Archiv

BSI-Sicherheitskonferenz
Unterstützung für Cyber-Hackback-Pläne

Aktive Cyber-Abwehr war eines der Themen auf der Konferenz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das Institut wird sich durch einen Umbau neuen Herausforderungen stellen müssen: Es geht um Künstliche Intelligenz, 5G und einen Ausbau der Zusammenarbeit von Sicherheitsexperten in Europa.

Peter Welchering im Kollegengespräch mit Manfred Kloiber |
Zwischen dem Binärcode auf einem Laptopmonitor ist der Schriftzug "Hacker" zu sehen
Es gibt die Forderung, dass die Cyberabwehr eine Angriffsfähigkeit auf fremde Netze brauche. Wer diese Angriffsfähigkeit haben soll, bleibt bisher unklar, so Experte Peter Welchering (dpa/ Jens Büttner)
"Wir brauchen eine aktive Cyber-Abwehr, schlicht und ergreifend weil die Bedrohungslage weiter zunimmt. Dafür gibt es ja verschiedene Überlegungen. Wie kann man sich dementsprechend auch aktiv im Cyber-Raum wehren? Diese Diskussionen finden natürlich statt, finden auch gerade auf der politischen Ebene statt. Wir unterstützen mit unserem technischen Sachverstand diese Diskussion."
Manfred Kloiber: So positionierte Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik, sein Haus in der Frage des sogenannten "Hackback" auf der BSI-Sicherheitskonferenz, die von Dienstag bis Donnerstag dieser Woche in der Bad Godesberger Stadthalle stattfand. Wie konkret sind denn die Pläne über die sogenannte "aktive Cyberabwehr" auf der Konferenz diskutiert worden, Peter Welchering?
Peter Welchering: Im offiziellen Konferenzteil ist eine aktive Cyberabwehr im Eröffnungsteil vom Parlamentarischen Staatssekretär bei Bundesminister des Inneren, Günter Krings, gefordert worden. Ich habe den BSI-Präsidenten Arne Schönbohm dann nach der Pressekonferenz noch einmal zu seiner Einstellung dazu befragt. Die Antwort haben wir gerade gehört.
Im weiteren offiziellen Kongressprogramm gab es keine direkte Veranstaltung zum Thema "Präventionsschläge" oder "Gegenschläge nach einem digitalen Angriff." Aber das Thema hat durch die prominente Forderung zu Beginn die Konferenz schon ziemlich bestimmt. Es war Thema Nummer 1 beim Networking, in den Mittagspausen und am Rande relativ vieler Vorträge, bei denen es um Themen ging, die mit solch einer aktiven Cyberabwehr zu tun haben.
Kloiber: Der "Hackback" ist also ein Thema, das in die Konferenz eingesickert ist. Hier haben wir die anderen dominierenden Konferenzthemen noch einmal zusammengestellt.
Gefährdungslage "auf hohem Niveau angespannt"
Das französisch-deutsche Lagebild der IT-Sicherheit, das BSI-Präsident Arne Schönbohm und Guillaume Poupard, Chef der nationalen Cybersicherheitsagentur Frankreichs, vorstellten, entsprach so ziemlich dem weltweit gültigen Lagebild. Die Gefährdungslage ist auf hohem Niveau angespannt, so äußerten sich unisono fasst alle Experten. Und die meisten setzten hinzu, dass Europa bisher einfach jede Menge Glück gehabt habe, ohne größere Schäden durch digitale Angriffe davongekommen zu sein. Doch sie warnen gleichzeitig, sich nur auf sein Glück zu verlassen, das sei etwas fahrlässig. Vor allen Dingen digitalen Angriffen, die von KI-Systemen geplant und ausgeführt werden, seien viele kritische Infrastrukturen in Europa ziemlich hilflos ausgeliefert. Guillaume Poupard fasst das so zusammen:
"Künstliche Intelligenz ist für uns sehr wichtig, um unsere eigenen Methoden zur Bekämpfung von Cyberangriffen zu entwickeln. Wir wissen, dass Menschen, die für das Erkennen von Angriffen und für die Datenanalyse verantwortlich sind, durch Künstliche Intelligenz in der Lage sind, die Angriffe zu erkennen und zu verstehen. Sie müssen immer mehr maschinelles Lernen anwenden, um diese sehr kniffligen Dinge in einer riesigen Datenmenge zu finden. So ist Künstliche Intelligenz für uns natürlich eine direkte Anwendung, und wir brauchen sie, um besser zu werden."
