Digitale Verwundbarkeit nimmt zu
3. Mai 2017Beobachtungen auf der zweitägigen Cybercrime-Conference, die am Mittwoch in Berlin begonnen hat: Der eine fordert "Streifen und Kontrollen im digitalen Raum", der andere redet über "innovativen, tollen Ideen" der Kriminellen. Holger Münch, Präsident des Bundeskriminalamtes (BKA), will Deutschland vor virtuellen Angriffen schützen. Sandro Gaycken, Direktor des Digital Society Institutes (DSI), will das auch - sorgt sich aber gleichzeitig um die Qualität der Abwehrkräfte in Staat und Wirtschaft.
Wenn Gaycken über "innovative, tolle Ideen" des unsichtbaren Feindes spricht, ist das natürlich eine saloppe Zuspitzung, um die Dimension des Bedrohungspotenzials zu illustrieren. Leergeräumte Bankkonten mit Hilfe erschlichener Passwörter sind für die Betroffenen zwar ärgerlich, stellen aber keine Gefahr für das Gemeinwohl dar. Ganz anders sieht das bei Attacken auf sogenannte kritische Infrastrukturen wie Wasser- und Energieversorgung oder Verkehrssysteme aus. Dann besteht schlimmstenfalls Gefahr für Leib und Leben.
Warum Cyber-Attacken mitunter verschwiegen werden
Diese enorme Herausforderung ist nur mit einer konzertierten Kraftanstrengung zu bestehen - darin sind sich Gaycken und Münch einig. Deshalb veranstalten sie die Cybercrime-Conference gemeinsam mit dem German Competence Centre against Cybercrime (G4C). In ihm haben sich unter anderem Banken und Digitalunternehmen zusammengeschlossen. Ihr Ziel: Kompetenz bündeln und Erfahrungen austauschen. Das BKA ist ebenso Kooperationspartner wie das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Expertise von allen Seiten scheint bei einem Blick auf die Entwicklung der Internet-Kriminalität dringend nötig zu sein. Markus Koths, Leiter der BKA-Gruppe Cybercrime, verweist auf das Lagebild 2016: Demnach wurden 82.649 Fälle registriert - der finanzielle Schaden lag bei knapp 51 Millionen Euro. Die Dunkelziffer, darin sind sich alle einig, liegt um ein Vielfaches darüber. Vermutlich handelt es sich um mehrere Milliarden. Genaue Zahlen kennt niemand, weil viele erfolgreich attackierte Firmen aus Angst vor Image-Schäden auf Anzeigen bei der Polizei verzichten. Wobei Betreiber kritischer Infrastrukturen - wie Kraftwerken - auf der Basis des IT-Sicherheitsgesetzes inzwischen einer Meldepflicht unterliegen.
IT-Experte Gaycken: "Technisch sind wir noch lange nicht so weit"
Erfolgreiche Cybercrime-Abwehr wird aber nur mit einer schlagkräftigen Experten-Truppe auf allen digitalen Schlachtfeldern möglich sein, meint DSI-Direktor Gaycken. Das Problem: Es gebe nur wenige IT-Experten in Deutschland und die seien hart umkämpft. Nötig sei deshalb eine engere Zusammenarbeit zwischen Wirtschaft, Staat und Wissenschaft. Um Großangriffe abzuwehren, muss seines Erachtens noch eine Menge passieren: "Technisch sind wir noch lange nicht soweit."
Um die Lücke zu schließen, investiert die Bundesregierung allein in diesem Jahr zehn Millionen Euro in die neu geschaffene Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS). Damit sollen in einem ersten Schritt 120 Stellen geschaffen werden, bis 2022 sind 400 geplant. Gesucht werden IT-Experten für digitale Forensik und Kryptoanalyse. Es geht also um die Auswertung von Massendaten und die Überwachung der Telekommunikation. BKA-Präsident Münch spricht ganz offen über seine Wunschliste. Ganz oben stehen die Online-Überwachung und die sogenannte Quellen-Telekommunikationsüberwachung (TKÜ), bei der Daten vor einer möglichen Verschlüsselung abgegriffen werden können.
Waffengleichheit für Nachrichtendienste
Der gemeinsame Kampf von Staat, Wirtschaft und Wissenschaft gegen zunehmende Cyberkriminalität findet zwangsläufig im Spannungsfeld zwischen Sicherheit und Freiheit statt. Staatssekretärin Emily Haber aus dem deutschen Innenministerium bekennt sich zwar zur Möglichkeit verschlüsselter Kommunikation über Messenger-Dienste wie Whatsapp, sagt aber auch: "Die Fähigkeiten der Sicherheitsbehörden dürften dadurch nicht ausgehöhlt werden."
Soll heißen: Das BKA und das Bundesamt für Verfassungsschutz (BfV) müssen technisch in die Lage versetzt werden, mutmaßlichen Cyber-Kriminellen auf die Schliche zu kommen. IT-Experte Gaycken, Gastgeber der Cybercrime-Conference, schrieb schon in seinem 2011 veröffentlichten Buch "Cyberwar" einen passenden Satz dazu: "Grundsätzlich kann jedes Computersystem geknackt werden." Das wissen auch alle Angreifer und Verteidiger - egal, auf welcher Seite sie stehen.