Jasper Barenberg: Egal ob es um den Staat geht, um Wirtschaftsunternehmen oder um uns Nutzer; die Bedrohung durch Cyber-Angriffe wächst rapide. Durch die Digitalisierung wird die Angriffsfläche immer größer, die Attacken werden außerdem flexibler und auch professioneller. Und obwohl Innenminister Horst Seehofer in der Abwehr von Cyber-Angriffen Deutschland an der Weltspitze sieht; mit einem neuen Gesetz zur IT-Sicherheit will er den Behörden neue Befugnisse geben, er will das Personal verdoppeln, Auflagen für Hersteller von IT-Technik erlassen und auch härtere Strafen für Kriminalität im Netz.
Wie gut ist Deutschland gegen Cyber-Angriffe gerüstet? Diese Frage steht ab heute auch im Mittelpunkt einer Konferenz am Hasso-Plattner-Institut in Potsdam. Große Unternehmen wie Google oder Siemens sind dort ebenso vertreten wie die deutschen Sicherheitsbehörden, darunter Holger Münch, der Präsident des Bundeskriminalamtes. Gastgeber ist der Direktor des Hasso-Plattner-Instituts, Christoph Meinel. Er ist jetzt am Telefon. Schönen guten Morgen, Herr Meinel.
Christoph Meinel: Guten Morgen.
"Grenzen verschwimmen im Cyber-Raum"
Barenberg: Es gibt die Gefahren, es gibt ja durchaus schon Erfahrungen mit spektakulären Angriffen, etwa auf das Regierungsnetz in Berlin. Muss man unterm Strich trotzdem sagen, beim Thema Cyber-Sicherheit sind wir alle noch viel zu sorglos?
Meinel: Wir erleben durch Angriffe, wo es gelingt, zum Beispiel die Einwahldaten, die Passwörter von Nutzern zu stehlen, und die Hacker, die veröffentlichen die dann und tauschen die und machen Geschäfte damit, und wenn wir das analysieren, sehen wir, dass doch sehr, sehr viele Netzteilnehmer sehr sorglos umgehen mit ihren Identitäten. Die Unternehmen sind unterschiedlich gut aufgestellt. Es ist ja eine sehr hohe Professionalität erforderlich, jetzt die modernen technischen Cyber-Security-Maßnahmen zu treffen und zu pflegen. Die großen Unternehmen sind da sicherlich im Vorteil, wie Siemens und Telekom mit großen Cyber-Security-Mannschaften. Die mittelständische Industrie hat es schwerer, weil da natürlich die Sicherheitsabteilungen kleiner sind und mehr universell arbeiten.
Barenberg: Und was ist mit dem Staat?
Meinel: Der Staat tut jetzt in den letzten Jahren sehr viel auf den ganz unterschiedlichen Ebenen. Interessant ist – und das ist auch ein wichtiger Grund für unsere Cyber-Security-Konferenz, die wir in diesem Jahr zum 7. Mal durchführen -, die verschiedenen Akteure zusammenzubringen. Staat alleine kann es nicht richten, die Unternehmen alleine können es nicht richten, sondern das sind ganz neue Bedrohungen in diesem Cyber-Raum, wo auch die Grenzen verschwimmen zwischen den einzelnen Playern. Dort ein Netzwerk herzustellen, dort sich gemeinsam zu informieren, was läuft aktuell, was haben wir gerade beobachtet, was sind unsere neuen Ideen für Schutzmaßnahmen, das ist ein ganz wesentlicher Punkt für unsere Konferenz.
"Stolz, den CEO von Huawei zu unserer Konferenz zu bringen"
Barenberg: An der Schnittstelle zwischen Sicherheitsbehörden und Wirtschaft geht es ja auch gerade um diesen Streit mit dem chinesischen Netzwerk-Ausrüster und Smartphone-Anbieter Huawei. Sie haben einen hochrangigen Vertreter von Huawei heute vor Ort in Potsdam. Würden Sie sagen, beim Ausbau der technischen Infrastruktur hier in Deutschland ist das Misstrauen, das wir gespürt haben, wirklich angebracht?
Meinel: Wir sind zunächst mal stolz, dass wir es geschafft haben, den CEO von Huawei zu unserer Konferenz zu bringen, damit er mit den anderen Vertretern aus Staat – es sind alle Präsidenten der deutschen Sicherheitsbehörden da, es sind der Chief Security Officer von SAP, der Chef der Telekom-Sicherheit, viele Unternehmen da -, dass die ins Gespräch kommen. Das wird wohl nicht sehr öffentlich sein, dieses Gespräch, weil natürlich die Themensetzung aus den USA heraus stattfindet. Es ist die Frage, ob es ein Verbot gibt, mit Huawei zu arbeiten. Das hat dann noch mal gar nichts mit den Inhalten und den Verdächtigungen zu tun. Das Problem ist: Bei komplexer Software wird es immer schwerer festzustellen, ob dort irgendwelche – ich nenne das jetzt mal einfach Hintertüren – Dinge sind, wo Information abfließen kann, in welche Richtung auch immer.
