Veranstaltungsberichte

Wie sicher ist das Netz wirklich?

Ein Überblick über Chancen und Risiken der Digitalisierung für Wirtschaft, Gesellschaft und Politik

BMI, BSI und BfV: Das ist keine Zeile aus einem deutschen Rap-Song, sondern nur drei der vielen Akteure auf dem Gebiet der Cybersicherheit. Mit einer kurzen Einführung zu den zahlreichen beteiligten Stellen starteten 22 Stipendiaten und Stipendiatinnen in ein viertägiges Seminar rund um die Bedrohungen aus dem Netz.

Die wirtschaftlichen Schäden durch Cyberspionage

Der vertiefte Einstieg in das Thema begann mit einem Vortrag von Barbara Engels vom Institut der deutschen Wirtschaft Köln e.V. Sie beschrieb die wirtschaftlichen Auswirkungen der Cyberkriminalität auf die deutsche Industrie. Ein Angriff aus dem Netz verursache einerseits direkte Kosten wie etwa jene für die Prüfung der betroffenen Systeme oder für deren Wiederherstellung. Andererseits fielen oft auch indirekte Kosten an, zum Beispiel durch Imageschäden infolge eines Hackerangriffs. Auch volkswirtschaftlich wirke sich diese Form der Kriminalität aus: So gingen Arbeitsplätze verloren und Unternehmen würden weniger innovations- und wettbewerbsfähig. Abschließend rief Engels Unternehmen dazu auf, in die Vermeidung solcher Angriffe zu investieren: „Die IT-Sicherheit ist der Autogurt der digitalen Wirtschaft.“

Cyberangriffe in Deutschland

„Digitale Spionage in Form von Cyberangriffen richtet sich nicht ausschließlich gegen deutsche Wirtschafts- und Forschungseinrichtungen, sondern auch gegen staatliche Institutionen in Politik und Verwaltung. Das Interesse gilt Deutschland als weltpolitischem Akteur, als NATO- und EU-Mitglied und schließlich auch seiner Wirtschaftskraft und seinen innovativen Unternehmen“, erläutert Mesic, Referatsleiter beim Bundesamt für Verfassungsschutz. Sein Referat ist u.a. zuständig für die Analyse von Cyberangriffen auf Wirtschafts- und Forschungseinrichtungen.

Cyberangriffe machten zwar nur einen Bruchteil der gesamten Internetkriminalität aus, seien aber dafür umso folgenreicher. Während sich Spione früher physisch in die Unter-nehmen einschleusen mussten, können sie sich heute über weite Strecken bzw. von an-deren Kontinenten in fremde IT-Infrastruktur einhacken und mit einem Schlag Millionen von Daten entwenden (z.B. Blaupausen für Maschinen, Datensätze von Kunden oder interne Umsatzzahlen) oder gar Sabotage der IT-Infrastruktur vornehmen. Neben Unternehmen seien aber auch die Rechner der Bundesregierung immer wieder im Fokus. „Die Angriffe häufen sich kurz vor wichtigen Gipfeln, bspw. G7-/G20-Gipfel, weil es große Vorteile bringt, bereits im Vorfeld die Verhandlungsposition der

anderen Seite zu kennen“, sagte Mesic. Deshalb arbeite das BfV eng mit politischen Akteuren, der Wirtschaft sowie Forschungseinrichtungen zusammen, um sie für die Gefahren staatlicher Angriffe aus dem Cyberraum zu sensibilisieren.

Die neue Cybersicherheitsstrategie der Bundesregierung

Der zweite Tag begann mit dem Blick auf einen blauen Sperrbildschirm mit zahlreichen Tipps zur eigenen Daten-Sicherheit. Der erscheint standardmäßig auf den Rechnern des Bundesministeriums des Innern (BMI) und fordert dessen Mitarbeiter zum Beispiel auf, ihren Computer und den Sicherheitstoken getrennt aufzubewahren. „Sicherheit ist nicht etwas, was man Ihnen gibt, sondern etwas, an dem sie selbst arbeiten müssen“, erklärte Susanne von Burstin vom BMI diese IT-Sicherheitsmaßnahme. Sie begrüßte die Stipendiaten und Stipendiatinnen im Ministerium und erklärte ihnen dessen Aufgaben, Aufbau und Arbeitsweise.

