Archiv

Cyberattacken
"Meldepflichten sind ein Mittel"

Der SPD-Politiker Christian Flisek hat die geplante Meldepflicht von Cyberattacken auf Unternehmen verteidigt. Sie allein könne Hackerangriffe nicht verhindern, aber einen Überblick über die Gefährdungslage geben, sagte Flisek im DLF. Es gebe ein weites Feld von Motivationen für solche Attacken.

Christian Flisek im Gespräch mit Thielko Grieß |
    Christian Flisek, SPD-Obmann im NSA-Untersuchungsausschuss
    Christian Flisek, SPD-Obmann im NSA-Untersuchungsausschuss (dpa / Bernd von Jutrczenka)
    Hackerangriffe wie der auf den französischen Senderverbund TV5 Monde seien nichts Neues, sagte der SPD-Bundestagsabgeordnete Christian Flisek im DLF. Er erinnerte daran, dass es Anfang des Jahres einen Angriff auf die Internetseite der Bundesregierung gegeben hatte, mutmaßlich aus der Ukraine.
    Das IT-Sicherheitsgesetz, über das derzeit im Bundestag beraten wird, sei ein erster wesentlicher Schritt, um über das Ausmaß und die Art der Attacken mehr zu erfahren, so Flisek. Für die Sicherheit der digitalen Infrastruktur seien die Eigentümer zuständig. Der Staat müsse die Rahmenbedingungen dafür schaffen.
    Bei der Meldepflicht von Cyberattacken gehe es vor allem darum, Informationen von betroffenen Privatunternehmen zu bekommen - anonym. Diese machten Hackerangriffe auf sie häufig nicht oder nur mit Verzögerung publik. Untersuchungen zufolge entstünde aber jährlich ein Schaden von 40 Milliarden Euro durch Cyberattacken auf Unternehmen in Deutschland. "Das sind Schätzungen", betonte Flisek, "wir müssen Fleisch an den Knochen bekommen." Dabei gelte es, zwischen den Unternehmensinteressen und dem Informationsbedürfnis abzuwägen. Man müsse nicht unbedingt immer "Ross und Reiter" nennen. Wichtig sei die Erkenntnis darüber, um was für einen Angriff es sich handele.

    Thielko Grieß: Es ist noch nicht klar, ob die Terrormiliz Islamischer Staat selbst so gute IT-Kämpfer in seinen eigenen Reihen hat, die es geschafft haben, den französischen Sender TV5 Monde lahmzulegen, oder ob sie das Know-how, das Wissen für diesen Angriff irgendwo gekauft haben. Klar ist aber, der IS hat es geschafft, seine Botschaften mitten nach Europa zu tragen, wie es kaum wirkmächtiger hätte sein können. Dieser Angriff auf den französischen Sender wirft Fragen auf, nämlich: Könnte das hier auch in Deutschland passieren, Botschaften des IS im ZDF zum Beispiel oder im Deutschlandfunk? Das wäre für Sie und uns nicht schön, aber gefährlicher wäre es natürlich, wenn Angreifer von außen Infrastrukturen ausschalteten, die dann doch lebensnotwendiger sind, Kraftwerke zum Beispiel, Krankenhäuser oder Flughäfen. Am Telefon begrüße ich Christian Flisek, den Fachpolitiker für Digitales bei der SPD, Obmann seiner Fraktion im Untersuchungsausschuss zur NSA-Affäre. Herr Flisek, guten Morgen!
    Christian Flisek: Guten Morgen, Herr Grieß!
    Grieß: Zunächst einmal ganz grundsätzlich gefragt: Schutz vor Angriffen aus dem Digitalen, ist das eine staatliche oder eine private Aufgabe?
    Flisek: Es ist sowohl eine staatliche als auch eine private Aufgabe. Zunächst einmal sind natürlich die Eigentümer von IT-Infrastrukturen verantwortlich für die Sicherheit und für die Integrität der von ihnen betriebenen Infrastruktur. Wenn das Privatunternehmen sind, dann liegt die Pflicht beispielsweise hier bei den Unternehmen. Aber natürlich ist auch der Staat selber Betreiber von solchen Infrastrukturen, das heißt, er ist da dann in seiner Eigentümerrolle gefragt. Und schlussendlich ist der Gesetzgeber gefragt. Er kann und muss Rahmenbedingungen, gesetzliche Rahmenbedingung für die IT-Sicherheit zur Verfügung stellen.
    Grieß: Also Sie schlagen eine Zusammenarbeit und ein Zusammengehen beider Seiten vor. Nun ist im Bundestag schon die erste Lesung des sogenannten IT-Sicherheitsgesetzes gelaufen. Darin soll enthalten sein, also das Gesetz soll dazu dienen, IT-Sicherheit in Deutschland zu stärken und anzuheben, und drin enthalten ist eine Meldepflicht, allerdings nur für kritische Infrastrukturen. Wir sprechen gleich darüber, was das ist, aber zunächst einmal, was es nicht ist. Also, wenn ein TV-Sender, Radiosender, wer auch immer gekapert werden würde, würde das nicht unter dieses Gesetz fallen und dessen Konsequenzen. Warum nicht?
