Cyber-Sicherheit
© vs148/Shutterstock.com
SERIE: Gesellschaftlicher Dialog Öffentliche Sicherheit

„Die Voraussetzung für eine erfolgreiche Digitalisierung ist die Informationssicherheit“

Herausforderungen der Cyber-Fähigkeit des Staates

Jeder redet von Cyber-Angriffen, doch was haben virtuelle Bedrohungen mit öffentlicher Sicherheit zu tun? Worin bestehen die Risiken? Erhöht die weitere Digitalisierung die Gefährdung – und wie kann ihr begegnet werden?

Die Digitalisierung schreitet voran, aber noch leben wir nicht in einer digitalisierten Welt. Gleichwohl ist Cyber Crime längst ein globales Phänomen mit kaum bekannten Ausmaßen – doch zunehmend erwacht das allgemeine Bewusstsein dafür. Die Cyber-Problematik wird zum Faktor der realen Sicherheit, die Behörden stehen vor enormen Herausforderungen.

Beim „Gesellschaftlichen Dialog Öffentliche Sicherheit: 1. Berliner Kongress für wehrhafte Demokratie“ gaben namhafte Experten Einblicke in die aktuellen Entwicklungen.

Aktuelle Bedrohungslage

Bereits die Pre-Opening-Speech am Vorabend des Kongresses stellte die Cyber-Problematik in den Mittelpunkt: Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, gab im kleinen Kreis einen umfassenden Überblick über die Herausforderungen der Cyber-Sicherheit und unterstrich deren Bedeutung als „eine Voraussetzung für die Digitalisierung, aber auch für die Sicherheit des Staates“.

Das BSI identifiziere jeden Tag über 280.000 neue Schadprogramme und sehe weltweit über 600 Millionen Schadprogramme. Es gebe verschiedene Studien, wonach die Organisierte Kriminalität seit 2009 mehr Geld mit Cyber Crime als mit Drogen verdiene, so Präsident Schönbohm: „Wir gucken auf die Staaten und vergessen diese über 99 Prozent der anderen Angriffe, die wir tagtäglich erleben.“ Und weiter: „Früher war das Thema Schutzgelderpressung, heute macht man das teilweise so.“

In den zehn am meisten verbreiteten Software-Produkten habe das BSI im letzten Jahr über 1.000 Schwachstellen identifiziert: „Schwachstellen, die nicht vorher sauber qualitativ hochwertig programmiert worden sind“, kritisierte Präsident Schönbohm. Schwachstellen, die von Hackern ausgenutzt werden.

Im Monat April habe das BSI allein 800.000 auf Android basierende neue Schadprogramme identifiziert. „Wenn Sie sich dann nicht dementsprechend darauf vorbereiten und dann auch noch Online-Banking und so weiter machen, dann haben Sie eine besondere Herausforderung“, unterstrich Präsident Schönbohm die Sicherheitsrelevanz.

Und er fragte: „Wie viele Weckrufe brauchen wir denn eigentlich noch?“ unter Verweis auf zahlreiche spektakuläre Cyber-Angriffe der letzten Jahre, Angriffe gegen Energieversorger, Angriffe gegen politische Parteien, Angriffe gegen den Bundestag: „Wie viele Angriffe brauchen wir denn noch, damit wir wach werden?“

Präsident Schönbohm wies auf die „angespannte Sicherheitslage“ hin und erläuterte: „Das sind Themen, wo wir auf einmal merken, wo die tatsächliche Welt, die reale Welt, und die Cyber-Welt ineinander übergehen. Und ich glaube, es ist wichtig, dass wir das auch erkennen und verstehen. Es gibt nicht die reale Welt und die digitale Welt. Es gibt nur eine Welt.“

Kongresspräsident Wolfgang Bosbach wies bei der offiziellen Eröffnung des Kongresses darauf hin, dass wir eine „völlig andere Sicherheits- und Bedrohungslage, aber keine minder gefährliche Bedrohungslage als zur Zeit des Kalten Krieges“ haben, und nannte „die Herausforderungen durch die modernen Technologien, die ja nicht nur faszinierende Medien sind mit Information und Kommunikation, sondern auch als Angriffsfläche genutzt werden können“ als Beispiel.