Anschließend stellte ihr Kollege Dr. Philipp Spauschus die neue Cybersicherheitsstrategie der Bundesregierung vor. Bereits 2011 sei die erste Strategie dieser Art verabschiedet worden. Diese habe zum Beispiel den Anstoß für das IT-Sicherheitsgesetz und für die Einrichtung des Cybersicherheitsrates gegeben. Angesichts des technischen Fortschritts in den vergangenen Jahren sei 2016 eine neue Strategie vorgestellt worden, die etwa 30 Maßnahmen auf diesem Gebiet enthalte. So solle zum Beispiel die digitale Bildung ausge-baut und auf europäischer wie internationaler Ebene an Cyberpolitik mitgewirkt werden. Darüber hinaus erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Auftrag, allgemeine Regeln der Cybersicherheit für die Betreiber kritischer Infrastrukturen festzulegen und zu kontrollieren.

Bundestagswahl 2017: Beeinflussung durch Hacker?

Die Herausforderungen digitaler Technologien für die Bundestagswahl 2017 erläuterte Thomas Jarzombek, digitalpolitischer Sprecher der CDU/CSU-Bundestagsfraktion. Er ver-wies darauf, dass Hacker bereits 2015 das Computernetz des Deutschen Bundestages angegriffen und u. a. vertrauliche E-Mails erbeutet haben. „Ich halte es nicht für ausgeschlossen, dass manches davon kurz vor der Wahl auftauchen könnte“, sagte Jarzombek. Er nannte als Beispiel die US-Wahlen, wo die Präsidentschaftskandidatin Hillary Clinton unter Druck geriet, als ihre privaten E-Mails kurz vor der Wahl veröffentlicht wurden. Eine zweite Herausforderung sieht er im sogenannten Micro-Targeting über soziale Netzwerke. Bei dieser Strategie werden anhand demographischer, religiöser oder politischer Daten Zielgruppen generiert und selektiv angesprochen. „Damit kann man sowohl Wähler informieren, aber auch gezielt die Hochburgen des politischen Gegners demoralisieren“, erklärte Jarzombek. Die Wähler müssten deshalb über diese Mechanismen aufgeklärt werden, damit sie informierte Entscheidungen treffen könnten.

Cybersecurity - besondere Risiken und Hochsicherheitsansätze

Technisch wurde es anschließend im Vortrag von Dr. Sandro Gaycken, dem Direktor des Digital Society Institute Berlin und Dozent an der European School of Management and Technology (ESMT) Berlin. Dem Titel seiner Präsentation - „Spionage, Sabotage, Manipu-lation - Wie uns der Computer verwundbar macht“ - entsprechend, nannte er zahlreiche Praxisbeispiele für Cyberkriminalität. So stellte Gaycken etwa fest: „Ordinäre Kriminelle erkennen die Cyberkomponente ihres Geschäfts.“ Piraten hackten sich zum Beispiel in die Frachtlisten der Schiffe, die sie kapern wollten, Staaten betrieben militärische Sabotage und Unternehmen sabotierten ihre Mitbewerber, um an deren Stelle lukrative Aufträge zu bekommen. Positiv bewertete Gaycken, dass die deutsche Industrie sich heute besser schützt als noch vor einigen Jahren. Kritisch merkte er dagegen an, dass die zuständigen staatlichen Stellen sich sehr um die IT-Sicherheit der Bürger kümmerten und zu wenig um jene in Wirtschaftsunternehmen, denen durch Cyberangriffe hohe Schäden entstünden.

