Gefahren im NetzCyberkriminalität: "Man muss Kompetenzen etablieren"
Cyberkriminalität nimmt zu und mit dem Ukraine-Krieg wächst die Sorge vor Cyberattacken. Nach Ansicht des IT-Experten Manuel Atug brauchen wir ein anderes Verständnis von digitaler Verwaltung und bessere Gesetze.
Herr Atug, das Bundeskriminalamt stellt am heutigen Montag sein Bundeslagebild Cybercrime vor. Vorab hieß es, dass die Zahl der Cyberstraftaten 2021 erneut um zwölf Prozent gestiegen ist. Sind wir alle zu sorglos oder wächst einfach die kriminelle Energie in diesem Bereich?
Manuel Atug: Es gibt mehrere Ursachen. Das eine ist, dass wir immer mehr digitalisieren und damit Straftaten in allen Bereichen verstärkt auch unter Zuhilfenahme von Computern begangen werden. Außerdem verstehen Kriminelle die Möglichkeiten der Digitalisierung besser als unsere Regierung. In der Bildungspolitik wird zum Beispiel nach wie vor zu wenig getan. Medienkompetenz oder Informatik als Pflichtfach sind hier zwei Schlagwörter. Wir leben in einer Informationsgesellschaft, aber unser Bildungssystem ist darauf ausgerichtet, Fabrikarbeiterinnen hervorzubringen. Das ist einfach nicht mehr zeitgemäß.
Zur Person:Manuel Atug arbeitet seit über zwei Jahrzehnten im Bereich der Informationssicherheit. Er ist Experte des Chaos Computer Club für Cyberkriminalität und Sprecher der unabhängigen "Arbeitsgruppe Kritische Infrastrukturen" (AG KRITIS), die sich für die Verbesserung der Versorgungssicherheit der Bevölkerung einsetzt.
Vor allem die Fälle von Ransomware, also digitale Erpressung mit Schadsoftware, nehmen seit Jahren zu. Betroffen sind Stadtverwaltungen ebenso wie Firmen aller Größen. Warum gibt es nach wie vor so viele Sicherheitslücken?
Wegen der Bildungspolitik, die ich gerade beschrieben habe, gibt es einen Fachkräftemangel. Der Mangel wird mit fortschreitender Digitalisierung schlimmer. Zusätzlich haben wir krude Gesetze, die keine ausreichende Regulierung darstellen. Wenn man einen Airbag baut, und der hinterher nicht zündet, haftet man dafür. Wenn Unternehmen Airbags bauen, und der hinterher nicht zündet, haften diese dafür. Wenn man aber eine Software anbietet, die nicht funktioniert, zucken hinterher alle mit den Schultern. Es gibt keine Pflicht, von Anfang an sichere Programme anzubieten, und kein Mindesthaltbarkeitsdatum für Software. Oft wird gesagt, es fehle das Bewusstsein für IT-Sicherheit, aber das halte ich für einen Trugschluss. Jedes Unternehmen ist sich der Gefahren bewusst. Was fehlt, ist die grundlegende digitale Transformation unserer Gesellschaft und Wirtschaft.
Sie sehen die Verantwortung also bei der Regulierung und beim Gesetzgeber?
Es ist ein Zusammenspiel. Firmen und Organisationen muss auf jeden Fall der richtige Anreiz gegeben werden. Das muss ja nicht immer eine Sanktionierung sein. IT-Sicherheit könnte ja auch über einen Steuerbonus belohnt werden. Am Ende müssen alle an einem Strang ziehen, weil wir weltweit zusammen in einem Cyberraum leben. Es gibt auf der einen Seite eben kriminelle Gruppen und auch staatliche Akteure mit bösen Absichten. Da müssen wir auf der anderen Seite international kooperieren, um sichere und resiliente IT-Systeme zu schaffen. In der Theorie ist das möglich, in der Praxis hapert es noch.
Durch den Ukraine-Krieg hat sich die Angst vor folgenschweren Cyberangriffen auch auf kritische Infrastruktur in Deutschland nochmals erhöht. Wie real sehen Sie diese Gefahr?
Es gibt ein erhöhtes Sicherheitsrisiko aufgrund des Kriegs, aber definitiv keinen Grund zur Panik. Die Sicherheitsbehörden raten dazu, die Systeme gut zu beobachten, auf unerwartete Veränderungen zu schauen und Backups durchzuführen. Aber da muss man sagen: Das waren schon vor dem Krieg gute Ratschläge und sie werden es nach dem Krieg immer noch sein.