Hans-Georg Engelke, Staatssekretär im Bundesministerium des Innern, für Bau und Heimat (BMI), unterstrich unter Verweis auf größere Cyber-Angriffe auf Betreiber kritischer Infrastrukturen in Deutschland, „dass die Anzahlen von Cyber-Angriffen ebenso zunehmen wie unsere digitale Verwundbarkeit insgesamt. Aber nicht nur die Anzahl, sondern auch die Qualität.“ Die Angriffe hätten gezeigt, in welchem Maße unsere Gesellschaft anfällig sei, „und dass massive Gefährdungslagen auf uns zukommen“. Es sei „kein Geheimnis, dass staatliche Akteure, aber auch nicht staatliche Akteure und auch jede Menge Mischformen von diesen potentiellen Angreifern, sich hier ebenso wie in anderen Staaten tummeln, um unsere Cyber-Infrastrukturen anzugreifen, und sie sind leider auch durchaus erfolgreich“. Und weiter: „Mit dieser neuen Komplexität haben wir alle zu kämpfen.“

Der Vizepräsident des Bundeskriminalamtes (BKA), Peter Henzler, machte deutlich, dass Straftäter häufig über nationale  Grenzen hinweg agierten: „Im Lagebild zur Organisierten Kriminalität stellen wir fest, dass 80 Prozent aller OK-Straftaten international geprägt sind.“ Cyber-Crime und Cyber-Spionage seien an der Tagesordnung. Insbesondere das Internet und hier das Darknet seien „die Stätte, an der Kriminalität heutzutage stattfindet“.

Guido Müller, Vizepräsident des Bundesnachrichtendienstes (BND), erklärte, dass die internationale Ordnung heute wieder in einer Phase des Umbruchs sei: „Wesentliche Treiber dieser gesellschaftlichen Veränderung sind Globalisierung und Digitalisierung.“ Das Weißbuch zur deutschen Sicherheitspolitik aus dem Jahr 2016 zeige als Bedrohungen und Risiken unserer Sicherheit unter anderem die Sicherheit der Kommunikation und Information sowie die Bedrohung von Risiken aus dem Cyber-Informationsraum auf.

„Es gibt keine eindeutige Grenze mehr zwischen innerer und äußerer Sicherheit. Es gibt keine eindeutige Grenze mehr in den Bedrohungen, vor denen wir stehen“, so Vizepräsident Müller. Und weiter: „Ich bin mir sicher, ich erzähle Ihnen nichts Neues, dass der digitale Datenfluss eben nicht an Staatsgrenzen aufhört.“

Gleichzeitig wies er auf eine „Entgrenzung durch hybride Bedrohung“ hin; der Begriff der hybriden Bedrohung entspreche im Kern „dem Clausewitz‘schen Denken, der Krieg ist eine bloße Fortsetzung der Politik mit anderen Mitteln. Hybride Bedrohung ist so ein weiterer Pfeil im Köcher der Akteure.“ Offensichtliche Beispiele seien Cyber-Angriffe zur Informationsgewinnung aus politischen oder wirtschaftlichen Entscheidungsprozessen, verdeckte Einflussnahme auf politische Wahlen, getarnte Angriffe auf Kritische Infrastrukturen oder die zielgerichtete Beschädigung der Glaubwürdigkeit staatlichen Handelns.

Entwicklung der Digitalisierung – Zunahme der Risiken

Vizepräsident Müller verwies auf die „Entgrenzung durch Digitalisierung“, die „wahrscheinlich der wirkungsmächtigste Treiber der gesellschaftlichen Entwicklung“ sei und – nicht nur durch die noch nicht komplett absehbaren Potentiale, die man sich nutzbar machen könne – natürlich auch Risiken ausmache: „Die aktuelle industrielle Revolution, Industrie 4.0, ist die Basis unseres zukünftigen wirtschaftlichen Erfolges und damit richtungsweisend. Allerdings erhöht sich damit auch die Angriffsmöglichkeit für potentielle Gegner.“ Er verwies etwa auf „die interaktiven Fertigungslinien, in denen unsere Industrie sich bewegt“ und die das Gefährdungspotential erhöhten.

