Cybersicherheit in Deutschland: Stein ins Rollen bringen, aber nicht werfen

Auch wenn Angriffe zunehmen: Deutschland will in Sachen Cybersicherheit in der Defensive bleiben. Dies muss jedoch besser gemacht werden. Der Ausschuss Digitales befasste sich mit Aufgaben und Möglichkeiten in der Bundesrepublik Deutschland. Zuvor hatte der Digitalausschuss Experten wie den Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber und Manuel Atug vom Kritis-Arbeitskreis eingeladen und sie gebeten, 18 Fragen zum Thema Cybersicherheit zu beantworten. Alle geladenen Experten waren sich einig, dass Cyber ​​Defence eher defensiv als offensiv sein sollte. Darüber hinaus sprachen sich die Teilnehmer für eine Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus.

Atug stellte jedoch fest, dass dies allein nicht ausreicht. Damit wird der im Ampelkoalitionsvertrag vereinbarte „Umbau der IT-Sicherheitsarchitektur“ – das BSI unabhängiger zu machen und als „Zentralstelle für IT-Sicherheit“ auszubauen – konkretisiert. „Zu viele Akteure und zu viele ineffektive Gesetze erschweren die Cybersicherheit, und Verwirrung ist der Feind der Sicherheit.“ Zudem gibt es generell keine Überprüfung des Gesetzes – eine echte Cybersicherheit mit Wissensaufbau und guter Digitalisierung durch Security-by-Design oder Privacy-by-Design „als wissenschaftlich evaluierte Gestaltungsprinzipien, die funktionieren“ gibt es laut Atug nicht.

Laut Dr. Sven Herpig, Leiter Cybersicherheit und Resilienzpolitik bei der Stiftung Neue Verantwortung, glaubt, dass Menschen, die Sicherheitsmängel melden, rechtliche Konsequenzen befürchten.

Laut Atug sollen auch Geheimdienste und andere staatliche Akteure verpflichtet werden, Schwachstellen zu melden. Der Staat sollte Schwachstellen nicht für jahrelange Überwachung ausnutzen. Einig waren sich die Befragten auch bei der Meldestelle für Sicherheitsmängel. Es kann auf BSI angewendet werden. Auf Nachfrage von Ausschussmitglied Maximilian Funke-Kaiser von der FDP sprach sich Atug entschieden gegen Armutsmanagement aus. Keinesfalls sollten aus taktischen Gründen Sicherheitslücken offen gelassen werden.

Mit InternalBlue nutzt der US-Geheimdienst NSA seit langem Sicherheitslücken in Windows-Rechnern aus, um diese auszuspionieren. Dadurch sind diese Computer anfällig für Ransomware-Angriffe, die aufgrund der hohen möglichen Belohnungen bei Kriminellen sehr beliebt sind. Der Einsatz von Pegasus durch das israelische Unternehmen NSO-Group ist noch nicht abschließend geklärt. Der Oberste Gerichtshof der USA hat Meta kürzlich die Erlaubnis erteilt, eine Klage wegen angeblichen unbefugten Zugriffs auf den WhatsApp-Server einzureichen.

Herpig verwies auch auf das im Koalitionsvertrag enthaltene „Recht auf Verschlüsselung“. Die Verschlüsselungsdebatte ist einer der ältesten Aspekte der Cyber-Sicherheitspolitik seit der Gründung des BSI. In diesem Zusammenhang werden häufig der Einsatz von Überwachungssoftware durch Polizei und Geheimdienste zur Online-Durchsuchung und Telefonüberwachung sowie Versuche zur Standardisierung der Abhörschnittstelle diskutiert.

