Cybersicherheit und digitale Souveränität: Wenn die Interessen von Staat, Herstellern und Nutzern aufeinanderprallen

München, 29. Januar 2019

Einen Tag nach dem „Tag des Datenschutzes“ stand bei acatech am Dienstag das Thema Cyber Security im Mittelpunkt – ein Thema, das auch vor dem Hintergrund des jüngsten Skandals um die illegal veröffentlichten Daten von Politikern und Prominenten kaum aktueller hätte sein können. Kann man angesichts derartiger Bedrohungen überhaupt noch von der Digitalen Souveränität des Bürgers sprechen? Muss der Staat hier vielleicht stärker eingreifen? Diesen und anderen Fragen widmeten sich am 29. Januar in München die IT- und Sicherheitsexperten Jörn Müller-Quade (Karlsruher Institut für Technologie, KIT), Claudia Eckert (Fraunhofer Institut für Angewandte und Integrierte Sicherheit, AISEC) und Wilfried Karl (Zentrale Stelle für Informationstechnik im Sicherheitsbereich, ZITiS).

Bei den Themen Cybersicherheit und digitale Souveränität prallen Interessen aufeinander. Besonders der Staat steht zwischen den Stühlen: Einerseits muss er seiner Fürsorgepflicht nachkommen und die persönlichen Daten von Bürgerinnen und Bürgern schützen, andererseits aber Cyberkriminalität verhindern und aufklären – wofür Zugriffsmöglichkeiten auf eben jene Daten durchaus hilfreich wären. Wilfried Karl, Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) und ehemaliger BND-Mitarbeiter versicherte jedoch, dass technische Werkzeuge zur Überwachung persönlicher digitaler Kommunikation, wie beispielsweise die Telekommunikationsüberwachung (TKÜ), nur in sehr konkreten Verdachtsfällen oder akuter Gefahr genutzt würden – und auch nur dann, wenn alle anderen physischen Beweissicherungsmaßnahmen ausgeschöpft worden seien. Insgesamt geschehe dies laut Statistiken lediglich bei etwa einem von 1000 Fällen. Angesichts der Entwicklung weg von analogen Kommunikationsmitteln hin zu digitaler Kommunikation müssten jedoch auch Sicherheitsbehörden moderne Werkzeuge an die Hand gegeben werden, um sowohl jetzt als auch zukünftig Cyberkriminalität zu begegnen. Das sei existenziell wichtig für den Wirtschaftsstandort Deutschland, so Karl.

Mit der Entwicklung eben dieser technischen Werkzeuge beschäftigt sich das ZITiS mit Sitz in München. Als Einrichtung des Bundesinnenministeriums unterstützt es seit 2017 mit seiner Arbeit deutsche Sicherheitsbehörden, Polizei und Nachrichtendienste.

Der Markt kann Digitale Souveränität nicht wirklich gewährleisten – muss der Staat eingreifen?

Nicht nur die Interessen von Staat und Bürgerinnen und Bürgern geraten bisweilen miteinander in Konflikt, auch Unternehmen und Nutzerinnen und Nutzer finden sich hier oft auf verschiedenen Seiten wieder. „Digitale Souveränität widerspricht dem, dass wir unsere Geräte für Geheimdienste der USA zugänglich machen“, sagt Jörn Müller-Quade vom Karlsruher Institut für Technologie (KIT), der die Projektgruppe der acatech HORIZONTE zum Thema Cyber Security leitet. Großkonzerne hätten kein Interesse daran, dass die Bevölkerung die eigenen Daten souverän im Griff habe.

Auch dass die Gefahren im Internet für Nutzerinnen und Nutzer kaum sichtbar seien, stelle ein Problem für die Digitale Souveränität dar. „Sicherheit fühlt man nicht“, so Müller-Quade. „Wären den Verbrauchern die Bedrohungen im Cyberraum bewusst und die eigene Cybersicherheit wichtig, wären sie auch bereit, mehr Geld auszugeben. Aktuell sehe ich hierfür jedoch keinen Markt.“ Darüber hinaus verlangsamten Sicherheitsanwendungen die Performance von Prozessoren – jedes erneute Einloggen via Passworteingabe oder gar über die Zwei-Faktor-Authentifizierung, welche eine Kombination zweier unterschiedlicher und unabhängiger Komponenten verlangt, erscheine unbequem. Dies sei ebenso wenig im Interesse der Nutzerinnen und Nutzer wie der Hersteller. Der Markt könne das Problem also kaum lösen, weshalb es politischer Regulierung für IT-Sicherheitsstandards bedürfe, so der Experte.

Sicherheits-Updates sollten sofort aufgespielt werden – nicht erst, wenn es zu spät ist

Als eine der größten Sicherheitslücken gilt weitläufig der Faktor Mensch. Claudia Eckert vom Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) hält diese Betrachtung jedoch für zu kurzsichtig: „Wir setzen von Haus aus auf Technologien, die den Nutzer zu stark involvieren. Sicherheitstechnologien müssten die Nutzer stärker absichern und einfach im Hintergrund eingebaut sein, ohne dass es zusätzliche Aktionen erfordert“. So könnten Sicherheits-Updates beispielsweise unmittelbar dann aufgespielt werden, wenn sie vom Hersteller angeboten werden. Es bestünde dann kein Risiko, dass der Nutzer sie zu spät installierte – also beispielsweise erst nachdem die Sicherheitslücke bereits von Kriminellen missbraucht worden sei.

Generell plädierte die Sicherheitsexpertin für eine stärkere Kompetenzausbildung in der Informatik für alle Anwenderinnen und Anwender, nicht nur in der schulischen Ausbildung, sondern auch über Qualifizierungsmaßnahmen für Mitarbeiterinnen und Mitarbeiter durch Unternehmen. Erst mit einem gewissen Grad an Entscheidungskompetenz erlangten Nutzer die Fähigkeit zur souveränen Beurteilung, ob und welche Produkte als sicher einzuschätzen seien. In einem zweiten Schritt brauche es dann die Schaffung alternativer (sicherer) IT-Produkte und Services, die es derzeit aufgrund starker Abhängigkeit von den USA und China nicht gäbe. Erst wenn diese beiden Bedingungen erfüllt seien, sei der Nutzer unabhängig handlungs- und entscheidungsfähig. Wirtschaftspolitische Maßnahmen und staatliche Anschubfinanzierung für Start-ups und Forschungseinrichtungen könnten eine geeignete Lösung darstellen.

Moderiert wurde die Diskussion von Anna Frey, stellvertretende Leiterin des Bereichs Technologien bei acatech. Die Veranstaltung fand im Kontext der neuen Publikationsreihe acatech HORIZONTE statt, deren zweite Ausgabe zum Thema Cyber Security im Juni dieses Jahres publiziert wird.

Nach der Veranstaltung fasste Jörn Müller-Quade seine Erkenntnisse für uns zusammen: