Informationen teilen

PROTECTOR & WIK: Herr Wagner, wann haben Sie zuletzt die Meldung eines Mitglieds- unternehmens erhalten, dass es gehackt worden ist?

Volker Wagner: Zum Glück ist die ASW Geschäftsstelle nicht die Meldestelle für Cyberangriffe. Dann würden wir bei der Masse der Angriffe nichts mehr anderes tun, als Meldungen aufnehmen. Die Unternehmen aus dem Sektor der kritischen Infrastrukturen müssen nach dem IT-Sicherheitsgesetz an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Der Rest muss gar nicht melden. Und damit sind wir schon bei unseren- Handlungsempfehlungen angelangt. Wir brauchen einen besseren Informationsaustausch. Der öffentliche Sektor und die private Wirtschaft müssen mehr Informationen über Cyberbedrohungen, Verwundbarkeit und Konsequenzen teilen. Durch zentral deutlich leichter zur Verfügung stehende Expertise kann nicht nur die Geschwindigkeit, sondern auch die Qualität einer angemessenen Reaktion erhöht werden. Dazu gehört auch, Ängste abzulegen und zuzugeben, dass man angegriffen wurde.

Das Thema IT-Sicherheit wurde ja in den letzten Jahren verstärkt von Behörden wie BSI oder BfV und auch Unternehmen in den Fokus gestellt, wie beispielsweise am erwähnten IT-Sicherheitsgesetz abzulesen ist. Reichen denn die ergriffenen Maßnahmen nicht aus?

In der Tat haben die Unternehmen und die Sicherheitsbehörden in den letzten Jahren eine Vielzahl von IT-Sicherheitsmaßnahmen eingeleitet, und die Abwehrseite ist immer besser geworden. Das Problem dabei ist aber, dass die Angriffe in der gleichen Zeit an Menge, Frequenz und Intelligenz noch stärker zugenommen haben. Die Bedrohungslage hat sich trotz großer Anstrengungen seitens der Wirtschaft, der Wissenschaft und des Staates verschärft. Wenn man dies berücksichtigt, ist schnell zu erkennen, dass bei der überragenden Bedeutung von IT-Sicherheit für unsere Volkswirtschaft der alleinige Fokus auf die kritischen Infrastrukturen, wie es das IT-Sicherheitsgesetz vorsieht, nicht mehr ausreicht. Darüber hinaus befindet sich die deutsche Wirtschaft mitten im Prozess der digitalen Transformation. Abwehrmaßnahmen und die Sicherheitsinformationstechnologie haben nicht Schritt gehalten mit Cyberangriffen. Für Kriminelle wie auch für fremde Nachrichtendienste sind Cyberangriffe über das Internet hochattraktiv, da eine Vielzahl von Schwachstellen in Softwareprodukten permanent neue Ansatzpunkte für die Entwicklung von Schadprogrammen liefert. Cybersicherheit ist ein entscheidender Erfolgsfaktor, da nur ein notwendiges Maß an Sicherheit für Anwender und Kunden Vertrauen in die Digitalisierung schafft.

Was war nun konkret der Auslöser zur Erstellung dieses White Papers?

Der Auslöser war natürlich der anstehende Koalitionsvertrag einer neuen Bundesregierung. Wir erwarten, dass sich die Bundesregierung entsprechende Maßnahmen zur Verbesserung der Cybersicherheit in ihrem Regierungsprogramm vornimmt. Und hierzu wollen wir konstruktiv mit Handlungsempfehlungen beitragen.

Wo sehen Sie Handlungsbedarf seitens des Staates?

Auf Seiten des Staates sehen wir sechs wichtige Handlungsfelder. Davon hat ein Thema eine besondere Bedeutung. Die Meldepflicht für kritische Schwachstellen in Software und die Verpflichtung für Software-Updates sowie Haftung bei Nicht-Behebung. Das ist so wichtig, weil es derzeit keine Haftung für fehlerhafte Software gibt. Es sollte jedoch ein Haftungsanspruch entstehen, wenn bekannte Schwachstellen und Fehler nicht behoben werden. Wenn eine Behörde oder ein Unternehmen eine Schwachstelle erkennt, über die man in ein IT-System einbrechen könnte, sollte dies meldepflichtig sein. Die Haftung könnte nach folgendem Leitgedanken geregelt werden: Hersteller und Betreiber haften für unterlassene Software Updates, Verbraucher haften für nicht eingespielte Patches, Restrisiken werden über Risikogemeinschaften in Cyberversicherungen abgedeckt.

