In der Podiumsdiskussion wurden verschiedene Herausforderungen für die Cybersicherheit kontrovers diskutiert und damit die verschiedenen Themenfelder der Tagung angerissen.
Podiumsdiskussion: Herausforderungen für die Cybersicherheit
/ 4 Minuten zu lesen
Datenschutz und Privatsphäre
Ausgehend vom Beispiel des Prominenten- und Politiker-Datenleaks, das im Januar 2019 bekannt wurde, stand zunächst die Rolle von Datensicherheit und Privatsphäre im Fokus. Frank Rieger, Autor, Hacker und Sprecher des Chaos Computer Clubs sagte, dass das Thema Privatsphäre Nutzerinnen und Nutzern immer wichtiger werde. Die Sichtbarkeit der Nutzung von Daten, z.B. durch personalisierte Werbung, sei gestiegen. Mehr Menschen nutzten Werbeblocker oder fragten bei Firmen nach ihren Daten. Er habe den Eindruck, dass durch das Datenleak, von dem Politikerinnen und Politiker persönlich betroffen gewesen seien, auch Bewegung in Diskussions- und Entscheidungsprozesse gekommen sei.
Gewinnung von Fachpersonal
Eine weitere Herausforderung sehen die Podiumsteilnehmer in der Personalgewinnung im IT-Bereich. Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), sieht seine Behörde gut aufgestellt. Sie gelte als interessantester öffentlicher Arbeitgeber in der IT-Branche für junge Absolventen. Geld oder Status spiele bei ihnen nicht die wichtigste Rolle, sondern auch der Wunsch nach einer guten Work-Life-Balance oder der Antrieb, etwas Gutes für die Gesellschaft zu tun, dabei am Puls der Zeit zu sein und Technologie-Neuheiten zu bedienen. Das Problem liege eher darin, die offenen Stellen schnell genug zu besetzen. Brigadegeneral Peter Richert vom Kommando Cyber- und Informationsraum (CIR) schilderte die Bewerberlage bei der Bundeswehr ähnlich positiv. Er berichtete auch von der Initiative, ehemalige Soldaten, zum Teil auch zeitlich befristet und ohne Soldatenstatus, wieder einzustellen. Hans-Ulrich Schade, Direktor des Zentrums für Cyber-Sicherheit der Bundeswehr (ZCSBw) betonte, dass der Standort für viele Bewerber von hoher Bedeutung sei, die Region Bonn-Koblenz biete hier gutes Potenzial.
Aufgabenbereiche
Viele verschiedene Behörden und Institutionen in Deutschland beschäftigen sich mit dem Thema Cybersicherheit. Die Aufgabenteilung ist nicht immer einfach zu überblicken und bietet auch Potenzial für Spannungen, wie im Gespräch deutlich wurde. Positiv beurteilten alle Beteiligten den Ansatz des Cyber-Abwehrzentrums, in dem verschiedene Institutionen kooperieren, um bei Risiken, Gefahren und Angriffen gemeinsam ein Lagebild zu erstellen und zu entscheiden, wie weiter vorgegangen wird. Problematisch erachtete Frank Rieger allerdings, dass die Trennung in Offensive und Defensive bei Cyberaktivitäten nicht immer deutlich sei. Er sprach sich deutlich dafür aus, dass in der Cybersicherheit der Fokus auf der Defensive liegen sollte. Die Frage, wer eigentlich der Angreifer sei, werde sich selten lösen lassen. Er kritisierte, dass Sicherheits- und Strafverfolgungsbehörden Sicherheitslücken immer wieder nicht meldeten, um sie selbst zu nutzen. Dies stelle jedoch eine Gefahr für alle Nutzer dar.
Brigadegeneral Peter Richert erläuterte, dass von über 14.000 Mitarbeitern beim Kommando Cyber- und Informationsraum nur eine "niedrige dreistellige Zahl" beim Zentrum Cyber-Operationen auch offensiv tätig werden könnte. Diese Mitarbeiter betrieben auch Aufklärung und beschafften Informationen für das Lagebild, so Richert. Bevor man offensiv tätig werde, müsse man stets die möglichen Begleitschäden abschätzen, was sich häufig als sehr schwierig erweise. Bewertungsprozesse etwa darüber, wo es sich noch um reine Aufklärung und wo es sich bereits um kriegerische Akte handele, würden erarbeitet.
