Cyber Security: Der Staat im Spagat zwischen Schutz und Ethik – acatech am Mittag im Deutschen Bundestag
Berlin, 6. Juni 2019
Das acatech Projekt HORIZONTE widmet dem Thema Cyber Security seine zweite Ausgabe und stellte sie am vergangenen Donnerstag im Rahmen der Veranstaltungsreihe „acatech am Mittag“ im Deutschen Bundestag vor. Dabei diskutierten Thomas Tschersich, T-Systems International GmbH, Jörn Müller-Quade, Karlsruher Institut für Technologie und André Grochowy, Munich Re, mit Mitgliedern des Bundestages Möglichkeiten und Grenzen einer effektiven und konkurrenzfähigen Sicherheitspolitik für digitale Anwendungen.
Die steigende Bedrohungslage im digitalen Raum macht die Themen Privacy, Sicherheit und Datenschutz längst zur Staatsaufgabe. Wie gelingt dem Staat der Balanceakt zwischen Freiheit und Kontrolle? Wie weit dürfen Sicherheitsmaßen gehen, um Bevölkerung, Unternehmen und Kritische Infrastrukturen zu schützen, ohne dabei die Freiheit und digitale Souveränität Einzelner zu beschneiden? Um im Bereich Cybersicherheit international konkurrenzfähig zu bleiben, brauche es laut den Experten der acatech HORIZONTE in Deutschland die Einführung von Mindestsicherheitsstandards, verstärkte Ausbildung von IT-Sicherheitsfachkräften sowie die Schaffung eines nachhaltigen Sicherheitsbewusstseins in der Bevölkerung.
Stärkung der digitalen Souveränität
Das Verständnis digitaler Souveränität umfasse hierzulande, anders als bei autoritär regierten Staaten, die Freiheit im Internet sowie den Schutz vor Cybercrime. „Mit der steigenden Bedrohungslage, beispielsweise durch Terror, wird der Balanceakt für den Staat zwischen dem Schutz der Bürger in der physischen Welt und dem Schutz ihrer Privatsphäre in der Cyberwelt aber immer mehr zur Herausforderung“, so Thomas Tschersich, Senior Vice President Internal Security & Cyber Defense bei der T-Systems International GmbH. „Doch bereits der Schriftsteller Wilhelm von Humboldt prägte den Begriff ´ohne Sicherheit gibt es keine Freiheit´.“
Zur Verbesserung der Cybersicherheit gäbe es in Deutschland eine ganze Reihe offener Handlungsfelder, so Tschersich. Einerseits sei Deutschland herausragend im Bereich der Forschung, aber es fehle an Praxisnähe. Um den digitalen Anschluss gerade für Sicherheitsanwendungen nicht zu verlieren, müssten von Staatsseite Anreize geschaffen werden, einerseits für (mittelständische) Unternehmen, aber auch für Ausbildungsberufe. Besonders der Fachkräftemangel würde nachhaltig negative Auswirkungen auf den Mittelstand haben, sagt der Sicherheitsexperte. Zwar gäbe es in Deutschland eine breit angelegte universitäre Ausbildung, aber ohne eine praxisnahe Berufsausbildung im Bereich IT-Sicherheit könne das industrielle Know-How in Deutschland nicht beibehalten werden.
Mindestsicherheitsstandards für besseren Cyberschutz
Was kann seitens der Politik getan werden, damit der Balanceakt zwischen Mindestsicherheitsstandards und globaler Wettbewerbsfähigkeit deutscher Unternehmen gelingt? Diese Frage diskutierte Jörn Müller-Quade, Leiter der Forschungsgruppe Kryptographie und Sicherheit am Karlsruher Institut für Technologie, in seinem gleichnamigen Impulsvortrag. „Das Thema IT-Sicherheit wird oft nicht ernst genommen. Kundinnen und Kunden sind nicht bereit, mehr Geld für ein sicheres Produkt zu bezahlen, zumal die Konsequenzen eines unsicheren Produktes zunächst nicht spürbar sind“, so Müller-Quade. Hier müsse der deutsche Staat Mindestsicherheitsstandards für IT-Produkte und -dienstleistungen einführen, die für alle Unternehmen verpflichtend sind. Eine Überprüfung der Cybersicherheit von Unternehmen fände in den geringsten Fällen statt. Zwar gäbe es von der Bundeszentrale für Sicherheit in der Informationstechnik (BSI) bereits Angebote für eine solche Sicherheitsprüfung, diese sei aber nicht verpflichtend. Der Staat müsse sicherstellen, dass alle Unternehmen gesetzliche Bestimmungen einhalten, jedoch ohne, dass hieraus Wettbewerbsnachteile für deutsche Unternehmen entstünden. „Klimaschutz beispielsweise kann nur gelingen, wenn alle mitmachen. Leider hat jeder einzelne viel Anreize, sich nicht am Klimaschutz zu beteiligen. Beim Cyberschutz verhält es sich ganz genauso“, erläutert Müller-Quade. „Hier liegt die Aufgabe bei der Wissenschaft, aber auch bei der Politik!“
Wichtig für das Vertrauen der Kunden sei in diesem Zusammenhang auch die Frage der Produkthaftung. „Für unvorhersehbare Vorfälle sollte die Haftung natürlich nicht greifen, aber für Pfusch, das würde schon viel helfen”, so Müller-Quade. Auch brauche es eine Verpflichtung regelmäßiger Updates zur Schließung neuer Sicherheitslücken als Voraussetzung einer funktionalen Produkthaftung.
