18 Februar, 2019
Im Interview diskutieren Ex-BND-Chef Gerhard Schindler und PwC-Experte Jörg Asma über die aktuelle Cyber-Gefährdungslage in Deutschland und erklären, wie leicht es heutzutage Angreifern gemacht wird an relevante Daten für Angriffe auf Unternehmen zu gelangen.
Herr Schindler, wie schätzen Sie die aktuelle Gefährdungslage für den Standort Deutschland ein?
Gerhard Schindler: Ich schätze die Gefährdungslage als hoch ein. Wenn das Netz der Bundesregierung pro Monat rund 50.000 mal angegriffen wird, dann verdeutlicht allein diese Zahl, wie hoch die Gefährdung durch Cyberangriffe im Bereich Kriminalität, Spionage und Sabotage ist.
Wird denn in Ihren Augen genug auf politischer Ebene getan?
Schindler: Bei den geschätzten 1.500 mittelständischen Weltmarktführern in Deutschland kann man davon ausgehen, dass etliche bereits erfolgreich kompromittiert wurden und dort besonders sensible Daten, deren "Kronjuwelen", virtuell entwendet worden sind. Viele wissen bis heute nicht, dass sie betroffen sind. Insgesamt hinken wir in Deutschland der Entwicklung hinterher. Darum appelliere ich an Wirtschaft und Politik, mehr zu tun.
Wie schätzen Sie das ein, Herr Asma?
Jörg Asma: Ich kann das nur unterstreichen. In vielen Unternehmen ist das Thema, trotz der offiziell bekannten Fälle, noch immer nicht in ausreichender Wahrnehmung bei Geschäftsführung und Management angekommen.
Zu guter Unternehmensführung gehört aus meiner Sicht, eine gute Risikostrategie für das Thema Cybersicherheit zu entwickeln und mit Leben zu füllen.
Wenn wir mal auf den deutschen Mittelstand schauen: Wer greift da an über Cyberattacken?
Asma: Da sind wir vor allem im Bereich der internationalen Wettbewerbsspionage unterwegs. So ‚hidden‘ sind vielen Champions nämlich gar nicht in punkto Produktionsverfahren oder in punkto Produktdesign. Diese Kronjuwelen werden gern genommen, um sie zu kopieren. Ein großes Problem in diesem Kontext ist für viele Mittelständler ihr Standort abseits von Ballungszentren. Überall fehlen in Deutschland Experten für Cybersicherheit, auch in den Großstädten.
Ausreichend qualifizierte Spezialisten in der Provinz zu gewinnen, ist darum fast ein Ding der Unmöglichkeit.
Wenn wir unser der staatlichen Ebene zuwenden, Herr Schindler: Wer greift unsere deutschen Institutionen und Behörden an?
Schindler: Wir haben einerseits die nicht-staatlichen Akteure wie zum Beispiel die von Herrn Asma erwähnten – ausländischen – Unternehmen, die Spionage betreiben, genauso wie klassische Kriminelle oder auch Hacker, die einfach nur beweisen wollen, wozu sie in der Lage sind. Bei den staatlichen Akteuren insbesondere im Bereich der Spionage haben wir eine Reihe an Staaten, die offensiv tätig ist. An der Spitze der Gefährdung stehen für uns China, Russland und der Iran.
Wie schwierig ist es heute, eine Cyberattacke auszuführen? Was brauche ich dazu, wie gehe ich vor?
Asma: Die genauen Verfahren möchte ich hier nicht öffentlich erläutern. Alarmierend ist, dass viele dieser Verfahren und Methoden – Tools – heute auch für technisch wenig versierte Akteure relativ einfach einkaufbar sind. Herr Schindler hatte eben das Darknet erwähnt: Wir haben dort einen freien Markt an Angriffswerkzeugen. Man könnte fast sagen, ein Angriff ist heute auf Basis zwar illegaler, aber vergleichsweise unkomplexer Geschäftsmodelle möglich, die sehr zuverlässig funktionieren.
Das Darknet ist heute der große Waffenlieferant für Cyber-Angreifer.
