Hackerangriffe: Hersteller haftbar machen
17. Mai 2017Der Platz von Ciaran Martin beim 15. Deutschen IT-Sicherheitskongress blieb leer. Der Leiter des englischen Nationalen Cyber-Sicherheitszentrums hatte seine Reise zur Bonner Tagung absagen müssen. Martin war noch mit den Nachwirkungen des "WannaCry"-Angriffs auf zehntausende Rechner in England beschäftigt.
Auch sonst beherrscht die Erpressungssoftware den Auftakt des Branchentreffens der deutschen Cybersicherheitsspezialisten. Ausgiebig schilderte Arne Schönbohm in seiner Eröffnungsrede, wie er am Freitag Nachmittag von dem Angriff erfahren habe, wie er am Abend erstmals mit dem Innenminister telefoniert habe, wie um Mitternacht die erste Telefonkonferenz mit einem potenziellen Opfer stattfand und um vier Uhr morgens am Samstag die zweite. Definitive Hinweise, wo die Schadsoftware herkam, kann der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, BSI, allerdings nicht präsentieren.
Keine Digitalisierung ohne IT-Sicherheit
Dafür hat der "WannaCry"-Angriff dem Thema des Kongresses unerwartete Aktualität verliehen: "Digitale Gesellschaft zwischen Risikobereitschaft und Sicherheitsbedürfnis" ist der Titel der dreitägigen Veranstaltung. Nur dass die Risikobereitschaft häufig gerade nicht einer bewussten Abwägung entspringt, sondern eher technisch getrieben ist. Smartphones sind allgegenwärtig, immer mehr Häuser werden "smart" und immer mehr ist auch von "smart Cities" die Rede. "Smart" - und das hat "WannaCry" noch einmal bewiesen - bedeutet aber eben auch angreifbar. Und unter den Stichworten Industrie 4.0 und Internet der Dinge zündet gerade die nächste Stufe der Digitalisierung. "Keine Digitalisierung ohne IT-Sicherheit", forderte BSI-Präsident Schönbohm vor den etwa 600 - meist männlichen - Fachbesuchern. IT-Sicherheit müsse bei der Digitalisierung von Anfang an mitgedacht werden, forderte Schönbohm gegenüber der DW. In die gleiche Richtung denkt auch Guillaume Poupard. Der Generaldirektor der französischen Agentur für Informationssicherheit, ANSSI, bekräftigte im DW-Gespräch: "Wenn Leute an 'smart Cities' arbeiten und nicht von Beginn an auch die Sicherheitsfragen im Blick haben, wird das in einem Chaos enden".
Hersteller haftbar machen
Für mehr Sicherheit soll nach dem Willen von BSI-Präsident Schönbohm unter anderem ein Gütesiegel für IT-Produkte sorgen. "Wir sollten nicht nur erkennen können, wie viel Energie ein Gerät verbraucht, sondern auch: Wie sicher sind eigentlich die Produkte", so Schönbohm. In spätestens einem Jahr sollen erste Gütesiegel eingeführt sein. Dass in Deutschland heute noch Smartphones im Handel sind, die keine Software-Updates durchführen können und deshalb sehr schnell angreifbar würden, ist für den Sicherheitsmanager ein Skandal. Die geplanten Gütesiegel müsse man sich vorstellen wie eine freiwillige Selbstverpflichtung der Hersteller, vom BSI gesetzte Mindeststandards zu erfüllen. Dazu kann auch gehören, dass etwa ein Fernsehgerät nicht die Wohnzimmers der Nutzer ausspäht. Setzt sich Schönbohm durch, lässt sich aus der Selbstverpflichtung eine Haftung der Hersteller ableiten.
Vor den Bundestagswahlen im September wurde in Bonn auch die Frage politischer Einflussnahme durch Hacker diskutiert. "Seit den Wahlen in den USA sehen wir diese Gefahr", sagt Frankreichs Cybersicherheitszar Poupard: "Also müssen wir die politischen Parteien schützen, die Menschen, die in unsere Demokratie involviert sind. Das ist für viele von denen neu und überraschend", fügt Poupard mit Blick auf die jüngste Präsidentenwahl in Frankreich hinzu.
Politiker und Parteien schützen
Das BSI geht in Deutschland ähnlich vor, erklärt dessen Präsident Schönbohm: "Wir haben alle größeren Parteien angeschrieben. Wir führen individuelle Beratungsgespräche mit politischen Entscheidern und führen Schwachstellenanalysen bei den IT-Systemen der größeren Parteien durch". Angesichts der Erfahrungen der Vergangenheit scheint das bitter nötig. Zur Erinnerung: Im Frühjahr 2015 brachen Hacker in das Kommunikationsnetz des deutschen Bundestages ein und stahlen mindestens 16 Gigabyte Daten. Das Sicherheitsunternehmen Trend Micro berichtete im Mai 2016 von einem Angriff gegen die CDU über einen nachgebauten CDU-Webmail-Server in Litauen. Und ebenfalls im letzten Jahr erhielten Angeordnete der Linken im Bundestag, die CDU im Saarland und weitere Politiker Mails, die vermeintlich aus dem NATO-Hauptquartier in Brüssel stammten und Hintergrundinformationen über den Putsch in der Türkei versprachen. Wer aber einen Link in der Mail öffnete, installierte sich Schadsoftware auf seinem Computer.
Angesichts dieser Bedrohungen lässt die Regierung das BSI wachsen. Allein in diesem Jahr kamen zu den bereits rund 600 Stellen der Bonner Behörde weitere 180 hinzu. 90 davon, so Präsident Schönbohm stolz, seien schon besetzt. Trotz des intensiven Wettbewerbs um IT-Fachleute.