Am morgigen Dienstag treffen sich auch die G7-Digitalminister zu diesem Thema. Wie gut schützen sich Deutschland und die EU aus ihrer Sicht insgesamt gegen Cyberangriffe?
Mit unserem heutigen Verständnis von digitaler Verwaltung kommen wir leider zu schlechten Ergebnissen. Es wird allzu oft ein einzelner Abschnitt angeschaut. Da wird dann gesagt, wir brauchen Digitalisierung als Produkt, das schreiben wir extern aus und am Ende kaufen wir etwas von einem Dienstleister. Da kommen dann Dinge raus, wie die desolate Luca-App oder unsägliche Blockchain-Anwendungen wie die ID Wallet. Digitalisierung ist aber ein Prozess, eine Umwandlung. Das kann man nicht einkaufen. Man braucht in der Verwaltung Menschen, die selbst das Knowhow haben, wie man IT-Produkte betreibt und entwickelt.
Außenministerin Annalena Baerbock sagte am vergangenen Freitag, dass von den 100 Milliarden Sondervermögen für die Bundeswehr nicht nur Kampfjets gekauft werden sollten, sondern auch Cybersicherheit dazugehöre. Wo sehen Sie konkreten Investitionsbedarf?
Ich würde das Geld gerne genutzt sehen, um eben diese kompetenten Menschen in die Verwaltung hinein zu bringen. Das ist die Basis, um IT-Sicherheit und gute Digitalisierung für die Allgemeinheit zu schaffen. Ich befürchte aber – da es sich um Einmalbeträge handelt –, dass das Geld wieder nur bei den gleichen Unternehmensberatungen und IT-Anbietern landet. Man muss aber keine Produkte kaufen, sondern Kompetenzen etablieren.
In Deutschland hat sich die Ampelkoalition in ihrem Koalitionsvertrag unter anderem vorgenommen, das Bundesamt für Sicherheit in der Informationstechnik (BSI) "unabhängiger aufzustellen". Warum ist das nötig?
Das BSI untersteht momentan dem Bundesinnenministerium. Dort sind wiederum auch die Sicherheitsbehörden angesiedelt. Diese Behörden haben ein Interesse, Täter zu finden, Zugriffe und Befugnisserweiterungen zu bekommen und Sicherheitslücken vorzuhalten, durch die sie selbst zum Beispiel mittels Hackback gegen Kriminelle vorgehen können. Das alles steht im Widerspruch zu IT-Sicherheit, bei der es um Defensive und das Schließen von Lücken geht. Deshalb muss das BSI unabhängig vom Innenministerium agieren können.
Was ist ein Hackback?Als Hackback, zu deutsch etwa: "zurückhacken", wird eine Art digitaler Gegenangriff bezeichnet, der zur Vergeltung ausgeführt wird. Teils ist auch von "aktiver Cyberabwehr" die Rede. Beim Hackback könnten fremde Netze aktiv infiltriert werden, um etwa Daten zu verändern oder zu löschen. Rechtlich sind Hackbacks in Deutschland derzeit nicht möglich.
Mal abgesehen von dieser staatlichen Ebene: Wie gefährdet ist unsere individuelle IT-Sicherheit angesichts der Dauernutzung von Smartphones, PCs und anderer digitaler Geräte?
Allgemein betrachtet sind wir die ganze Zeit gefährdet. Es kann jederzeit passieren, dass uns ein Gerät herunterfällt, kaputtgeht und dann können wir unter Umständen nicht mehr auf die Daten zugreifen. Aus dem Netz heraus kann außerdem jederzeit auf allen möglichen Wegen eine Manipulation passieren, ein Fehler ausgenutzt oder etwas gelöscht werden. Der einfachste Weg, sich dagegen zu schützen, sind Backups. Was mir an Daten auf meinem Smartphone, PC oder bei digitalen Dienstleistern wirklich wichtig ist, sollte ich auf eine externe Festplatte kopieren und zu Hause offline aufbewahren.
Wie viel Zeit verwenden Sie persönlich, um sich vor Computerbetrug, Datenklau oder digitaler Ausspähung zu schützen?
Inzwischen gar nicht mehr so viel. Wenn man sich das Knowhow mal erarbeitet hat, bleibt man relativ leicht auf dem Laufenden. Man kann sich zum Beispiel hervorragend auf den entsprechenden Seiten des BSI einlesen. Oft braucht es aber auch nur gesunden Menschenverstand und den Willen, sich zum Beispiel so eine am PC aufpoppende Nachricht auch durchzulesen. Die meisten Menschen treffen da intuitiv richtige Entscheidungen.
Dieses Thema im Programm:MDR AKTUELL Fernsehen | 09. Mai 2022 | 19:30 Uhr