Soziale Medien und Manipulationen
Thematisiert wurde auch die Rolle von sozialen Medien und Social Bots in der gezielten Beeinflussung oder Fehlinformation der Nutzerinnen und Nutzer. Dr. Schabhüser sagte, Informationstechnik sollte nicht dazu genutzt werden, Meinungsmache durch Maschinen zu unterstützen. Es sei jedoch häufig nicht einfach herauszufinden, ob es sich um Social Bots handele und wer diese einsetze. Frank Rieger sieht Fake News und Social Bots nur als Phänomene – das aktuelle Problem sei eher ein grundlegender Angriff auf "unsere Fähigkeit, einen gesellschaftlichen Konsens zu finden". Es ginge meist darum, "möglichst emotional intensive Posts nach oben zu spülen" – diese Mechanismen seien dafür optimiert, Hass und das Auseinanderdriften der Gesellschaft zu befördern, um damit Geld zu verdienen, so Rieger. Denn Google und Facebook seien dafür gebaut, Werbung zu verkaufen und Menschen zu manipulieren. "Wir brauchen Strategien dafür, wie wir es schaffen als Gesellschaft wieder Konsens und Entscheidungen zu formen", sagte Rieger. Wahlen und wichtige Entscheidungen würden heute häufig mit sehr knappen Mehrheiten entschieden, da könnten Manipulationen von 5-6% der Bevölkerung eines Landes den Ausschlag geben. Ein Vorschlag wäre, soziale Netzwerke zu zerschlagen bzw. auf eine maximale Nutzerzahl von z.B. 10 Millionen zu begrenzen. Man könne auch verbieten, zu viele persönliche Daten zu horten und damit Geld zu verdienen.
Sicherheitsstandards umsetzen
Frank Rieger und Dr. Gerhard Schabhüser sprachen sich dafür aus, die Hersteller von Hard- und Software stärker in die Verantwortung zu nehmen und eine verbindliche Haftung für Mängel einzuführen. Rieger forderte, dass Hersteller sich an Mindeststandards halten müssten. Schabhüser sprach sich für die Einführung von IT-Gütesiegeln oder Sicherheitskennzeichen aus, so dass für Verbraucher transparent erkenntlich sei, wie sicher ein Gerät oder Software sei.
Aktuelle Aufgaben
Brigadegeneral Peter Richert sieht die aktuelle Hauptaufgabe im Bereich Cybersicherheit darin, das Netz der Bundeswehr so sicher wie möglich zu machen.
Schabhüser geht es um die Förderung von Sicherheit. Er ist dagegen, Schwachstellen offen zu lassen. Er wünscht sich europäische Regelungen, zum Beispiel zu Security by Design (Sicherheitsanforderungen an Soft- und Hardware werden schon während der Entwicklungsphase eines Produktes berücksichtigt, um spätere Sicherheitslücken zu verhindern).
Frank Rieger forderte, die Software-Infrastruktur gänzlich neu aufzubauen – die Technologie, um sicher zu programmieren, sei da – sie müsse nur in die Breite kommen. Die Gelder sollten von staatlicher Seite kommen und seien "Investitionen in existenzielle Daseinsvorsorge". Er sprach sich für eine Meldepflicht von Sicherheitslücken aus; Sicherheitsbehörden dürften diese nicht offenhalten, um sie für die eigene Arbeit zu nutzen. Außerdem müsse man beginnen, Großunternehmen zu regulieren, zum Beispiel Algorithmen abzuschalten, die emotionale Posts nach oben ranken oder die Schaltung von Werbeanzeigen zu begrenzen.
Dokumentation: Katharina Reinhold
Wir laden Sie zu einer kurzen Befragung zu unserem Internetauftritt ein. Bitte nehmen Sie sich 5 Minuten Zeit, um uns bei der Verbesserung unserer Website zu helfen. Ihre Angaben sind anonym.
Vielen Dank für Ihre Unterstützung!