Cyber-Sicherheit in Deutschland: Probleme, Maßnahmen, Vergleich zu anderen Ländern

Der Cyber-Sicherheitsrat Deutschland e.V. hat sich zum Ziel gesetzt, den Austausch von Akteuren aus Politik, Wirtschaft und Wissenschaft zu organisieren. „Noch nicht alle im Bereich Cybersecurity reden im nötigen Maße miteinander“, sagte Arina Vuletic. Der Verein organisiere deshalb Workshops, Vorträge und Cyber-Frühstücke, um Experten aus unterschiedlichen Gebieten ins Gespräch zu bringen. Bei der digitalen Sicherheitsstrategie der Bundesregierung sieht Vuletic noch Konkretisierungsbedarf: Es sei beispielsweise noch nicht klar, wie hoch die deutschen Ausgaben für Cyber-Sicherheit jährlich sind. Die europäische Vernetzung im Bereich der Cyber-Sicherheit hat parallel große Priorität und wird vom Verein durch die Gründung von internationalen Repräsentanzen vorangetrieben.

Die Rolle und die Entwicklung des Cyber- und Informationsraums bei der Bundeswehr

Flugzeuge, U-Boote - und jetzt das Internet: Schon früher haben disruptive Technologien die Kriegsführung grundlegend verändert, so Oberstleutnant i.G. Lars Bibow zu Beginn seines Vortrags. Welche Rolle das Netz bei der Verteidigung Deutschlands spiele, sei daran zu erkennen, dass im Bundesministerium der Verteidigung (BMVg) im vergangenen Jahr eine eigene Abteilung hierfür eingerichtet wurde, deren Leiter den Titel „Chief Information Officer“ trage.

Mit einem neuen Weißbuch hat die Bundesregierung in 2016 unter Federführung des BMVg außerdem ein Grundlagendokument zur Verteidigung Deutschlands verfasst, dass die gestiegene Bedeutung der Cyber-Verteidigung betont. So solle zum Beispiel die Widerstandsfähigkeit der IT-Systeme gestärkt und mehr Spitzenpersonal aus dem IT-Bereich rekrutiert werden. Im Anschluss an die Darstellung der Cyberstrategie des BMVg erarbeiteten die Stipendiaten und Stipendiatinnen im Rahmen einer Gruppenarbeit Argumente für und gegen die Entwicklung und den Einsatz von Cyberwaffen durch die Bundesrepublik Deutschland.

Die Aufgaben des BSI und die aktuelle Lage der Cybersicherheit in Deutschland

Zum Abschluss des vorletzten Tages berichtete der Präsident des Bundesamtes für Si-cherheit in der Informationstechnik (BSI) Arne Schönbohm aus der schon 25-jährigen Geschichte des Amtes. Das BSI gestalte Cybersicherheit für den Staat, die Wirtschaft und die Gesellschaft. Für die Bundesbehörden entwickele das Amt zum Beispiel Best Practices zum Thema IT-Sicherheit. Würden Unternehmen angegriffen und meldeten dies dem BSI, könne man außerdem andere gefährdete Unternehmen informieren. Mit „Mobile Incident Response Teams“ wolle man außerdem künftig bei konkreten Vorfällen schnell helfen. Unbeteiligt bleibe das BSI aber von den Vorgängen in der geplanten Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS). Diese ist Teil der Cybersicherheitsstrategie des BMI und soll sich mit der Entschlüsselung von Daten befassen, um beispielsweise gegen Terroristen vorgehen zu können. 400 Stellen bis 2022 sollen in München dafür entstehen. Schönbohm grenzt die Arbeit des BSI davon ab: „Wir sind die Code Maker, nicht die Code Breaker.“

Privacy currently made in Europe - und was sich in Deutschland (nicht) ändern soll