Maschinelles Aufspüren von Sicherheitslücken
Der KI-Einsatz in der IT-Sicherheit muss auf zwei Ebenen stattfinden. Abwehrsysteme müssen verstehen, wie Mustererkennung und Methoden maschinellen Lernens nach Sicherheitslücken suchen und diese dann für sehr komplexe Angriffsprogramme ausnutzen. Auf der zweiten Ebene müssen diese Erkenntnisse dann nicht nur für die Abwehr KI-gestützter Angriffe genutzt werden, sondern auch, um generell Angriffsmuster präventiv erkennen zu können. Neu hinzugekommen ist auch der Angriff auf KI-Systeme, die beispielsweise zur Prognose menschlichen Verhaltens oder zur automatisierten Entscheidungsfindung eingesetzt werden.
Solche Angriffe arbeiten zumeist mit der Verfälschung von Trainingsdaten. Dem deutsch-französischen Lagebild zufolge ist der Handlungsbedarf hier mindestens ebenso groß wie bei der Absicherung der der Mobilfunkinfrastruktur. Wie die Mobilfunkinfrastruktur im Rahmen des 5G-Ausbaus abgesichert werden kann, wurde sehr kontrovers diskutiert. Seine Befürchtungen bringt Hans de Vries, der Direktor des nationalen Cybersicherheitscenters der Niederlande knapp auf den Punkt:
"Ich verstehe, dass 5G unsere Umwelt verändern wird. Ich hoffe, es kontrolliert mein Leben nicht in einer Weise, die ich mir nicht wünsche. Davor fürchte ich mich. Und ich wünsche mir, dass das nicht der Fall sein wird."
Umstrittene 5G-Beteiligung von Huawei in Europa
Und so wurde auch leidenschaftlich über die Frage diskutiert, ob der chinesische Telekommunikationsausrüster Huawei denn jetzt am Ausbau der 5G-Infrastruktur in Europa beteiligt werden soll oder nicht. Für Barbara Hoffmann, Vizepräsidentin von Samsung Electronics und dort sehr engagiert in Sicherheitsfragen, ist das keine so prinzipielle Frage. Die Huawei-Komponenten für das 5G-Netz müssten einfach ausreichend kontrolliert werden:
"Wir erlauben Regierungen und Unternehmen, mit denen wir zusammenarbeiten, in unsere Fabriken zu kommen und zu prüfen und zu validieren. Wir selbst validieren die gesamte Lieferkette. Wenn es sich also um ein Teil, eine Technologie oder eine Komponente handelt, was wir nicht selbst herstellen. Wir validieren dann, um die Integrität dieser Komponente oder des Teils, in dem sich diese Software befindet, sicherzustellen."
Vom Umgang mit Schwachstellen
Zu dieser Transparenz müsse auch Huawei bereit sein, so lautete eine der Forderungen. Sicherheit sei darüber hinaus eine Frage der Standards beim gemeinsamen Umgang mit Schwachstellen und entsprechenden Patches. Nicht wenige Teilnehmer an der BSI-Sicherheitskonferenz forderten solch einen umfassenden Austausch von Sicherheitsinformationen deshalb auch für die jeweiligen nationalen Cybersicherheitsbehörden. Doch die haben da oftmals von ihren Regierungen ziemlich eng begrenzte Kooperationsvereinbarungen. Eine Situation, die zumindest in Europa schnell überwunden werden sollte, da war das Meinungsbild der in Bad Godesberg versammelten 700 Sicherheitsexperten ziemlich einhellig.
Trojaner über den kleinen Dienstweg stoppen
Kloiber: Nun waren ja auch viele Vertreter nationaler Cybersicherheitszentren auf der BSI-Konferenz vertreten. Wie stark ist denn deren Kooperationsbereitschaft ausgeprägt?