Und darum kann man entscheiden: Kaufe ich dort etwas, um Spionage zu betreiben? Kaufe ich etwas, um ein Individuum zu kompromittieren? Alle diese Methoden sind heute relativ frei verfügbar. Man muss nur wissen, wo man danach suchen muss.
Das heißt im Grunde kann heute jeder mit der entsprechenden Kreditkarte Cyberangriffe in Auftrag geben?
Asma: Prinzipiell ist das so. Und wir machen es durch unsere heutige Verliebtheit in Social Media auch vielen Angreifern noch sehr leicht, da wir dadurch viele Dinge freiwillig über uns preisgeben, die dazu genutzt werden können, um zum Beispiel unsere digitale Identität zu kompromittieren oder zu missbrauchen. Ich appelliere daran immer genau zu überlegen, was man wirklich öffentlich teilen möchte.
Herr Schindler, wenn ich Herrn Asmas Worten folge, gehen wir noch immer sehr naiv mit unserer Sicherheit im Cyberspace um. Was müssen wir denn tun, um davon wegzukommen?
Schindler: Wir müssen weg von unserer Passivität hin zu einer aktiven Haltung. Dazu gehören zwei Dinge. Zum einen, dass wir auch ein sogenanntes ‚Hackback‘ zulassen, also Gegenoffensiven im Cyberspace starten. Die Schweiz zum Beispiel macht das bereits seit zwei Jahren. Um Ihnen ein Beispiel zu nennen:
Wenn wir einen Server in einem Drittland identifiziert haben, der uns permanent angreift, dann müssen wir die Erlaubnis haben, diesen Server selbst anzugreifen, abzuschalten und vielleicht zu zerstören.
Das wird zwar intensiv in Fachkreisen diskutiert, findet aber in Deutschland bisher keine Zustimmung. Zum anderen müssen wir um Deutschland, um Europa einen Frühwarngürtel legen, in dem man die Datenströme nach Schadsoftware untersucht. Das könnten die Auslandsnachrichtendienste übernehmen, die haben das Know-how dazu.
Ich empfehle zudem eine Anpassung der Behördenstruktur in Deutschland. Wir haben aktuell drei Behörden, die sich mit dem Thema intensiv beschäftigen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit sehr generellen Fragestellungen, das Bundesamt für Verfassungsschutz bei Spionageangriffen und das Bundeskriminalamt bei Cyberkriminalität. Aus meiner Sicht wäre es gut, wenn eine Behörde in Deutschland federführend und weisungsbefugt wäre und wir damit einen zentralen Ansprechpartner für alle Betroffenen schaffen würden.
Herr Asma, Sie haben eben bereits die Situation am Markt für Cyber-Fachkräfte angesprochen. Können Sie hier eine genauere Einschätzung abgeben? Gibt es genügend Talente und Experten?
Asma: Das ist definitiv nicht so. Es gibt einen Experten- genauso wie einen Nachwuchskräftemangel. Bis vor wenigen Jahren gab es kaum Ausbildungsmöglichkeiten, vor allem keine universitären. Wir schauen uns darum in verschiedenen Fachrichtungen sehr früh Studierende daraufhin an, ob sie ins Security-Feld hineinpassen und fördern diese dann gezielt. Wer schon im Berufsleben steht, den begleiten wir mit berufsbegleitender Ausbildung. Aber insgesamt fehlen auch uns als PwC nach wie vor viel zu viele Mitarbeiterinnen und Mitarbeiter in der Cybersicherheit, die den Bedarf am Markt abdecken können.
Wie lassen sich denn solche Talente in Deutschland entwickeln und auch in Deutschland halten, Herr Schindler?
Schindler: Nicht nur im privaten Sektor, sondern auch ganz akut bei den deutschen Behörden besteht ein großer Mangel. Sowohl in den Sicherheits- als auch allen anderen Behörden auf Bundes-, Länderund kommunaler Ebene.
Das liegt aus meiner Sicht an der Besoldungsstruktur, die mit dem privaten Sektor nicht mithalten kann.
