Dr. Gerhard Schabhüser, Bundesamt für Sicherheit in der Informationstechnik (BSI), und Hans-Ulrich Schade, Zentrum für Cyber-Sicherheit der Bundeswehr (ZCSBw), eröffneten einen Blick auf die Herausforderungen und Themenfelder in der Cybersicherheit.
Dr. Gerhard Schabhüser, Vizepräsident des BSI, konstatierte zunächst, dass wir zwar auf dem Weg, aber noch nicht wirklich "in der Digitalisierung angekommen" seien. Die Entwicklungen gingen in Richtung einer Zukunft mit einer Vernetzung von Autos, Haushalten, Stadt, Industrie, Gesundheitswesen und Intelligenten Stromnetzen. Er skizzierte aktuelle und künftige Entwicklungen wie die zunehmenden Datenmengen, mehr Geschwindigkeit, aber auch mehr Angriffe. Auch in der Bundeswehr spiele Digitalisierung eine wichtige Rolle – Einsätze funktionierten nur, wenn die Vernetzung funktioniere.
Schabhüser sieht Digitalisierung als Riesenchance, "man muss es nur richtig machen". Cybersicherheit sei unverzichtbare Voraussetzung für das Gelingen der Digitalisierung. Dabei seien verschiedene Ebenen zu bedenken. Die totale Vernetzung bringe neben vielen Möglichkeiten eben auch ein höheres Risiko und Gefahren mit sich. Heute schon sei die Lage "nicht ganz so harmlos". Der Jahresbericht des BSI zeige, dass es ein hohes Bedrohungsniveau gebe. Jeden Tag würden 190.000 neue Schadsoftware-Varianten entdeckt, es gebe viele Löcher und viele Angreifer. Eine neue Angriffsqualität erfordere flexible Gegenmaßnahmen auf Seiten der Verteidiger, so Schabhüser. Beispielsweise seien 2018 durchschnittlich 28.000 E-Mails pro Monat mit Schadsoftware bei Institutionen der Bundesverwaltung abgefangen worden. Das BSI habe 16 Millionen Warn-Mails verschickt, um auf Gefahrensituationen aufmerksam zu machen. 70 Prozent der Unternehmen seien laut einer Umfrage der Allianz für Cyber-Sicherheit 2016/2017 Opfer von Cyber-Angriffen geworden.
Beispiele für IT-Sicherheitsvorfälle
Beim Hackerangriff auf das Regierungsnetz (der "Auswärtige Amt-Fall") im März 2018 habe es sich um einen ausgefeilten Angriff gehandelt, der jedoch geringe Auswirkungen gehabt habe. Es hätten gute Sicherheitsmechanismen gegriffen und der Täter sei bereits längere Zeit bei der Tat beobachtet worden. Schabhüser erklärte, dass fast jede Behörde Ziel von Cyber-Attacken sei und dass nicht alle Angriffe entdeckt werden würden. Bei dem "Politiker- und Promi-Hack", der im Januar 2019 bekannt geworden war, habe es sich um ein Datenleak gehandelt, so Schabhüser. Ca. 1.300 Personen seien betroffen, der Täter habe jedoch nur auf "wenige Accounts" direkten Zugriff gehabt.
Fazit
Schabhüser resümierte, dass Cyber-Sicherheit einer ganzheitlichen Vorgehensweise in einer immer mehr vernetzten Welt bedürfe. Sie müsse Chefsache sein. Neben der technischen Absicherung sei der "Faktor Mensch" ein wichtiger Teil der Sicherheitskette; denn wir alle seien Nutzer und Anwender zugleich. Das BSI gestalte Cybersicherheit nach einem kooperativen Ansatz und baue die Zusammenarbeit mit der Bundeswehr weiter aus, um das allgemeine Sicherheitsniveau im Cyberraum anzuheben, so Schabhüser.