Welchering: Da gibt es eine starke Kooperationsbereitschaft. Aber die jeweiligen Chefs der nationalen Cybersicherheitsbehörden sind eben Beamte beziehungsweise Regierungsangestellte. Und sie sind natürlich an die klaren Weisungen ihrer jeweiligen Regierungen gebunden. Da findet auf dem kleinen Dienstweg in ganz vielen Fällen eine gute Zusammenarbeit statt. Gerade auf diesem kleinen Dienstweg sind zum Beispiel in der jüngeren Vergangenheit Verschlüsselungstrojaner so schnell gestoppt worden, dass sie kein großes Unheil anrichten konnten.
Diese teilweise eher informelle Zusammenarbeit hat dafür gesorgt, dass sehr früh breit angelegte Angriffe erkannt und dann auch zurückgeschlagen worden sind. Auf der Fachebene arbeiten die IT-Sicherheitszentren zusammen in Europa, aber das geht eben auch nur bis zu einem bestimmten Punkt, an dem dann die jeweilige Regierung, der jeweilige Minister sagt, was geht und was nicht mehr geht.
So würden zum Beispiel etliche Cybersicherheitsexperten aus verschiedenen skandinavischen Ländern gern viel enger mit ihren russischen Kollegen zusammenarbeiten, werden aber von ihren Regierungen da gebremst. Und diese Sachbearbeiter haben mir versichert, dass da auf der Fachebene eben unterschiedliche politische Ziele keine Rolle spielen. Es geht um zwei fachliche Ziele: Schwachstellen erkennen und Angriffe abwehren.
Heikle Frage der Angriffsfähigkeit auf fremde Netze
Kloiber: Wie hat sich denn da die Diskussion über den "Hackback" ausgewirkt?
Welchering: Zum einen hat sie zu Nachfragen geführt: Wie soll denn eine solche "aktive Cyberabwehr" eigentlich aussehen? Soll sie reine Gegenschläge beinhalten? Sind Präventivschläge vorgesehen? Ab welchem Indiziengrad bei der Zuordnung eines digitalen Angriffs soll überhaupt zurückgeschlagen werden dürfen?
Hier hat die politische Ebene, sowohl in Deutschland, aber das wird ja auch in Europa diskutiert, eben noch überhaupt keine Antworten, sondern bleibt so ganz allgemein und vage bei der Forderung, dass die Cyberabwehr eine Angriffsfähigkeit auf fremde Netze brauche. Auch wer denn dann diese Angriffsfähigkeit genau haben soll, bleibt bisher unklar.
Der BSI-Umbau und viele offene Fragen
Kloiber: Hat Staatssekretär Krings denn zumindest dieser Frage mitgenommen?
Welchering: Er hat sich der Diskussion nach der offiziellen Eröffnung unter Hinweis auf Terminprobleme entzogen. Und das scheint die Ministeriumsleitung wohl auch in Hinblick auf den Umbau des BSI zu tun. Dieser Umbau steht an, weil das BSI zur Angriffsfähigkeit im Rahmen dieser aktiven Cyberabwehr beitragen soll. Damit einher geht natürlich auch die Frage nach neuen Standorten, die in strukturschwachen Gebieten aufgebaut werden sollen.
Viele BSI-Mitarbeiter sehen das skeptisch. Und sie bekamen sogar Unterstützung von Ulrich Kelber, dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der hob nämlich noch einmal die Clusterfunktion der verschiedenen IT-Sicherheits- und Datenschutzbehörden und ihre Vernetzung mit Unternehmen aus dem IT-Sicherheitsbereich in der Region Bonn hervor. Insofern kommen da jetzt auch noch einige regionale, fast schon kommunale Interessen stärker zum Tragen.
"Die Zeiten des Freischwimmens sind vorbei"
Kloiber: Vor zwei Jahren haben wir von der BSI-Sicherheitskonferenz ja berichtet, dass der Chef des Hauses, Arne Schönbohm, sich gerade ein wenig freischwimme, auf größere Unabhängigkeit vom Innenministerium dränge. Wie verträgt sich das denn jetzt mit seiner eindeutigen Positionierung für eine aktive Cyberabwehr?
Welchering: Ganz einfach: Die Zeiten des Freischwimmens sind vorbei.
Kloiber: Vom BSI-Kongress diese Woche in Bad Godesberg berichtete Peter Welchering, danke.