT-Sicherheit ist ein Querschnittsthema in allen digitalisierten Lebensbereichen der Gesellschaft“, so Dr. Sven Herpig, seines Zeichens Leiter für Internationale Cybersicherheitspolitik an der Stiftung Neue Verantwortung. Damit Cyber Security in Zukunft wirklich vorhanden ist, muss sich allerdings noch einiges ändern.
Komplexität deutscher Sicherheitsbehörden
Dr. Herpig, Sie haben eine mittlerweile sehr bekannte Grafik erstellt, die sehr komplex ist. Sie soll die unterschiedlichen Verantwortlichkeiten in Sachen Cyber Security/Crime und IT-Sicherheit aufzeigen. Behindert eine derartige Komplexität nicht die Möglichkeit des schnellen Eingreifens bei akuten Vorfällen?
Tatsächlich wird die Grafik relativ eindeutig, wenn es um konkrete Ereignisse geht. Die Übersicht beinhaltet ja nicht nur diejenigen, die operativ tätig sind, sondern auch Policy-Akteure oder forschende Institutionen. Soll heißen: Wenn es um konkrete Vorfälle geht, sind es gar nicht so viele verantwortliche Stellen, die sich gegenseitig behindern könnten. Natürlich gibt es da die Polizei mit den Zentralen Anlaufstellen Cybercrime (ZAC), die man immer einschalten sollte, wenn man den Verdacht hat, dass Kriminelle hinter bestimmten Aktivitäten stecken. Oder bei einem nachrichtendienstlichen Hintergrund die Landesbehörden für Verfassungsschutz (LfV). Je nach Bundesland gibt es weitere Behörden, die operative Befugnisse haben, beispielsweise das Landesamt für Sicherheit in der Informationstechnik (LSI) in Bayern. Die Zuständigkeit ist meist fest vorgeschrieben, gerade für die oft genannten Kritischen Infrastrukturen, KRITIS, die bestimmten Meldepflichten unterliegen – etwa beim Bundesamt für Sicherheit (BSI) in der Informationstechnik. Als Telekommunikationsnetzbetreiber ist man zusätzlich zu einer Meldung an die Bundesnetzagentur (BNetzA) verpflichtet und als Finanzinstitution wird eine Meldung an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erwartet. Hinzu kommen noch mögliche Meldeverpflichtungen und -erwartungen auf europäischer Ebene.
Was macht die Grafik dann so gewichtig?
Schlicht, dass Cyber- und IT-Sicherheit ein Querschnittsthema in allen digitalisierten Lebensbereichen der Gesellschaft ist. Im Bundesministerium für Gesundheit benötigt man beispielsweise entsprechendes Know-how und damit offizielle Stellen, weil dort unter anderem das Projekt „elektronische Gesundheitskarte“ verankert ist. Das ist nur eines von vielen Beispielen. Dazu kommt die hohe politische Relevanz des Themas und der Umstand, dass wir in einem föderalen System leben. Ziel dieses Systems ist es, die Dinge auf der möglichst niedrigsten Ebene zu regeln und da die Cyber Sicherheit ein nationales Thema ist, greift auch hier das Subsidiaritätsprinzip. Auf allen Ebenen werden entsprechende Institutionen gebraucht. Das summiert sich und es wird vermutlich nicht weniger.
IT-Sicherheitsbehörden konsolidieren? Auf keinen Fall.
Könnte eine Konsolidierung interessant sein?
Auf Länderebene auf keinen Fall. Außerdem gibt es beispielsweise polizeiliche Aufgaben, die auch nur diese übernehmen darf – einfach alles zu bündeln wäre also weder möglich noch sinnvoll. Spannender wird’s im Forschungsbereich. Brauchen wir wirklich eine Cyberagentur zusammen mit einer Bundesagentur für Sprunginnovationen (SprinD), einem Forschungsinstitut Cyber Defense (CODE), einem Cyber Innovation Hub (CIHBw), einer Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), einem Zentrum für digitale Souveränität (ZenDIS) und so weiter? Da kann man durchaus überlegen, ob man diese wichtigen Funktionen nicht konsolidieren kann. Das in den letzten 20 Jahren gewachsene System kann aus meiner Sicht durchaus etwas optimiert werden.
Angriffe auf KRITIS werden besonders argwöhnisch betrachtet. Ein einzelner Angriff kann etwa Teil eines Musters sein – könnte man das derzeit erkennen?
Leider haben wir für derartige Untersuchungen keine vernünftige Datengrundlage. Zwar müssen derzeitige KRITIS ihre Vorfälle melden, aber zum einen hört es damit schon auf. Zum anderen ist die Definition von KRITIS so eng gefasst, dass beispielsweise kleinere Wasser- oder Energieversorger gar nicht darunterfallen. Entsprechend gibt es schlichtweg kein verlässliches, übergreifendes Datenbild, was Vorfälle von Kommunal- bis Bundesebene konsolidiert und auswertet. Hier wäre es wichtig, die Meldepflicht auszuweiten. So bekommen wir ein viel besseres Bild davon, welche Cyberkriminalität und nachrichtendienstliche Aktivitäten wo stattfinden. Das könnte sogar soweit führen, dass proaktiv gewarnt werden könnte. Auch freiwillige Meldungen müssen berücksichtigt werden können.