Hans-Ulrich Schade: Warum ist es so schwer, den Cyberraum zu kontrollieren?
Historische Entwicklung
Der Direktor des Zentrums für Cyber-Sicherheit der Bundeswehr (ZCSBw) Hans-Ulrich Schade beantwortete die Frage zunächst historisch mit der Anfangszeit des Internets. Vorläufer des Internets war das ARPANET, seine Nutzer waren US-amerikanische Ingenieure und Wissenschaftler, der Zugang war einfach. Es entstand in einer Zeit ohne schwerwiegendes Bedrohungsszenario. Sicherheit sei aus diesen Gründen kein Design-Aspekt gewesen. In der weiteren Entwicklung seien häufig unter wirtschaftlichen Gesichtspunkten Sicherheitsaspekte hintangestellt worden.
Sicherheitspolitische Aspekte
Aus sicherheitspolitischer Perspektive seien mehrere Aspekte relevant und schwierig: Zum Beispiel hätten Angreifer viele Möglichkeiten zu wirken, das Rechtsprinzip der Territorialität versage bei Cyber-Angriffen und es sei zudem extrem schwierig bis unmöglich, genau festzustellen, wo Angriffe herkämen (Attribuierung).
Moderne Streitkräfte
Schade ging auf den jahrelangen Personalabbau und Sparkurs der Bundeswehr ein, der nun vorbei sei. Jetzt gebe es starke Investitionen in die Sicherheit der Netze der Bundeswehr; diese würden für die Effektivität der Streitkräfte immer wichtiger. Im Gegensatz zu anderen Staaten wie Israel oder USA sei die Bundeswehr nicht Technologieführer in der Informationstechnik. Große Konzerne hierzulande interessierte nicht, was die Streitkräfte machen. Man sei auf die Arbeit mit kommerziellen Produkten angewiesen. Die Sicherheitsbestimmungen in der Bundeswehr seien jedoch sehr hoch, so gebe es zum Beispiel Schleusen-PCs, die digitale Datenträger prüften, so Schade. Es gebe auch Einschränkungen der Nutzung bestimmter Applikationen. Der elektronische Dienstausweis sei auch Zugang zur IT und den freigeschalteten Anwendungen.
Rolle der Produkte
Die Innovationszyklen in der Industrie und Nutzungsdauer werden immer kürzer. In der Bundeswehr sei die Nutzungsdauer von Geräten erheblich länger als bei vielen zu Hause, es gebe nicht immer die neuesten Produkte. Schade kritisierte die Auswirkungen des Marktdrucks auf die Produktqualität. Man könne sich heute zudem nicht mehr so sicher sein, ob sich in Hardware-Produkten nicht "mehr abspielt, als es den Anschein macht", so Schade.
Rolle der Versorgungskette
Dadurch, dass die Versorgungskette weltweit so verzweigt und komplex sei, böte sie zahlreiche Angriffspunkte. Sie sorge zudem dafür, dass jeder Akteur abstreiten könne, für eine Schwachstelle oder einen Angriff verantwortlich zu sein.
Rolle der Daten
Auch die Daten mit ihren Eigenschaften, wachsenden Mengen und die Komplexität von Algorithmen spielten eine wichtige Rolle in der Erklärung der Frage, warum der Cyberraum so schwierig zu kontrollieren sei, so Schade. Er ist überzeugt: "Wir sind in der Lage, Angriffe zu erkennen, Maßnahmen einzuleiten und aktiv zu reagieren. Wir setzen dafür neue Technologien und vom BSI zugelassene Produkte ein sowie die Kompetenzen der Fachkräfte."
Notwendige Schritte
Aus seiner Sicht seien notwendige Schritte auf dem Weg zu mehr Cybersicherheit die Auswahl geeigneter Produkte, Security by Design und die Entwicklung und der Einsatz neuer Technologien, schloss Hans-Ulrich Schade seinen Beitrag.
Dokumentation: Katharina Reinhold