    Meldepflichten verhindern keine Cyberattacken
    Flisek: Zunächst mal ist festzuhalten, dass die jetzige Regierung in ihrem Koalitionsvertrag das Thema IT-Sicherheit an zentraler Stelle im Koalitionsvertrag positioniert hat und dass dieses IT-Sicherheitsgesetz, das jetzt tatsächlich im Bundestag in der Lesung ist, ein erster wesentlicher Schritt in diese Richtung ist. Die Meldepflichten, die Sie angesprochen haben, halte ich für wesentlich, weil sie den staatlichen Stellen einen Überblick geben, einen substantiierten Überblick gegen über die Gefährdungslage in diesem Bereich. Ohne den kommen wir nicht aus, aber ich bin mir auch im Klaren, dass reine Meldepflichten allein Cyberattacken nicht verhindern werden, sondern sie sind nur ein Mittel, ein Instrument, um überhaupt eine profunde Gefährdungslage einschätzen zu können.
    Grieß: Lassen Sie mich kurz einfügen, Herr Flisek, die Meldepflichten sollen dann oder die Meldung soll dann gemacht werden, wenn es einen sogenannten kritischen Vorfall gibt. Was ist ein kritischer Vorfall?
    Flisek: Nun ja, wir haben in dem Gesetz natürlich Rechtsbegriffe, die auch zu Recht im Gesetzgebungsverfahren diskutiert werden: Was ist ein kritischer Vorfall, was insgesamt sind kritische Infrastrukturen? Ich neige dazu, dass man sich das jetzt auch noch mal sorgfältig im Bundestag anschaut. Wir haben hierzu Anhörungen vorgesehen, und im Zusammenhang mit der parlamentarischen Befassung dieses Gesetzes werden wir natürlich die aktuellen Vorfälle noch einmal mit einbeziehen müssen. Man darf jetzt das auch nicht übertreiben. Das, was jetzt in Frankreich passiert ist, ist ja jetzt nichts völlig Neues. Wir hatten zum Beispiel auch in Deutschland Anfang des Jahres einen Angriff, der ursprünglich wohl aus der Ukraine kam, auf die Internetseite der Bundesregierung. All diese Dinge passierten bereits in der Vergangenheit, auch insbesondere als Obmann im NSA-Untersuchungsausschuss, ist es wichtig, dass wir das ganze Thema nicht nur reduzieren auf die Frage staatlicher Überwachung. Sondern das Thema ist viel komplexer.
    Grieß: Wer reduziert es denn auf staatliche Überwachung?
    Flisek: Wir neigen beim NSA-Untersuchungsausschuss beispielsweise dazu, so zu tun, als ginge die Gefahr für Bürgerrechte oder beispielsweise auch für die Betriebsgeheimnisse von Unternehmen allein durch staatliche Überwachung, allein durch Geheimdienste aus. Das ist ein Teilaspekt. Wir sehen, dass wir im Bereich der Cyberattacken ein kriminelles Umfeld haben, das weit gestreut ist, von Onlinebetrügern, das geht über Wirtschaftsspionage bis hin zu gezielten Angriffen, andere sprechen da auch schon teilweise von kriegsähnlichen Zuständen, die stattfinden, oder Szenarien denkbar sind, die in diese Richtung gehen. Das heißt, das ist ein sehr weites Feld von Attacken, das ist ein sehr weites Feld von Motivationen und Akteuren.
    Grieß: Lassen Sie uns dieses weite Feld ein wenig eingrenzen noch einmal mit einer konkreten Frage. Unternehmen müssen, wenn sie irgendwie als kritisch gelten oder als wichtig gelten - wir haben jetzt nicht genau definiert, was das eigentlich sein soll, Krankenhäuser gehören wohl dazu - es eben melden künftig, wenn eine Störung vorliegt. Behörden müssen das nicht. Warum nicht?