Barenberg: Hat die Bundesregierung da ein ausreichendes Problembewusstsein?
Meinel: Das Problembewusstsein ist da. Das ist ja jetzt sogar öffentlich, die Diskussion, sehr geschürt. Es ist einerseits die Frage, welche Hardware-Teile setzt man ein. Aber auf der anderen Seite: Sicherheit wird dann über diese Software hergestellt, die auf dieser Hardware läuft. Kann man sich relativ unabhängig machen von der Hardware, indem man eine Sicherheitsschicht darüber legt? Das sind alles Themen, die diskutiert werden. Da gibt es Ideen.
Vielleicht lassen Sie mich auf einen Punkt eingehen. Heute ist Verfassungstag und es ist das erste Mal und auch zufällig, dass unsere Konferenz am Verfassungstag stattfindet. Die Verfassung zu schützen, zu leben, da gibt es eine neue Dimension, nämlich das auch im Cyber-Raum zu machen. Das wird der Gesellschaft immer bewusster und auch das wird heute ein Thema sein, wo wir diskutieren aus der Zivilgesellschaft, Wirtschaftsvertreter, Politik.
"Wir kennen den Cyber-Raum noch gar nicht genau"
Barenberg: Der Bundesinnenminister Horst Seehofer will ja das Bundesamt für die Sicherheit der Informationstechnik gewissermaßen zur zentralen Behörde für Cyber-Sicherheit ausbauen mit dann am Ende über 10.000 Mitarbeitern. Ist das auch dringend nötig, weil im Moment noch eine ganze Vielzahl von Behörden mit diesem Thema befasst sind? Brauchen wir diese Fokussierung?
Meinel: Es wird immer klarer, dass es nicht ausreicht, das Netz der Bundesregierung sicher zu halten. Das war ja die vornehmliche Aufgabe des BSI. Sondern, dass, um dort Sicherheit herzustellen, ein viel größerer Themenbereich bedacht und bearbeitet werden muss. Insofern ist das eine gute Entwicklung, dass der Staat konzentriert seine Anstrengungen und auch den Umfang seiner Anstrengungen erweitert, uns, die Gesellschaft, auch die deutsche Wirtschaft, die europäische Wirtschaft zu schützen im Cyber-Raum. Die Schwierigkeit ist, dass wir den Cyber-Raum noch gar nicht genau kennen. Da werden neue Angriffe gefahren, wir müssen die analysieren. Wir verstehen: Aha, auch von dorther ist Angriff möglich. Das heißt, es ist eine sehr dynamische Entwicklung und da braucht es viele Fachkräfte, die sich damit befassen, und insofern finde ich das gut. Es wird auf der anderen Seite aber nicht ganz leicht sein, diese Fachkräfte tatsächlich zu finden.
"Regulierung nicht auf die Ewigkeit anlegen"
Barenberg: Braucht es neben Fachkräften auch mehr Befugnisse für Behörden? In der Diskussion ist ja zum Beispiel die Befugnis, fremde Geräte wie PCs oder Router aus der Ferne zu prüfen und Internet-Verkehr zu manipulieren. Eine gute Idee?
Meinel: Da gibt es ja immer viel auch öffentliche Diskussion. Wenn man sich dann konkrete Verdachtsfälle anguckt, konkrete Cyber-Angriffe analysiert, stellt man fest, dass man zum Teil mit den alten Regelungen hätte gar nichts machen können, die zu verhindern. Deswegen geht es dann darum nachzudenken, wie hätte man denn das entdecken können, wie hätte man es schützen können, wie hätte man es verhindern können. Auch das ist ein Lernprozess, den die Gesellschaft durchgehen muss. Nicht manche Befürchtung, die da im Vorfeld bei der Diskussion neuer Maßnahmen stattfindet, muss sich dann auch bewahrheiten. Ich glaube, was wir lernen müssen im Bereich der Digitalisierung, im Bereich des Cyber-Raums, Regulierung nicht auf die Ewigkeit anzulegen, sondern bei solchen Überlegungen immer zum Beispiel Enddatum nach zwei Jahren, so dass die Bestimmung dann nach zwei Jahren nicht mehr Gültig ist, wenn sie nicht verlängert wird, wenn nicht analysiert wird, hat es was gebracht oder nicht, oder mit Experimentierklauseln auch sehen. Das ist auch für den Forschungsbereich wichtig, weil manche Regulierung zu starr dann auch positive Dinge unterbindet.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.