Politiker und Geschäftsmänner können ins Visier von Hackern geraten, aber vor allem Großkonzerne verdienen mit Daten jedes einzelnen Bürgers erheblich mehr Geld, als Hacker das je könnten. Deshalb sei ein bewusster Umgang mit Daten für jeden Bürger wichtig, betonte Frank Stiegler, Anwalt für IT-Recht und Datenschutz. „Beim Datenschutz geht es aber nicht darum, Daten zu schützen“, erklärte er. „Vielmehr geht es um den Menschen dahinter und um seinen Schutz.“ Stiegler nennt als Beispiel die Bewegungsdaten, die Smartphones aufzeichnen. Mit denen sei es möglich, neben Wohnort und Arbeitgeber auch recht präzise Gehalt und einen erheblichen Teil des Privatlebens zu erfahren. Datenschutz sei essentiell, um die Interessen der Unternehmen und der Bürger in gesunder Balance zu halten. Genauer ging Stiegler dabei auf die neue Datenschutz-Grundverordnung ein, welche die EU vor kurzem erlassen hatte. Er erklärte, was sich durch die Verordnung und die deutschen Gesetze zu deren Umsetzung in Deutschland ändern wird. Zufrieden war er mit den Bestrebungen des deutschen Gesetzgebers nicht: Besonders die Rechte der Betroffenen sah er dadurch nicht ausreichend geschützt.

10 Grundregeln zum sicheren privaten Umgang mit dem Internet

Katharina Mosene ist Projektreferentin bei Deutschland sicher im Netz e.V. Der Verein hat sich mit dem Projekt „Digitale Nachbarschaft“ zum Ziel gesetzt, Ehrenamtliche darin zu unterstützen, sicherer im Umgang mit dem Internet zu werden. Mosene ist überzeugt, dass jeder durch einfache Regeln seine Sicherheit erhöhen könne. Beispielsweise sollten bei Apps die Berechtigungen genau geprüft werden. „Wenn die App auch noch alle meine Socken fordert, installiere ich sie besser nicht.“ Zudem empfiehlt Mosene die Merksatzmethode für sichere Passwörter. Dazu denke man sich beispielsweise folgenden Satz aus: „Ich habe 5 Katzen, die gerne sehr viel Eis essen!“ Für das Passwort wird jeweils das erste Zeichen verwendet und fertig ist das sichere Passwort: „Ih5K,dgsvEe!“. Sicherheit im Internet werde durch die konsequente Beachtung einfacher Regeln erreicht, ist Mosene überzeugt. Unter ihrer Anleitung erarbeiteten sich die Stipendiaten und Stipendiatinnen noch weitere Grundregeln für das private Surfen. Einige Ideen, die in der Gruppenarbeit entwickelt wurden: Regelmäßig nach Fake-Profilen der eigenen Person in sozialen Medien suchen, Verschlüsselungssoftware für Emails nutzen und Urheberrechte von Bildern und Videos vor dem Hochladen genau prüfen.

Fazit

Cyberspionage, infizierte Webseiten und Trojaner im Mailordner – Grund genug für viele Stipendiaten nach dem Seminar ihren Datenschutz noch ernster zu nehmen. Aber auch Ängste wurden abgebaut: „Meine Paranoia in Bezug auf die gesellschaftliche Dimension ist etwas weniger geworden“, resümierte eine Stipendiatin in der Feedbackrunde. „Ich habe nämlich gelernt, dass das Hacken von kritischer Infrastruktur schwer ist und sich viele Experten um das Problem kümmern. Aber die Paranoia in Bezug auf meine eigenen Daten sind durch das Seminar deutlich gestiegen“, ergänzte sie. Sichere Passwörter durch die Merksatzmethode erstellen, Virenprogramme aktualisieren und bei ungesicherten Netzwerken aufpassen – das haben sich viele Teilnehmer nach dem Seminar vorgenommen.

Über diese Reihe

Die Konrad-Adenauer-Stiftung, ihre Bildungsforen und Auslandsbüros bieten jährlich mehrere tausend Veranstaltungen zu wechselnden Themen an. Über ausgewählte Konferenzen, Events, Symposien etc. berichten wir aktuell und exklusiv für Sie unter www.kas.de. Hier finden Sie neben einer inhaltlichen Zusammenfassung auch Zusatzmaterialien wie Bilder, Redemanuskripte, Videos oder Audiomitschnitte.

Bestellinformationen

erscheinungsort

Berlin Deutschland