Sicherheitsexperte zweifelt am neuen Cyber-Abwehrzentrum "Am besten das ganze IT-Zeug wegschmeißen"
Die Bundesregierung brauchte geschlagene vier Tage, um 2010 die Gefährdung durch den Stuxnet-Virus einschätzen zu können. Mit dem heute offiziell eröffenten "Cyber-Abwehrzentrum" soll künftig schneller reagiert werden. IT-Experte Gaycken bezweifelt im tagesschau.de-Interview, dass das funktioniert.
tagesschau.de: Wie geeignet ist das neue Cyber-Abwehrzentrum, um für mehr Sicherheit in der deutschen IT-Landschaft zu sorgen?
Sandro Gaycken: Bei dieser Einrichtung geht es in erster Linie um die Abstimmung der Behörden untereinander. Wenn eine Behörde intern feststellt, dass es auf ihren Netzwerken einen Spionageangriff gibt, kann sie den anderen die Details mitteilen, damit diese überprüfen können, ob das bei ihnen auch zutrifft. In der Vergangenheit war die Kommunikation untereinander in diesen Fällen tatsächlich nicht gut. Deshalb ist es schlau, in diesem Bereich die behördlichen Grenzen aufzuheben.
Ansonsten wird sich durch das Abwehrzentrum aber nicht viel ändern. Es fehlt an technischen Konzepten, um qualitativ hochwertige und gefährliche Angriffe überhaupt erkennen zu können. Außerdem sind die Behörden gar nicht so stark gefährdet, sondern vielmehr kritische Infrastrukturen: die Wirtschaft, die Banken, die Börsen.
tagesschau.de: Die Wirtschaft wurde mit ins Boot geholt. Der Bundesverband der Deutschen Industrie und der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien unterstützen die neue Einrichtung. Und im Bundeswirtschaftsministerium gibt es seit April - als Bestandteil der Cyber-Strategie - eine Taskforce IT-Sicherheit mit dem Fokus auf dem Mittelstand. Was sind aus Ihrer Sicht die größten Bedrohungen?
Gaycken: Wirtschaftsspionage ist ein ganz großes Thema, besonders in Deutschland. Wir verfügen hier über viele Informationen, gerade im Bereich der kleinen und mittleren Unternehmen, die noch immer schlecht geschützt sind. Viele Unternehmen, die ausspioniert oder sabotiert werden, merken das gar nicht. Falls doch, teilen sie es niemandem mit, weil sie wissen, dass der Strafverfolger nichts machen kann, wenn ein IT-Angriff beispielsweise aus China kommt, oder weil sie Imageschäden und fallende Aktienkurse fürchten.
Neben der Wirtschaftsspionage gibt es Bedrohungen für die kritischen Infrastrukturen wie Strom, Gas und Wasser. Hier gibt es keine Konzepte für Ausfälle von einigen Wochen. Das Krisenmanagement reicht nur für drei bis vier Tage. Danach weiß keiner mehr, was zu machen ist. Solche Angriffe sind aber nicht besonders wahrscheinlich, weil sie extrem schwierig und aufwändig sind.
tagesschau.de: Welche Ressourcen benötigt man für qualitativ hochwertige Angriffe?
Gaycken: Um eingebaute Sicherheitsmechanismen zu umgehen und mehrere Systeme langfristig zu stören, braucht man viele, sehr gute Experten. Man muss mit den Herstellern der Systeme oder deren Ex-Personal kooperieren, um zu verstehen, wie sie intern funktionieren. Man braucht Nachrichtendienste zur Unterstützung, weil die Systeme oft nicht am Internet hängen. Das alles sind Dinge, die organisierte Kriminelle mit viel Aufwand leisten könnten. Aber ich halte es für unwahrscheinlich, dass sie so viel Geld ausgeben würden, um in irgendwelche Kraftwerke einzubrechen. Außerdem ist ihnen das zu gefährlich. Das sind Dr. No-Erpresservisionen!
Die Experten sollen sicherheitsrelevante Vorfälle im Bereich der Informationstechnologie (IT) analysieren und an Behörden und Unternehmen Empfehlungen abgeben. Das Zentrum ist Teil der umfangreichen Cyber-Sicherheitsstrategie zum Schutz vor Bedrohungen aus dem Internet, die das Bundeskabinett im Februar 2011 beschlossen hat.
"Eine Mogelpackung ist es nicht"
tagesschau.de: Wenn sich das Abwehrzentrum nicht vorrangig um die am stärksten gefährdeten Bereiche kümmert, sondern vor allem um die Abstimmung zwischen den Behörden bei IT-Vorfällen, ist das Cyber-Abwehrzentrum dann eine Mogelpackung?
