Tom Koehler und Oliver Rolofs von der Strategieberatungsfirma Connecting Trust haben vor fünf Jahren die Münchner Cybersicherheitskonferenz mit ins Leben gerufen. Sie findet stets am Tag vor der Münchner Sicherheitskonferenz statt, heuer also am 14. Februar. Rund 200 Politiker, Wissenschaftler und Wirtschaftsexperten diskutieren dabei Sicherheitsstrategien für die Cyberwelt.

Oliver Rolofs: Wir leben ganz allgemein in Zeiten wachsender Unsicherheiten. Das hat zuletzt die Aufkündigung des INF-Vertrags zur Begrenzung atomarer Mittelstreckenraketen durch die USA gezeigt und ist ein weiteres Negativbeispiel dafür, wie gerade die globale Ordnung zerfällt. Doch dass die Sicherheitslage heute so schlecht ist wie niemals seit dem Ende des Kalten Krieges, gilt genauso für den Bereich des Digitalen.

Tom Koehler: Durch Cyberkriminalität entsteht jährlich weltweit ein Schaden in Höhe von 600 Milliarden US-Dollar. Die digitale Transformation hat zudem die gesamten wirtschaftlichen und politischen Machtverhältnisse auf der Welt verändert. Deutschland und Europa liegen im Bereich der Informationstechnologien durch fehlendes Risikokapital um Jahrzehnte zurück, vor allem gegenüber China und den USA. Zudem mangelt es hierzulande an einer weitblickenden Technologiepolitik. Diese riesigen Kompetenzlücken erstrecken sich auch auf die Abwehrfähigkeit gegenüber Cyberangriffen. Die Gefahren gehen dabei vom wirtschaftlichen nahtlos in den politischen Sektor über.

Rolofs: Ja, schon Einzeltäter können, wenn sie talentiert sind, einen immensen Schaden verursachen und Unternehmen oder ganze Infrastrukturen lahmlegen. Diesmal hat es Personen des öffentlichen Lebens getroffen, die Opfer von Doxing, also dem Zusammentragen und Veröffentlichen personenbezogener Daten geworden sind. Hier ist es bei einem Reputationsschaden geblieben. Doch die Dimension des Problems ist größer: Das vermehrte Auftreten von digitaler organisierter Kriminalität oder staatlichen Hackergruppen potenziert die Cybergefahren und das Schadenspotenzial um ein Vielfaches. Gleichzeitig hat der Fall um die Veröffentlichung sensibler Informationen von zahlreichen Politikern und Prominenten ein erschreckendes Maß an Naivität im Umgang mit privaten Daten offenbart. An den Bemühungen um Sicherheit im digitalen Raum muss sich immer auch der Einzelne beteiligen.

Koehler: Das organisierte Verbrechen kennt längst Möglichkeiten, von beinahe jedem Ort der Welt aus Konten abzuräumen, Betrug oder Erpressung zu verüben, mit illegalen Dingen zu handeln. Cyberkriminalität ist lukrativer als Drogen- oder Menschenhandel, das Risiko, erwischt zu werden, ist zudem viel geringer. Und wir brauchen uns nichts vormachen: Diese Art der Kriminalität ist auf Wachstumskurs. Deshalb müssen wir auf allen Ebenen unsere Anstrengungen vervielfachen und die Zusammenarbeit besser orchestrieren. Die Antwort auf vernetzte Cyberrisiken müssen vernetzte Schutzmaßnahmen sein.

Rolofs: Staaten wie Russland und China, aber auch Nordkorea und der Iran verfügen über eine hohe Schlagkraft im Cyberspace. Bei den einen steht Cyberspionage oder Cyberkriminalität im Vordergrund, bei den anderen hat das politische Gründe, um Unruhe im geopolitischen Kontext zu stiften, wie etwa die Attacken auf den Bundestag und die Infiltration des Bundesnetzes beweisen – dahinter wird Russland vermutet.

Koehler: Der endgültige Nachweis, dass hinter einem Angriff wirklich ein bestimmter Staat steckt, gelingt nur selten. Die Herkunft solcher Attacken wird meist gut verschleiert. Nicht selten arbeiten uns nicht wohlgesinnte Geheimdienste mit kriminellen Hackern zusammen, wie das etwa in Russland und Nordkorea der Fall ist. Nordkoreanische Hacker haben sich zum Beispiel auf den Diebstahl von Digitalwährungen spezialisiert, um Devisen für das Regime in Pjöngjang zu beschaffen.