Auch die Cybersicherheitsbehörde in Deutschland solle reguliert werden, und zwar „nicht nur durch die vielen Akteure im verborgenen Bild der Verantwortungsverteilung“, sagte Atug. Herpig kritisierte zudem die Intransparenz aufgrund nicht öffentlicher Dokumente. Alle wollen zusammen spielen. Laut Atug ist jedoch niemand verantwortlich, wenn etwas passiert. Überall gebe es „viele offene Angreifer“, die Frage, ob Systeme grob fahrlässig betrieben würden, „wenn wertvolle archäologische Fernüberwachungen, Betriebssysteme oder Netzwerkkomponenten mit veralteten Schwachstellen betrieben würden“ – unabhängig von den eingesetzten Sicherheitspatches hingegen nein fragt man. Einige Hersteller bieten – sofern ihre Firmen noch existieren – aufgrund des Alters der Software keine Patches mehr an.

Einigkeit herrschte auch bei der Frage nach der Art der Cyber-Abwehr – eine aggressive Cyber-Abwehr, beispielsweise in Form von Hackbacks, kam nicht in Frage. Laut Stefanie Frey vom Cyber-Security-Unternehmen Deutor ist ein DDoS-Angriff als Gegenmaßnahme meist nicht möglich, da die Täter nicht ausfindig gemacht werden können. Der Angriff kann auch andere Systeme betreffen. Sie forderte auch eine Stärkung der Polizei mit finanziellen Anreizen für Bewerber. Zudem fehlt es oft an Forschungskompetenzen. Daher melden die Opfer die Vorfälle in den meisten Fällen nicht, da es fast keine Erfolgsaussichten gibt.

Laut Atug kann von den 300.000 Polizisten „jeder einen Strafzettel ausstellen, aber nur ein kleiner Bruchteil kann Strafanzeige wegen Online-Vorfällen erstatten“. Auch Professor Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen, sieht einen Fachkräftemangel und fordert sogar eine Reform der juristischen Ausbildung, um sie „interdisziplinärer als bisher“ zu gestalten. IT-Anwälte müssen sowohl über juristisches als auch über technisches Wissen verfügen. Deshalb schlägt er vor, dass Juristen ihr Studium mit einem Master in Cybersecurity abschließen können.

Der Sprecher der AG Kritis kritisiert zudem, dass es in Deutschland zu wenig ausgebildete Fachkräfte in den Bereichen Programmierung, Algorithmen und Datenstrukturen gebe. Muss Kenntnisse für die digitale Beherrschung haben. Doch die Realität sieht anders aus. Die Community der Sicherheitsforschung sollte mit Entscheidungsträgern über die digitale Kompetenz des Faxgeräts diskutieren, „warum manche Verfahren und Angriffe einfach das Gegenteil bewirken“ und digital nicht nachhaltig sind. Daher sind Technologieschulden für zukünftige Generationen unvermeidlich – AG Kritis muss ständig das Feuer löschen. Wenn der Staat es wollte und tat, würden die Gesetze viel bewirken.

Laut Atug soll die IT-Sicherheit bundesweit „harmonisch und koordiniert“ sein, da das Internet keine Landesgrenzen kennt. Der Kritis-Arbeitskreis kritisierte zudem, dass die für IT-Sicherheit zuständigen Behörden in den Bundesländern teilweise Jahre hinter dem Stand der Technik zurückhingen und auf Basis veralteter wissenschaftlicher Erkenntnisse handeln. So weist die AG Kritis darauf hin, dass bayerische Behörden auf Anweisung des bayerischen Landesamtes regelmäßig ihre Passwörter ändern. Zur Umsetzung der NIS2-Richtlinie – der EU-Gesetzgebung zur Cybersicherheit – ist es wichtig, dass auch auf Länderebene zuständige Behörden benannt werden. Die Einrichtung anderer staatlicher Verwaltungsbehörden erscheint nicht sinnvoll.


(Mutter)

Für die Homepage

Source

Auch Lesen :  "Ein ZDF für alle Menschen in Deutschland": Mainzer freuen sich erneut über Spitzenplatz im TV-Sender-Ranking

Leave a Reply

Your email address will not be published.

In Verbindung stehende Artikel

Back to top button