Ich persönlich glaube nicht, dass wir es schaffen, auf absehbare Zeit diesen Mangel durch Rekrutierung zu decken. Darum halte ich es für ganz wichtig, dass wir gemeinsam mit der Wirtschaft Verbünde schaffen, um gemeinsam diesem Mangel entgegentreten zu können.
Wenn wir einen internationalen Vergleich ziehen würden: Welche Länder sind besser aufgestellt als Deutschland?
Asma: In unserer Nähe sehe ich vor allem Israel und die baltischen Staaten als stärkere Akteure. Gleichzeitig haben aber auch die angreifenden Staaten weiter aufgerüstet.
Schindler: Ich glaube, es gibt etliche Staaten, die an uns vorbeigezogen sind. Dabei gibt es aber auch einige Modelle, die wir hier in Deutschland sicher nicht wollen – wenn wir zum Beispiel mal nach China schauen. Aber auch wenn wir nicht nach links und rechts schauen:
Wir müssen unser deutsches Wissen, unsere Kronjuwelen schützen.
Das ist Auftrag des Staates, das ist Auftrag der Wirtschaft. Und darin müssen wir unbedingt noch besser werden.
Wo liegen die Grenzen von Sicherheits- und Freiheitsrechten aus Ihrer Sicht?
Asma: Das ist eine heikle Frage. Grundsätzlich sollte man Technologie nicht als etwas Böses ansehen. Es ist die Frage, wie diese eingesetzt wird. Das Ausspionieren von Mitarbeitern ist sicherlich nichts, was wir uns in Deutschland wünschen oder tolerieren können. Im Gegenteil: Die Datenschutzgrundverordnung zeigte klare Grenzen auf, was das Erheben von Daten angeht. Auf der anderen Seite haben wir damit eine Schwachstelle beim Schutz, denn einzelne Mitarbeiterinnen und Mitarbeiter können und werden als Einfallstore in die Netzwerke der Firmen von Dritten missbraucht. Vor allem denjenigen, die über Gesetze entscheiden, muss diese Beidseitigkeit stets bewusst sein. Ich vertraue ihrem ethisch-moralischen Kompass.
Schindler: Man braucht vernünftiges Verhältnis von Freiheit zu Sicherheit. Als jemand, der sein Leben lang für die Sicherheit unseres Landes gearbeitet hat, möchte ich aber betonen, dass der Sicherheit genügend Raum gegeben werden muss. Sonst handelt es sich nicht um Ausgewogenheit, denn Freiheit ohne Sicherheit kann ich mir schlecht vorstellen.
Künstliche Intelligenz in der Cybersicherheit – überwiegen Chancen oder Risiken?
Asma: Das lässt sich noch nicht genau sagen. Natürlich erhalten Angreifer durch KI neue Möglichkeiten. Denn wir sind heute schon ganz gut darin, bestimmte immer wiederkehrende Muster zu erkennen und dann Gegenmaßnahmen einzuleiten. Bei einer künstlichen Intelligenz, die plötzlich ganz andere Verfahren einsetzt, sind wir mit wahrhaft Neuem konfrontiert. Das ist schon eine große Herausforderung. Da müssen wir schnell lernen. Andererseits nutzen wir KI heute auch schon für Security-Aufgaben wie Datenklassifizierung, die händisch überhaupt nicht oder nur sehr ineffizient möglich wären. Das eröffnet in einer gezielten Sicherheitsstrategie auch neue Spielräume.
Schindler: Ich habe dazu eine klare Haltung – die Chancen überwiegen. Entscheidend ist, den Anschluss nicht erneut zu verpassen. Wir sollten als Gesellschaft nicht nur theoretisch diskutieren über Chancen und Risiken der KI, sondern stattdessen pragmatisch investieren, um vorn in der technischen Entwicklung mit dabei zu sein. Es gibt bei der KI am Ende nur einen Sieger, keinen zweiten Platz. Dafür sollten wir antreten. Mir graut vor der Vorstellung, dass die Sicherheitsbehörden in Deutschland mit KI-Produkten aus Drittländern arbeiten müssen. In diese Abhängigkeit dürfen wir uns nicht begeben. Wir dürfen das Thema nicht zerreden, wir müssen anpacken.