    Flisek: Genau das sind auch die Punkte, die wir uns anschauen müssen. Ich denke, der Staat, wenn er selber Betreiber von Infrastrukturen ist und die Infrastrukturen, die IT-Infrastrukturen, die der Staat betreibt, sind zum großen Teil natürlich kritische Infrastrukturen, sie sind essenziell für das Funktionieren unserer Volkswirtschaft, für das Funktionieren unseres Netzes, der digitalen Gesellschaft, dann ist auch der Staat natürlich grundsätzlich verpflichtet, hier dafür zu sorgen, dass solche Angriffe auch gemeldet werden. Man kann nicht einfach davon ausgehen, dass so was dann bekannt ist. Aber das IT-Sicherheitsgesetz hat natürlich eine andere Stoßrichtung momentan. Es hat die Stoßrichtung, dafür zu sorgen, dass wir Informationen aus dem Bereich der Privatunternehmen vor allen Dingen bekommen, weil wir einfach hier einen großen Graubereich bisher haben. Sie müssen sich vorstellen, dass grundsätzlich ein Unternehmen, das einem Cyberangriff ausgesetzt ist, damit sozusagen nicht gleich in die Öffentlichkeit geht, weil das sind natürlich Dinge, die sind unangenehm, man weiß eigentlich nicht am Anfang, was für ein Ausmaß hatte das, und welche Konsequenzen hat das. Und wenn man den Schritt an die Öffentlichkeit geht, dann ist das oft sehr zeitlich verzögert.
    Grieß: Aber man könnte ja auch anders –
    Flisek: Lassen Sie mich noch einen Satz sagen. Das passt halt nicht damit zusammen, dass zum Beispiel wir allein in Deutschland schätzungsweise 40 Milliarden Euro jedes Jahr Schaden haben durch Cyberangriffe allein im Bereich der Privatwirtschaft. Wenn man den Staat fordert und sagt, er muss hier Gefahrenabwehr betreiben, dann braucht er auch eine substantiierte Entscheidungslage.
    Grieß: Herr Flisek, jetzt haben Sie gerade gesagt, Sie wissen eigentlich sehr wenig, oder man weiß sehr wenig über die Angriffe, die stattfinden auf die Privatwirtschaft, aber eine Zahl zum Schaden hatten Sie schon parat. Wie passt denn das zusammen?
    Hacker brüsten sich mit Angriffen
    Flisek: Es sind Schätzungen. Wir haben natürlich verschiedene Untersuchungen, die sich anschauen, was passiert in der Szene. Ich sag mal so, oft sind ja auch solche Cyberattacken Dinge, mit denen sich die Hacker brüsten. Das sind Dinge, die zum Teil publik werden. Und solche Studien, solche Schätzungen von verschiedenen Instituten kommen dann auf solche Zahlen. Aber wie gesagt, das sind Schätzungen, es sind Hochrechnungen. Und uns ist natürlich auch daran gelegen, dass wir einfach Substanz, dass wir Fleisch an den Knochen bekommen und dass wir wissen, über welches Ausmaß reden wir und über welche Art von Attacken. Und genau in diese Zielrichtung geht natürlich das IT-Sicherheitsgesetz.
    Grieß: Warum sollten denn diese Meldungen anonym bleiben? Nehmen wir andere Vorfälle, die jetzt nichts mit Cyber zu tun haben. Aber wenn ein Atomkraftwerk einen Störfall hat, dann wird das auch veröffentlicht. Und ich meine, ähnlich gefährlich kann es natürlich sein, wenn ein Kraftwerk von außen digital angegriffen wird. Warum kann man über so etwas nicht öffentlich diskutieren?
    Flisek: Sie haben ja selber gesagt, dass die Unternehmen, die im Wesentlichen Adressaten auch der Meldepflichten sind, das Ganze sehr kritisch diskutieren und sich anschauen, was kommt da an Pflichten auf sie zu. Und das Ganze ist eine sorgfältige Abwägung zwischen den, ich sage mal auch, Integritätsinteressen des Unternehmens. Jedes Unternehmen hat natürlich ein Interesse und auch ein Recht darauf, nicht gleich mit Namen an die Öffentlichkeit gezogen zu werden.
    Grieß: Genau. Aber gemeinsam voneinander zu lernen, ist ja auch zwar ein anderer Ansatz, aber keine schlechte Idee.
    Flisek: Das ist ja dann auch auf der Grundlage des IT-Sicherheitsgesetzes nach meinem Dafürhalten möglich, weil man zum einen eben die entsprechenden Informationen bekommt, weil beispielsweise das BSI, das Bundesamt für die Sicherheit in der Informationstechnik in der Lage ist, diese Dinge dann auszuwerten. Das Innenministerium hat eine klare Gefährdungslage und kann darauf reagieren. Und insofern ist es in erster Linie gar nicht so wichtig, dass Ross und Reiter namentlich bekannt sind, sondern es ist wichtig, was für ein Angriff ist das, welches Ausmaß hat dieser Angriff und welche Maßnahmen sind übernommen worden beziehungsweise gibt es irgendwelche Lücken.
    Grieß: Christian Flisek war das, SPD-Obmann im NSA-Untersuchungsausschuss und deswegen auch befasst mit Fragen digitaler Angriffe, Cyberangriffe, heute Morgen bei uns im Deutschlandfunk. Herr Flisek, Danke schön für Ihre Einschätzungen und Argumente!
    Flisek: Vielen Dank für das Gespräch, Herr Grieß!
    Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.