Cybersicherheit in Deutschland: Stein ins Rollen bringen, aber nicht werfen

Auch wenn die Angriffe zunehmen: Deutschland will in Sachen Cybersicherheit in der Defensive bleiben. Allerdings muss es besser aufgestellt werden. Der Ausschuss für Digitales behandelt die Aufgaben und Möglichkeiten in der Bundesrepublik Deutschland. Zuvor hatte der Digitalausschuss Experten wie den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber und Manuel Atug vom Arbeitskreis Kritis eingeladen und sie gebeten, 18 Fragen zum Thema Cybersicherheit zu beantworten. Alle geladenen Experten waren sich einig, dass Cyber ​​Defence eher defensiv als offensiv sein sollte. Zudem sprachen sich die Beteiligten für eine Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus.

Atug betonte jedoch, dass dies allein nicht ausreichen werde. Sie konkretisiert den im Koalitionsvertrag der Ampelkoalition vereinbarten „strukturellen Umbau der IT-Sicherheitsarchitektur“, das BSI unabhängiger zu machen und als „Zentralstelle im Bereich IT-Sicherheit“ auszubauen. „Zu viele Akteure und zu viele ineffektive Gesetze machen die Cybersicherheit komplex, und Komplexität ist der Feind der Sicherheit.“ Zudem fehlt es oft an der Rechtsprüfung – echte Cybersicherheit durch Wissensaufbau und gute Digitalisierung durch Security-by-Design oder Privacy-by-Design“ gibt es laut Atug nicht als wissenschaftlich evaluierte Gestaltungsprinzipien, die funktionieren “.

Laut Dr. Sven Herpig, Leiter Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung, glaubt, dass Menschen, die Sicherheitslücken melden, rechtliche Konsequenzen befürchten.

Laut Atug sollen auch Geheimdienste und andere staatliche Akteure verpflichtet werden, Schwachstellen zu melden. Es kann nicht sein, dass der Staat seit Jahren Schwachstellen für die Überwachung ausnutzt. Die Befragten einigten sich auch auf eine Meldestelle für Sicherheitslücken. Es kann beim BSI angesiedelt sein. Auf Nachfrage des FDP-Vorstandsmitglieds Maximilian Funke-Kaiser sprach sich Atug vehement gegen Schwachstellenmanagement aus. Keinesfalls sollten aus taktischen Gründen Sicherheitslücken offen gelassen werden.

Mit InternalBlue hält der US-Geheimdienst NSA lange Zeit Sicherheitslücken in Windows-Rechnern zum Ausspähen zurück. Infolgedessen waren diese Computer anfällig für Ransomware-Angriffe, die aufgrund der hohen potenziellen Lösegelder bei Kriminellen sehr beliebt sind. Der Einsatz von Pegasus durch das israelische Unternehmen NSO-Group ist noch nicht abschließend geklärt. Der Oberste Gerichtshof der USA hat Meta kürzlich erlaubt, eine Klage wegen angeblichen unbefugten Zugriffs auf seinen WhatsApp-Server einzureichen.

Herpig ging auch auf das im Koalitionsvertrag verankerte „Recht auf Verschlüsselung“ ein. Seit Gründung des BSI gehört die Diskussion um Verschlüsselung zu den ältesten Aspekten der Cyber-Sicherheitspolitik. In diesem Zusammenhang werden immer wieder der Einsatz von Überwachungssoftware durch Polizei und Geheimdienste für Online-Durchsuchungen und Telefonüberwachungen sowie Bestrebungen zur Standardisierung von Abhörschnittstellen diskutiert.