So umfangreich die Bedrohungslage auch heute schon ist: Wenn BSI-Präsident Schönbohm anmerkte „was mich so nachdenklich stimmt ist: wir haben noch keine Digitalisierung“ und dies weiter ausführte „wir leben noch gar nicht in einer digitalisierten Welt“, dann lässt dies erahnen, dass die Risiken mit der Entwicklung der Digitalisierung noch weiter zunehmen werden. Als Beispiele nannte er das Samsung Hospital in Seoul, vollautomatisiertes Fahren, Telemedizin oder vollautomatisierte Warensysteme: „Das sind die Themen, die aber kommen werden.“

Herausforderung Cyber-Sicherheit

„Das Thema der Digitalisierung fängt jetzt an gerade zu laufen“, so Präsident Schönbohm. Dabei müsse es darum gehen, die Informationssicherheit von vorn herein mitzuplanen und nicht am Ende nochmal draufzusatteln. Denn „die Voraussetzung für eine erfolgreiche Digitalisierung ist die Informationssicherheit. Es wird sonst nicht funktionieren.“

BND-Vizepräsident Müller stellte fest: „Die deutsche Sicherheitsarchitektur wird von den Folgen der Entgrenzung herausgefordert. Was heißt das für uns? Wir müssen in der Lage sein, tatsächlich alle Bedrohungen und Risiken gleichzeitig in real time zu erledigen, zu bearbeiten, zu begegnen.“

Ansätze und Maßnahmen

Die verschiedenen Experten machten auch deutlich, was aus ihrer jeweiligen Sicht erforderlich ist, um den bestehenden Herausforderungen zu begegnen.

BSI-Präsident Schönbohm erläuterte den Leitspruch des BSI als nationale Cyber-Sicherheitsbehörde, die die Informationssicherheit in der Digitalisierung für Staat, Wirtschaft und Gesellschaft gestalte. Man brauche ein Kompetenzzentrum, das mit der Informationsgeschwindigkeit Schritt halte und mitgehe, das aber auch Informationen weitergebe; in diesem Zusammenhang verwies er auf die Zusammenarbeit etwa mit BND, Bundespolizei, Bundeskriminalamt, Bundesamt für Verfassungsschutz und ZITiS. Statt dass 16 Bundesländer angesichts der hohen Innovationsgeschwindigkeit selber individuell entscheiden, etwas Eigenes aufzubauen, könnten sie auf „ein leistungsfähiges BSI als nationale Cyber-Sicherheitsbehörde“ zugreifen.

Staatssekretär Engelke machte deutlich, dass die Behörden mit der Entwicklung, die in der Gesellschaft stattfindet, Schritt halten müssten, und sprach sich für neue Befugnisse mit Blick auf die Cyber-Fähigkeit der Sicherheitsbehörden bei der informationstechnischen Überwachung aus, etwa hinsichtlich des Einsatzes von Online-Durchsuchungen zur Gefahrenabwehr im Rahmen der nachrichtendienstlichen Aufklärung. Er wies zudem auf die veralteten Dateienlandschaften von Bund und Ländern sowie die mehrfache Datenerhebung hin; hier soll das Programm „Polizei 2020“ zur Entwicklung eines neuen polizeilichen IT-Systems Abhilfe schaffen.

BND-Vizepräsident Müller wies auf „ein grundsätzliches Problem für die Sicherheitsarchitektur in Demokratien“ hin, auf einen Spagat: „Wie weit wird die Freiheit des Einzelnen eingeschränkt, um unser aller Freiheit und Sicherheit zu gewährleisten? Nicht jede E-Mail ist ein Cyber-Angriff, kann es aber sein. Nicht jede Firmenübernahme ist Teil einer staatlichen Strategie, kann es aber sein. Nicht jede Falschmeldung ist gleich eine Desinformationskampagne, kann es aber sein.“ Die resultierende Zunahme der Komplexität von Risiken fordere die gesamte Sicherheitsarchitektur; er nannte etwa die Entwicklung von Methoden und Verfahren der klaren Einordnung und Instrumente zur Abwehr derartiger Angriffe. Und weiter: „Um unseren Auftrag gemeinsam erfüllen zu können, müssen wir uns deshalb öffnen und schneller werden. Wir müssen anpassungsfähiger sein. Wir müssen Strukturen schaffen, die kompatibel und flexibel sind. Wir müssen uns mit Partnern hier und weltweit vernetzen.“

BKA-Vizepräsident Henzler wies zwar darauf hin, dass das BKA „in allen maßgeblichen weltweiten Foren der Cyber Crime-Bekämpfung vernetzt“ sei. Er unterstrich aber ebenfalls, dass es im internationalen Raum „maßgebliche Herausforderungen der Vernetzung, nämlich bei Cyber etwa der Rund-um-die-Uhr (24/7)-Kooperation“, gebe.

