Cyber Security – Das Schlachtfeld Internet

PODIUMSDISKUSSION

Nicht nur Global Player oder politische Institutionen können, wie aktuell der Cyber-Angriff auf den Deutschen Bundestag zeigt, von Hacker-Angriffen betroffen werden. Auch Privatpersonen sowie kleine und mittelständische Unternehmen werden zunehmend zum Ziel von Internetkriminalität. Die Fakultät Elektrotechnik, Medien und Informatik (EMI) lud am 1. Juli 2015 im Rahmen einer Podiumsdiskussion zu einem Austausch über diese aktuelle Entwicklung ein. Verena Osgyan, Sprecherin für Netz- und Datenschutzpolitik nahm zusammen mit weiteren bayerischen PolitikerInnen und ExpertInnen am Gespräch teil.

Organisiert wurde die Veranstaltung vom Laboratory for Safe und Secure Systems (LaS3), einem OTH-Forschungscluster. Zu Beginn informierte Prof. Dr. Andreas Aßmuth (Fakultät Elektrotechnik, Medien und Informatik) in seinem Impulsvortrag anschaulich über die verschiedenen Methoden der Hacker und Datenspione. Neben Privatpersonen werden auch kleine und mittelständische Unternehmen immer häufiger durch Hackerangriffe bedroht. Möglich werde dies durch die zunehmende Vernetzung von Industrieanlagen und kritische Infrastrukturen. Deshalb bekomme Computersicherheit einen immer größeren Stellenwert.

Im Anschluss diskutierten Doris Aschenbrenner (BayernSPD), Stephan Gerhager (Allianz Deutschland AG), MdL Eva Gottstein (Freie Wähler), MdL Dr. Florian Herrmann (CSU), MdL Verena Osgyan (Bündnis 90/Die Grünen) und Prof. Dr. Andreas Aßmuth intensiv über die aktuelle Situation in Deutschland. Deutschland ist zu einer Zielscheibe geworden, darin waren sich alle Diskussionsteilnehmerinnen und –teilnehmer einig. Kontrovers wurde dagegen diskutiert, was die Politik dagegen tun könne, denn das neue IT-Sicherheitsgesetz sei zwar ein Anfang, aber nicht ausreichend.

Mit ihrem Eingangsstatement macht Verena gleich klar, das Datenschutz und Datensicherheit keineswegs ein Thema ist, dass einseitig allein als individuelles Risiko betrachtet werden darf:

„Die Gesellschaft lebt momentan im digitalen Biedermeier, während der Staat fleißig Verbindungsdaten sammelt, Privatfirmen Nutzerverhalten ausspähen und Hacker den deutschen Bundestag lahmlegen. Den Bürgerinnen und Bürgern wird aber eingetrichtert „Pass bloß auf, was du auf Facebook postest“.  Holen wir uns endlich die Verfügungsgewalt über unsere Daten zurück. Nehmen wir die Politik in der Pflicht, um sowohl die Unternehmen als auch die Zivilgesellschaft angemessen zu unterstützen und zu schützen.“ 

 

Im Vorfeld der Veranstaltung bat Prof. Aßmuth die TeilnehmerInnen, sich anhand bestimmter Fragen mit dem Themenkomplex auseinanderzusetzen. Hier finden Sie die Fragen und Verenas Antworten im Volltext:


EMI-Forum: 
Durch das Aufwachsen im Internet und den sozialen Netzwerken ist es für die jüngere Generation scheinbar selbstverständlich persönliche Daten und Bilder im Netz offenzulegen. Wie sehen Sie diese Entwicklung und geht da die Diskussion um Datenschutz nicht am Thema vorbei, weil absehbar ist, dass für unseren Nachwuchs das sowieso nicht mehr von Bedeutung sein wird?
Verena Osgyan:
Das Gegenteil ist m.E. der Fall – auch wenn junge Menschen vielfach unbefangener mit digitalen Diensten umgehen, habe die meisten doch ein sehr klare Bewusstsein davon, was sie öffentlich von sich preisgegeben wollen und was nicht. Unabhängig davon hat jede/r schlicht ein Anrecht darauf, dass private Kommunikation oder sensible Daten wie z.B. Gesundheitsdaten auch sicher sind. Der Staat hat dies zu garantieren, anstatt angesichts ungeheurer Grundrechtsverstöße bequem die Verantwortung auf die einzelnen Nutzer abzuschieben. Medienkompetenz ist wichtig und wir sind hier natürlich in der Verantwortung im Bereich der Digitalen Bildung jungen Menschen zu helfen einen souveränen Umgang mit digitalen Medien zu ermöglichen und für Gefahren zu sensibilisieren. Aber das darf kein Alibi sein, um die real existierenden Sicherheits- und Datenschutzprobleme leichtfertig zu vernachlässigen. In diesem Zusammenhang daher auch mein Eingangs-Statement.