Du willst mehr lesen? Hier geht’s ins Karrierenetzwerk Cyber Security!
Akteure: Nachrichtendienste oder doch gewinnorientierte Hacker?
Die letzten Angriffe, von denen man gehört hat, fanden im Rahmen des Angriffskriegs Russlands auf die Ukraine statt.
Im Rahmen eines Krieges sind Cybervorfälle etwas anderes als das allseits bekannte Verschlüsseln der Daten durch Ransomware – hier spricht man von Cyber-Operationen. Das generelle Muster ist ähnlich, aber die Mittel sind andere, genauso wie die Ziele – und dass es insgesamt eher militärisch-nachrichtendienstliche Aktivitäten sind.
Die Akteure lassen sich aber außerhalb eines Krieges auch im nachrichtendienstlichen Umfeld nicht immer schwarz und weiß voneinander unterscheiden. So manche:r chinesische:r Nachrichtendienstmitarbeiter:in arbeitet tagsüber für den Staat und nachts schwarz als Kriminelle:r, um sich das Gehalt aufzubessern. Im Umfeld Russlands gibt es Akteure, die eigentlich unter die organisierte Kriminalität fallen – sie sind mit Ramsomware aktiv. Vor der Verschlüsselung suchen sie allerdings gezielt nach eindeutig politischen Begriffen, sodass möglicherweise ein Austausch mit Nachrichtendiensten besteht. Die ukrainische Regierung hat ihrerseits weltweit Aktivist:innen und IT-Sicherheitsforschende aufgefordert, im geopolitischen Interesse der Ukraine tätig zu werden. Die Grenzen sind hier oft durchlässig. Dazu kommt nämlich auch noch die entsprechende Industrie, die Schwachstellen und Überwachungswerkzeuge an die unterschiedlichen Akteure liefert.
Beeinflussen derartige Vorgänge nationale Cybersicherheitsstrategien?
Mit Sicherheit. Die erste deutsche Cybersicherheitsstrategie wurde beispielsweise nach der Stuxnet-Operation, auch genannt Olympic Games, gegen die Atomanlage Natan aufgesetzt. Im Wesentlichen könnte der russische Invasionskrieg dafür sorgen, dass weniger über Abrüstung im Cyberraum gesprochen wird, sondern mehr über Resilienz. Aber leider auch über offensive militärische Cyberoperationen, die nicht zu mehr IT-Sicherheit beitragen.
Derartige Strategien werden von Politiker:innen verabschiedet, die selbst keine IT-Fachkräfte sind. Wie leicht oder schwer ist es, Politiker:innen zu beraten?
Die Herausforderung ist eher, dass Politiker:innen in festen Mustern denken. Sie sehen bei nationaler Sicherheit vor allem die öffentliche Sicherheit und leider weniger die IT-Sicherheit, die für die nationale Sicherheit elementar ist. Was für das eine, die öffentliche Sicherheit, aber möglicherweise gut ist, wie das Ausnutzen von Schwachstellen durch den BND oder der Einsatz von Überwachungssoftware durch das BKA, läuft dem anderen – der IT-Sicherheit – zuwider. Ein Beispiel lässt sich in der aktuellen Cybersicherheitsagenda finden: Unter dem Punkt Automotive-IT geht es um polizeiliche Fähigkeiten wie Innenraumüberwachung und das Tracking von digitalisierten Autos. In Sachen Strafermittlung ist das sinnvoll. Es hat aber nichts mit IT- oder Cybersicherheit zu tun. Und sobald dafür Schwachstellen zurückgehalten werden, gefährdet das sogar die IT- und Cybersicherheit.
Mit Automatisierung kein Fachkräftemangel?
Der Fachkräftemangel bedingt sicherlich auch die fehlende Umsetzung. Ließe sich dem durch Automatisierung begegnen?
Nur in kleineren Teilen, fürchte ich. Das Maschinelle Lernen zum Beispiel kann nur gewisse Teile automatisieren, insgesamt bleibt man auf Fachkräfte angewiesen. Die müssen wiederum nicht studiert haben, denn je nach Studium gibt es nicht einmal einen Schwerpunkt „IT-Sicherheit“. Aus- und weitergebildete Fachkräfte wären daher mindestens ebenso wichtig. Leider bewegt man sich in einem insgesamt angespannten Markt, dazu kommen weitere Herausforderungen: Auf Bundesebene wird noch relativ gut bezahlt, wenn man einen Master-Abschluss hat, hier haben Absolvent:innen die besten Aussichten – auf kommunaler Ebene eher selten. Ein IT-Sicherheitschef ohne eigene Mitarbeitende? Wer will das machen, muss man sich fragen. Insofern gibt es noch einige strukturelle Probleme, die zunächst gelöst werden müssen, daran führt kein Weg vorbei.
Du willst mehr lesen? Hier geht’s ins Karrierenetzwerk Cyber Security!