Die Hypothese der Nichtverletzlichkeit unseres Stromnetzes wurde durch Cyberangriffe außer Kraft gesetzt
Welche Ausmaße Cyberattacken im Bereich „Kritischer Infrastrukturen“ besäßen, beschrieb André Grochowy, Senior Cyber Underwriter bei Munich Re, in seinem Impulsvortrag: „Die Verantwortung des Staates beim Schutz der größten Gefährdungsfelder und ‚Kritischer Infrastrukturen‘ “. Demnach seien die größten Gefährdungsfelder für Deutschlands innere Sicherheit, Wirtschaft und Demokratie die Bereiche: Gesundheit, Stromversorgung, Industrie 4.0, Smart Home und IoT-Geräte, vernetzte Fahrzeuge sowie die sozialen Medien. Diese sensiblen Bereiche bedürfen eines besonderen Schutzes vor Manipulationen und Cyberattacken, betonte Grochowy. So sind beispielsweise die möglichen Langzeitfolgen eines erfolgreichen Cyber-Angriffes auf ein Stromnetzwerk laut unterschiedlicher wissenschaftlicher Studien vergleichbar. Je länger großflächige Stromunterbrechungen andauern, desto wahrscheinlicher sind sogar letztendlich innere Unruhen als deren Folge. Darin besteht einheitlicher Konsens aller Experten in UK, den USA und in Deutschland.
Als Beispiel für einen erfolgreichen Cyber-Angriff auf ein Stromnetz benannte Grochowy ein Ereignis aus dem Jahr 2016, bei dem dieser Vorfall in einem Teil der Ukraine zu einem vollständigen Stromausfall führte. „Dieser Angriff war für alle Experten ein Game Changer. Auf einmal ist ein Szenario eingetreten, welches sonst nur als Worst-Case-Szenario nach einem kriegerischen Angriff oder nach großen Naturkatastrophen angenommen wurde“, so Grochowy. Dabei sei vor allem zu beachten, dass in der Ukraine bereits Technik im Einsatz war, wie es bei deutschen Stromnetzwerken der Fall ist. „Die bisherige Hypothese der Nichtverletzlichkeit unseres deutschen Stromnetzes durch Cybermanipulationen wurde durch diesen zielgerichteten Angriff plötzlich außer Kraft gesetzt. Der Schutz unserer „Kritischen Infrastrukturen“ vor böswilligen Cyberangriffen durch staatliche Vorsorgemaßnahmen ist daher heute und auch in der Zukunft dringend notwendig“, betonte der Sicherheitsexperte.
Sicherheitsbewusstsein in der Bevölkerung stärken
Die anschließende Diskussion zielte vor allem auf die Frage: Wie kann ein stärkeres Bewusstsein für IT-Sicherheit in der Bevölkerung gebildet werden? Wichtig sei vor allem, dass nicht auf kurzfristige Sensibilisierungskampagnen gesetzt werde, sagt Arbeitsgruppenleiter Müller-Quade. Eine nachhaltige Sensibilisierung funktioniere nur durch langfristige Ansätze. „In anderen Staaten, die im Bereich der Cyber Security im internationalen Vergleich Spitzenpositionen einnehmen, wie beispielsweise Israel, wird das Thema Cyber Security bereits in die Schulbildung integriert“, argumentiert Thomas Tschersich.
Über acatech HORIZONTE
Die Publikationsreihe acatech HORIZONTE zum Thema Cyber Security erscheint am 12. Juli 2019. In dieser Ausgabe analysiert acatech, wo sich Deutschland auf dem Weg zu einer sicheren Cyberwelt befindet. Dazu untersucht die Akademie aktuelle Gefährdungsfelder in wichtigen Lebensbereichen und benennt politische Handlungsfelder.