Uwe G. Becking, Direktor und Leiter Strategische Geschäftsentwicklung Digitalisierung ÖV bei der IBM Deutschland GmbH, wies darauf hin, dass die Organisierte Kriminalität die Erträge aus der klassischen Kriminalität jetzt in die Online-Kriminalität reinvestiere und dass es dann große Sicherheitslücken gebe, die geschlossen werden müssten: „Wenn wir das aufholen wollen oder sogar vor die Lage kommen wollen, müssen wir Gas geben.“ Er verwies etwa auf die Möglichkeiten der automatisierten Beweismittelsicherung und Auswertung durch künstliche Intelligenz, denen jedoch rechtliche Grenzen entgegenstünden. Gleichzeitig bestünde weltweit ein Personalbedarf von 1,5 Millionen Sicherheitsexperten. Eine weitere Herausforderung bestehe in der europäischen Zusammenarbeit, wo das Prinzip gelte, „um Geschwindigkeit zu machen, sollten wir in Deutschland regeln, was wir können“. Und weiter: „Bei der Trägheit des Systems ist also wirklich angesagt zu entgrenzen, also die Möglichkeit, alle Akteure – Privat, Wirtschaft, Wissenschaft – ganz schnell sofort zu verzahnen.“

Auch Olaf Peter Schleichert, Verantwortlicher Analytics für Deutschland, Partner für das Deloitte Analytics Institute bei der Deloitte Consulting GmbH, wies darauf hin, „dass wir mit der Geschwindigkeit, die wir erleben in der Digitalisierung, in dem, was um uns herum passiert, gar nicht anders können, als gerade vielleicht auch in Deutschland ein klein wenig mehr zusammenzuarbeiten, ein klein wenig mehr aus der innovativen Wirtschaft in den Staat hineinzuprojizieren.“ Denn Innovationen entstünden „nicht nur an Druckpunkten oder aber vor dem Hintergrund von verheerenden Ereignissen“, sondern es gebe auch einen „Weg, Innovation zu gestalten, indem wir uns ein klein wenig anders aufstellen“.

Dr. Sebastian Leder, Senior Manager, Deloitte Analytics Institute bei der Deloitte Consulting GmbH, präzisierte, „ich brauche vielleicht auch ein Start-up ähnliches Innovations-Übungssystem, in dem ich Dinge ausprobieren kann, Stichwort Designkritik“.

SERIE: Gesellschaftlicher Dialog Öffentliche Sicherheit

„Mindsetting neu kalibrieren“

Gesellschaftlicher Dialog Öffentliche Sicherheit / 300 Teilnehmer diskutieren virulente Fragen / Sicherheitsarchitektur im Fokus

SERIE: Gesellschaftlicher Dialog Öffentliche Sicherheit

Mehr Bestandsaufnahme wagen

Prof. Sinn: Zu wenig politischer Wille, um Sicherheitsarchitektur zurechtzustutzen / Organisierte Kriminalität stärker bekämpfen

SERIE: Gesellschaftlicher Dialog Öffentliche Sicherheit

Mit Sicherheit nicht mehr wie „Strom aus der Steckdose“

Maaßen: „Es boomt in meinem Geschäftsbereich“ / Unterstützung der Bevölkerung notwendig / Einzeltäter im Fokus

SERIE: Gesellschaftlicher Dialog Öffentliche Sicherheit

Zusammenfassungen und Resultate

Arbeitsergebnisse aus Foren und Werkstätten zu den Themen Gefährdung, Verantwortung, Digitalisierung, gesellschaftliche Anerkennung, Erfahrung und Professionalisierung

SERIE: Gesellschaftlicher Dialog Öffentliche Sicherheit

Staatliche Nicht-Reaktion beenden

OB Palmer: Unzureichende Kooperation zwischen Staat und Kommunen in Asylfragen / Städten wieder mehr zutrauen

SERIE: Gesellschaftlicher Dialog Öffentliche Sicherheit

Wenn die Polizeiliche Kriminalstatistik wenig nützt

Bosbach: Vertrauen bei den Menschen schaffen / Schönbohm: Verständliche IT-Sprache sprechen / Kongress versammelt „Who-is-Who“ des Staates - Auftakt für mehr!

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.