Auch die Cybersicherheitsbehörde in Deutschland müsse verschlankt werden, und zwar „nicht nur durch die vielen Akteure im verborgenen Bild der Verantwortungsverteilung“, sagte Atug. Herpig kritisierte zudem die Intransparenz aufgrund nicht öffentlicher Dokumente. Alle wollen mitspielen. Allerdings, so Atug, ist niemand verantwortlich, wenn etwas passiert. Überall gebe es „viele eklatante Angreifer“, die Frage, ob Systeme grob fahrlässig betrieben würden, „beim Betrieb archäologisch wertvoller Fernwartungen, Betriebssysteme oder Netzwerkkomponenten mit jahrhundertealten Schwachstellen“ – ohne Sicherheitspatches im Einsatz, stelle allerdings niemand fragt. . Einige Hersteller bieten – sofern ihre Firmen noch existieren – die Patches aufgrund des Alters der Software nicht mehr an.

Einigkeit herrschte auch bei der Frage nach der Art der Cyber-Abwehr – eine offensive Cyber-Abwehr beispielsweise in Form von Hackbacks kam nicht in Frage. Laut Stefanie Frey vom Cyber-Security-Unternehmen Deutor ist ein DDoS-Angriff als Gegenmaßnahme oft nicht möglich, weil die Täter nicht ausfindig gemacht werden können. Der Angriff kann auch andere Systeme betreffen. Sie forderte auch eine Stärkung der Polizei durch finanzielle Anreize für Bewerber. Zudem fehlt es oft an Ermittlungsbefugnissen. Ebenso werden Opfer in den meisten Fällen Fälle nicht melden, weil es fast keine Erfolgsaussichten gibt.

Laut Atug kann von den 300.000 Polizisten „jeder einen Strafzettel ausstellen, aber nur ein minimaler Bruchteil ist in der Lage, eine Strafanzeige wegen Online-Vorfällen zu erheben“. Auch Professor Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen, sieht den Fachkräftemangel und fordert sogar eine Reform der juristischen Ausbildung, um sie „viel interdisziplinärer als bisher“ zu gestalten. IT-Anwälte müssen sowohl über juristisches als auch über technisches Wissen verfügen. Er schlägt daher vor, dass Juristen ihr Studium mit einem Cybersecurity-Master ergänzen können.

Der Sprecher der AG Kritis kritisiert zudem, dass in Deutschland zu wenig Experten im Bereich Programmierung, Algorithmen und Datenstrukturen ausgebildet werden. Das Wissen muss für die digitale Souveränität zur Verfügung stehen. Doch die Realität sieht anders aus. Die Community der Sicherheitsforschung müsse mit Entscheidungsträgern auf dem digitalen Kompetenzniveau eines Faxgeräts diskutieren, „warum bestimmte Verfahren und Offensivträume einfach das Gegenteil bewirken“ und digital nicht tragbar sind. Technologische Verschuldung ist daher für kommende Generationen unvermeidlich – AG Kritis muss ständig Brände löschen. Die Strafverfolgung würde viel tun, wenn der Staat wollte und könnte.

Laut Atug muss die IT-Sicherheit bundesweit „harmonisiert und koordiniert“ werden, da das Internet keine Landesgrenzen kennt. Der Kritis-Arbeitskreis kritisierte zudem, dass die für IT-Sicherheit zuständigen Behörden in den Bundesländern teilweise Jahre hinter dem Stand der Technik zurückhingen und auf Basis veralteter wissenschaftlicher Erkenntnisse handelten. Als Beispiel nennt die AG Kritis bayerische Behörden, die auf Anordnung des bayerischen Landesamtes regelmäßig ihre Passwörter ändern. Zur Umsetzung der NIS2-Richtlinie – der EU-weiten Gesetzgebung zur Cybersicherheit – ist es wichtig, auch auf Länderebene zuständige Behörden zu ernennen. Die Einführung zusätzlicher staatlicher Verwaltungsbehörden erscheint nicht ratsam.


(Mack)

Zur Startseite

Source

Auch Lesen :  Castingshow: Anny Ogrezeanu ist "The Voice of Germany"

Leave a Reply

Your email address will not be published.

In Verbindung stehende Artikel

Back to top button