Gaycken: Eine Mogelpackung ist es nicht. Seit Jahren hat sich keiner um das Thema IT-Sicherheit gekümmert, es war auch nicht so naheliegend. Es gab ein paar Teenies und ein paar Kleinkriminelle, die gehackt haben. Jetzt kommen aber Akteure, die ernster zu nehmen sind und von denen größere Bedrohungen ausgehen. Deshalb ist es gut und begrüßenswert, dass die Bundesregierung solche IT-Einheiten gründet. Das sieht auch die Industrie so. Allerdings sagt die auch, das Abwehrzentrum sei billiger, dahingepfuschter Kram, wofür keiner Geld ausgeben wollte.
Aber immerhin wird das Thema jetzt wahrgenommen. Es ist der Versuch, mit wenig Geld und wenig Konfliktpotential etwas zun tun. Aber es muss mehr passieren, um das zu unterfüttern. Das Zentrum wird in dieser Form keine Sicherheit bieten. Es wird keine Frühwarnsysteme, keine Schutzkonzepte und auch kein Krisenmanagement liefern. Es ist ein erster vorsichtiger, kleiner Schritt.
"Netzwerke müssten zurückgebaut werden"
tagesschau.de: Welcher nächste Schritt wäre aus Ihrer Sicht der richtige, um für mehr Sicherheit im Internet zu sorgen?
Gaycken: Der richtige Schritt wäre eine Entnetzung. Die Netzwerke müssten zurückgebaut und verkleinert werden. Während der letzten 20 Jahre wurde schleichend überall IT hingebaut. In vielen Bereichen haben wir uns Netzwerke und IT aufquatschen lassen und brauchen sie dort gar nicht. Stattdessen könnte man mit einfacheren Lösungen arbeiten, gerade in kritischen Bereichen. Deshalb ist mein Rat, am besten das ganze Zeug wegzuschmeißen und es neu zu bauen. Aber das würde natürlich sehr viel Geld kosten.
Daneben müsste das Augenmerk auf der Abwehr von Insider-Spionage liegen. Es ist notwendig, viel radikaler sichere IT zu entwickeln. Der Staat müsste das initiieren. Lediglich Empfehlungen, wie die Sicherheit verbessert werden kann, helfen nicht weiter. Die Erfahrung hat gezeigt: Die Unternehmen gucken sich an, was es kostet, und sagen, vielen Dank für die Empfehlung, aber Sie können wieder gehen. Die Unternehmen müssten per Gesetz verpflichtet werden, Schutzsysteme zu implementieren.
tagesschau.de: Im Cyber-Abwehrzentrum arbeiten viele Bundesämter, Ministerien und Behörden zusammen. Deshalb gibt es von verschiedenen Seiten Kritik am Aufbau der Einrichtung aus verfassungsrechtlicher Sicht - wegen des Trennungsgebotes polizeilicher, nachrichtendienstlicher und militärischer Aufgaben. Wie beurteilen Sie das?
Gaycken: Das ist die politische Betrachtung. Aus taktischer Sicht ist es natürlich klug, die unterschiedlichen Perspektiven bei der Analyse zu nutzen, denn ein Kriminalist guckt auf einen IT-Angriff ganz anders als ein Militär. Ein Militär sucht Taktiken, Ziele und Fähigkeiten, ein Kriminalist eher Motive, Geld und ähnliches. Von daher könnte der eine leicht etwas übersehen, was der andere entdecken würde. Und die Geheimdienste sind sehr, sehr kompetent - meiner Meinung nach mit Sicherheit die kompetentesten Ansprechpartner für diese Cyber-Themen. Es wäre dumm, sie außen vor zu lassen.
"Die Amerikaner verfolgen ganz andere Ziele"
tagesschau.de: Die Beauftragte der Bundesregierung für Informationstechnik, Cornelia Rogall-Grothe, betont im Zusammenhang mit der Cyber-Strategie die Vorreiterrolle Deutschlands in Europa und weltweit. Aber müsste ein solches Cyber-Zentrum nicht internationaler zugeschnitten sein?
Sandro Gaycken: Das sehe ich sehr skeptisch. Die Amerikaner beispielsweise haben eine andere technische Landschaft als wir und damit andere Probleme, auch wenn es immer so aussieht, als wäre das alles eine Soße. Und die Amerikaner verfolgen auch ganz andere Ziele. Sie wollen eine maximale Kontrolle des Internets mit richtig dicker Überwachung an allen Punkten. Das ist für uns weder notwendig, weil wir nicht so stark vom Internet abhängig sind wie die Amerikaner, noch in irgendeiner Weise wünschenswert, weil wir eine andere Rechtskultur haben.
Das Interview führte Susanna Nolte für tagesschau.de