Das Märchen von Hase und Igel gilt als Lehrstück für all diejenigen, die sich ihrer Sache zu sicher sind. Letztlich – das zeigt die Parabel – wird es immer findige Leute geben, die wie der Igel Lücken im System nutzen, um sich selbst illegale Vorteile zu verschaffen. Und andere, die sich wie der Hase ihrer Sache zu sicher glauben. Ähnlich lässt sich auch der Wettlauf zwischen Cybersicherheit und Cyberkriminalität beschreiben. Einen endgültigen Sieger wird es wohl schwerlich geben. Aber es gibt eine Vielzahl von Möglichkeiten, die Anzahl von Lücken im System so klein wie irgend möglich zu halten und die Chancen einer umfassenden Cybersicherheit deutlich zu erhöhen. Wie nötig das ist, zeigen Statistiken des Branchenverbandes Bitkom: Danach sind fast zwei Drittel der Industrieunternehmen in Deutschland schon Opfer von Datendiebstahl, Spionage und Sabotage geworden. Pro Jahr entsteht so ein Schaden von mehr als 22 Milliarden Euro.

Angriffe auf das politische System

Zudem werden verstärkt auch politische Einrichtungen ausspioniert. Unter anderem, um direkten Einfluss auf Politik und Wahlen zu nehmen. Im Jahr 2015 wurde bekannt, dass Angreifer über längere Zeit Zugriff auf praktisch alle Daten des Deutschen Bundestages hatten. Nur ein Jahr später wurden in den USA Systeme der Demokraten angegriffen und erbeutete Daten veröffentlicht, mit dem Ziel, die Präsidentschaftswahl zugunsten des Republikanischen Kandidaten zu beeinflussen. Und in Deutschland vermehren sich Angriffe auf den Deutschen Bundestag. Auch befürchten Experten Manipulationsversuche bei der anstehenden Bundestagswahl 2017. 

»Regulatorisch wird in Deutschland mittlerweile zwar sehr viel für die Verbesserung der Cybersicherheit getan«, sagt Security-Experte Prof. Michael Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie SIT. Zudem sei Deutschland bei der Entwicklung der Datensouveränität ähnlich gut aufgestellt wie andere führende westliche Industriestaaten. Trotzdem – so sein Urteil – hinke die Entwicklung von Cybersicherheit und Privatspährenschutz der Digitalisierung immer noch hinterher.

Welche Möglichkeiten umsetzbar sind, um die digitale Souveränität von Institutionen, Industrie und Einzelpersonen besser durchzusetzen, hat Prof. Waidner gemeinsam mit Prof. Michael Backes und Prof. Jörn Müller-Quade im Positionspapier »Cybersicherheit in Deutschland« zusammengefasst. Alle drei Experten sind in verantwortlicher Position der Kompetenz- und Sicherheitszentren für IT-Sicherheit CRISP, CISPA beziehungsweise KASTEL. Ihre Analyse haben sie im Februar an Bundesforschungsministerin Prof. Johanna Wanka übergeben.

Sieben Thesen für mehr Cybersicherheit

Im Zentrum des Papiers stehen sieben ausführliche Thesen. Ihre Umsetzung – so die Experten – können zu einer nachhaltigen Verbesserung der digitalen Souveränität Deutschlands und Europas beitragen. Kerninhalte sind unter anderem:

1. Die Verbesserung der digitalen Souveränität muss unser vorrangiges strategisches Ziel sein.

2. Wir brauchen Mindeststandards für IT-Sicherheit.

3. Wir brauchen Infrastrukturen beispielsweise für digitale Identitäten, Verschlüsselung und die Beurteilung von Produkten und Diensten, die von Staat und Wirtschaft gefördert werden müssen.

4. Der Schutz unserer Grundrechte sollte Vorrang haben vor dem Wunsch, datenbasierte Geschäftsmodelle oder die Überwachung von Verdächtigen zu vereinfachen.

5. Wir brauchen mehr Fachkräfte, die im Bereich Cybersicherheit qualifiziert sind. 

6. Wir brauchen mehr Forschung im Bereich Cybersicherheit.

7. Wir brauchen einen gesetzlichen Innovationsrahmen, der wettbewerbliche Forschung sowie den Transfer aus Deutschland und Europa in den internationalen Markt fördert.

Steigende Investitionen der Angreifer

»Wir verzeichnen eine nahezu explosionsartige Digitalisierung aller Lebensbereiche. Alles Physische wird digitalisiert und mit allem vernetzt. Die Risiken digitaler Angriffe steigen entsprechend«, sagt Waidner. Damit entwickelt sich so etwas wie eine Cybersicherheits-Spirale, denn die Entwicklung erfordere einerseits immer umfassendere Schutzanforderungen. Das führe zu mehr Risiken für die Angreifer, die nun ihrerseits »aufrüsten« und mehr in ihre Angriffe investieren. Trends wie Big Data, Cognitive Computing und auch neue Technologien wie Quantencomputer führen zusätzlich zu neuen Angriffstechniken.

»Letztlich wird es entscheidend sein, dass die Institute und Unternehmen hierzulande mehr wirtschaftliche Bereitschaft entwickeln, über IT-Sicherheit zu forschen und eine entsprechende StartUp-Kultur zu fördern«, resümiert Waidner. Wichtig dafür seien allerdings auch gesetzliche Rahmenbedingungen, um die IT-Sicherheit verbindlicher zu machen: »Bei einem Fahrzeug käme kein Hersteller auf die Idee, die Sicherheitsgurte aus Bequemlichkeit oder aus Kostengründen wegzulassen. Es ist schlicht Gesetz. Ähnliche Verpflichtungen brauchen wir auch im Bereich der IT-Sicherheit.« (aku)