Rolofs: Fest steht, dass wir weiter digitalisieren müssen, sonst ist unser Wohlstand in Gefahr und wir verlieren in der Welt den Anschluss. Das heißt aber auch, dass wir uns mit den Risiken auseinandersetzen müssen. In Deutschland gibt es bereits auf Bundes- und Länderebene zahlreiche Institutionen und Initiativen, die sich mit Sicherheit im Internet beschäftigen. Doch das Problem mit unserer Cyber-Sicherheitsarchitektur ist, dass sie viel zu komplex ist. Mehr als 50 unterschiedliche Einrichtungen befassen sich damit. Es gibt bei den Zuständigkeiten und Kompetenzen viele Überschneidungen, aber keinen klaren roten Faden. Wir müssen uns fragen, ob wir wirklich strukturell gut und agil genug aufgestellt sind.

Koehler: Nein, in keiner Weise. Da nutzt es auch wenig, dass mit der neuen Cyberagentur in Leipzig nun noch eine weitere Institution gegründet wird. Effektiver werden wir vielmehr, wenn wir Kompetenzen bündeln und sich überschneidende Zuständigkeiten besser abstimmen oder gar abbauen. Darüber sollte der nationale Cyber-Sicherheitsrat intensiver nachdenken. In den USA ist nach den Terroranschlägen von 09/11 das Heimatschutzministerium gegründet worden, das 22 Behörden unter einem Dach vereint. Nach diesem Vorbild brauchen wir auch in Deutschland eine schlagkräftigere Cyberabwehr.

Rolofs: Das ist tatsächlich ein riesiges Problem. Der Markt für IT-Fachleute ist praktisch leer gefegt. Diese Leute haben in der Wirtschaft deutlich bessere Verdienstmöglichkeiten. Und das ist auch einer der Gründe, warum wir in der Cybersicherheit über die deutschen Grenzen hinaus aktiv werden müssen. Da sind europäische Lösungen gefragt. In einigen EU-Ländern gibt es ausgeprägte digitale Kompetenzen, andere Staaten sind dagegen zu klein, um die Aufgabe allein bewältigen zu können. Kleinstaaterei hilft nicht weiter, das schaffen wir nur gemeinsam.

Koehler: Mit dem „Cybersecurity Act“ hat die Europäische Kommission da schon den richtigen Weg eingeschlagen. Die Europäische Agentur für Netz- und Informationssicherheit soll aufgerüstet werden und wird die EU-Mitgliedsstaaten so besser bei Prävention und Cyberabwehr unterstützen können. Es geht bei dem Vertrag unter anderem um einheitliche Sicherheitsstandards von digitalen Produkten und Dienstleistungen.

Rolofs: Da entstehen Risiken, die sich multiplizieren. Die Auswirkungen sind vielen Entscheidern nicht bewusst. Es ist erschreckend, dass bei der Digitalisierung dem Sicherheitsaspekt bislang wenig Priorität eingeräumt wurde. Wir schauen ziemlich unbekümmert zu, wie sich alles um uns herum vernetzt. Städte unter der Überschrift Smart City werden zunehmend digital gesteuert und wir verlassen uns blind darauf. Ein gezielter Hackerangriff reicht, um eine smarte Stadt komplett lahmzulegen. Was dann? Banken, Logistikkonzerne wie Maersk oder Telekommunikationsunternehmen wie die Telekom waren ja schon von solchen Attacken betroffen, die auch Auswirkungen auf unsere kritischen Infrastrukturen hatten. Das alles waren nur Warnschüsse. Um größere Katastrophen zu verhindern, müssen wir eine ganz neue Sicherheitskultur etablieren, die sich von der Software über sämtliche Endgeräte bis hin zu großen Anlagen erstreckt und genauso unsere Gesellschaft mitnimmt. Alle Risiken werden wir aber niemals ausschließen können.

Koehler: Doch. Wir haben in Deutschland gute Wissenschaftler. Und in der ganzen Europäischen Union gibt es heute fast fünf Millionen Programmierer, mehr übrigens als in den USA. Wenn wir unser Wissen bündeln, unsere industriellen Wurzeln mit unserer Handwerkskultur und Innovationskraft besser verbinden, können wir in Europa neben dem Datenschutz auch bei der Cybersicherheit international Maßstäbe setzen. Im Moment aber ist nichts im grünen Bereich. Wir verwalten nur die Risiken.