Aber ein „nationaler“ Alleingang wird da sicher nicht ausreichen. Wie stellen Sie sich die Zusammenarbeit mit anderen Staaten vor?

Es ist natürlich klar, dass das Internet nicht an den Grenzen Deutschlands endet. Deswegen brauchen wir eine Stärkung internationaler politischer Zusammenarbeit zur Bekämpfung der Cyberkriminalität. Im Rahmen der Cyberaußenpolitik muss sich die Bundesregierung dafür einsetzen, dass jeder Staat seine Bemühungen zur Erhöhung der Cybersicherheit intensiviert und kritische IT-Infrastrukturen besser gegen Attacken geschützt werden sowie intensiv gegen Cyberkriminalität vorgegangen wird. Mittelfristiges Ziel muss die Verabschiedung eines verbindlichen Abkommens für verantwortliches Handeln im Cyberraum sein.

Und gibt es auch Handlungsbedarf in den Unternehmen? Unterscheiden Sie hier zwischen den Großkonzernen und den kleinen und mittleren Unternehmen (KMU)?

Wir müssen den KMU eine bessere Unterstützung geben, da sie sich nicht die Abwehrkapazitäten wie Großkonzerne aufbauen können. Dabei sind die Computer Emergency Response Teams (CERT) ein entscheidendes Element zur konkreten Gefahrenabwehr. Das BSI hat hier schon erfolgreich den CERT-Verbund aufgebaut. Weitere CERTS müssen in der Wirtschaft noch zusätzlich eingerichtet werden, insbesondere bei den KMU. Bei diesen sind mangelnde Ressourcen jedoch oftmals ein Hinderungsgrund. Eine mögliche Lösung wäre, dass lizensierte IT-Dienstleister diese Aufgaben übernehmen.

Sind die KMU tatsächlich besonders gefährdet? Es gibt auch die gegensätzliche Einschätzung, dass viele „Kleine“ ihre Hausaufgaben gemacht haben, bei vielen “Großen“ dagegen eine oft unübersichtliche Struktur der IT-Verantwortlichkeiten für Lücken sorgt. Wie ist Ihre Einschätzung?

Ich sehe generell schon, dass die Großkonzerne sich besser schützen können. Aber wie das so ist mit den Praxisfällen: Man findet für jede Theorie ein gutes Beispiel, da immer wieder Hacks bei den Kleinen und den Großen bekannt werden. Es bleibt also noch insgesamt viel zu tun.

Zusammengefasst bedeuten all diese Maßnahmen aber ein stärkeres „Einmischen“ des Staats – in die Wirtschaft, aber auch bis in die Privathaushalte hinein. Glauben Sie, dass dies bei einer möglichen Jamaika-Koalition durchsetzbar ist?

Auf eine Prognose einer zukünftigen Koalition möchte ich mich zum Zeitpunkt dieses Interviews nicht festlegen. Diese muss von den gewählten Volksvertretern gebildet werden. Die anstehende Digitalisierung wird unsere Gesellschaft und Wirtschaft massiv verändern. Dies darf nicht nach Wild-West-Manier passieren, stattdessen muss diese Transformation gestaltet werden. Daher dürfen wir von unserer Regierung schon erwarten, dass sie die entsprechenden gesetzlichen „Sicherheitsleitplanken“ im Cyberbereich zur Verfügung stellt. Ich möchte daher von Ausgestaltung statt Einmischung reden.

IT-Sicherheit ist ein wesentlicher Faktor für den Wirtschaftsschutz, Sie haben die Digitalisierung bereits erwähnt. Wie können die beiden Bereiche besser miteinander verzahnt werden?

Wir sehen eine immer stärkere Konvergenz von realen und Cyberangriffen. Die Angriffe gehen vielfach von ungestörten Rückzugsräumen aus dem Ausland aus – häufig auch mit einem korrespondierenden Innentäter innerhalb des Unternehmens. Reine IT-Sicherheit reicht daher nicht aus. Ein wichtiger Schritt wäre die Angleichung der Anmeldeprozeduren der Initiativen für deren Informationsportale. Zudem fehlen es der Allianz für Cybersicherheit, der Initiative IT-Sicherheit in der Wirtschaft und insbesondere der Initiative Wirtschaftsschutz an Bekanntheit und Reichweite. Gerade bei KMU muss die Wahrnehmung weiter gestärkt werden. Eine bundesweite Awareness-Kampagne könnte hier die nötige Aufmerksamkeit erzielen. ASL