EMI-FORUM: Bezugnehmend auf den Schutz personenbezogener Daten hat das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung als Grundrecht aus Art. 1 Absatz 1 GG i.V.m Art 1 Abs. 1 GG abgeleitet. Was streben Sie an, um zu gewährleisten dass jeder Bürger dieses Recht auch im Internet wahrnehmen kann?
Verena Osgyan: Bündnis 90/Die Grünen setzen sich für mehr Datenschutz im Netz ein. Konkret bedeutet dies, dass wir endlich eine europäische Vereinheitlichung der Datenschutzregeln benötigen (aktuell EU-Datenschutzgrundverordnung). Wenn Daten von Nutzerinnen und Nutzern erhoben werden, sprechen wir uns für eine strenge Anwendung der Opt-In Regelung aus, d.h. Daten sollen nur dann genutzt werden dürfen, wenn der oder die Betroffene dieser Nutzung freiwillig zustimmt. Opt-Out Regelungen, nach der die oder der Betroffene der Nutzung seiner Daten aktiv widersprechen muss, lehnen wir ab.

EMI-Forum: Das Thema IT-Sicherheit ist ja derzeit täglich in den Medien, woran liegt es, dass diese Probleme überhaupt existieren, warum sind Computer überhaupt so anfällig? Warum kann man sie nicht sicherer machen?
Verena Osgyan:
Man kann Computer natürlich sicherer machen. Wir können alle mit unserem eigenen Nutzerverhalten dazu beitragen, dass Computer sicherer werden (Virenprogramm, regelmäßig wechselnde Passwörter, gesundes Misstrauen gegenüber unbekannten E-Mail-Absendern). Aber es gibt schon einige hausgemachten Grundprobleme, die unter anderem auch an der herrschenden Monokultur einiger weniger proprietärer Softwareanbieter liegen und daran, das bei der Entwicklung von Software bisher zu wenig wert auf offene Standards gelegt wurde, was das schnelle Erkennen und Beheben von Schwachstellen erschwert. Unabhängig davon braucht es meiner Ansicht nach auch für die Hersteller andere Haftungs- und Gewährleistungsregelungen, um Unsicherheit teurer zu machen als Untätigkeit. Wir wollen außerdem keine Kriminalisierung des Aufdeckens von Sicherheitslücken. In Bezug auf das neue IT-Sicherheitsgesetz fordern wir, die Meldepflicht für Sicherheitsvorfälle verbindlich statt freiwillig zu gestalten, Auch öffentliche Stellen einzubeziehen und nicht nur auf kritische Infrastruktur zu beschränken.

EMI-Forum: Sind die deutschen Bürger im Internet überhaupt noch Herr über ihre eigenen Daten, oder ist der gläserne Bürger schon Realität?
Verena Osgyan:
Der gläserne Bürger ist in weiten Teilen Realität, es ist nun an der Zeit, dass wir uns die Verfügungsgewalt über unsere Daten zurückerobern. Hier ist die Politik gefragt. Wir brauchen internationale Regelungen. Die geplante EU-Datenschutzgrundverordnung muss endlich die aus dem Jahr 1995 stammende Datenschutz-Richtlinie ablösen, da wir mit nationalen Vorschriften wenig Wirkung erzielen werden und nur so auch die marktbeherrschenden Unternehmen aus Übersee nach einem einheitlich hohen europäischen Datenschutzstandard belangen können.

EMI-Forum: Sind sie der Ansicht, das Internetkriminalität ausschließlich ein Problem der Großstädte ist und Bürger und Unternehmen in kleinen Städten wie hier in Amberg bleiben davon verschont?
Verena Osgyan:
Internetkriminalität ist ein flächendeckendes Phänomen und tritt völlig unabhängig davon auf, ob der Nutzer/die Nutzerin sich physisch in einer Großstadt oder im ländlichen Gebiet aufhält. Das Internet unterscheidet hier nicht.

EMI-Forum: Nach der im Vortrag gezeigten Statistik gehen mehr als 60% der digitalen Angriffe gegen kleine und mittelständische Unternehmen. Wie sehen Sie den IT-Sicherheitsstandards der KMUs in Bayern, gerade vor dem Hintergrund der Industrie 4.0?
Verena Osgyan:
Der Sicherheitsstandard der mittelständischen Bayerischen Unternehmen muss natürlich erhöht werden. Die Unternehmen dürfen dabei aber auch nicht allein gelassen werden.
Derzeit bietet die Staatsregierung eine Beratung durch das Cyber Allianz Zentrum (CAZ) beim BayLfV an. Damit wird der Bock zum Gärtner gemacht. Wir wollen nicht, dass die Unternehmen zum Verfassungsschutz gehen müssen, um sich über Cyberkriminalität zu informieren. Die Beratung durch den Verfassungsschutz ist eine grundlegend falsche Entscheidung durch die Staatsregierung (systemwidrige Doppelstrukturen). Und es wird – wen wundert’s – auch kaum angenommen. 2014 gab es gerade mal 160 Anfragen aus der Wirtschaft. Hier sehen wir, analog anderer Verbrechensfelder wie der Einbruchskriminalität, die Polizei als richtigen Ansprechpartner. Gleichzeitig braucht es für KMUs auch im Bereich passive IT-Sicherheit deutlich bessere Förderungs- und Beratungsangebote.

EMI-Forum: Können kleine und mittelständische Unternehmen die Anforderungen an Cybersicherheit bei Projekten im Bereich der Automatisierungstechnik bzw. Industrie 4.0 überhaupt leisten, ist das Know-How dort vorhanden?
Verena Osgyan:
Gerade KMUs haben hier häufig noch deutlichen Nachholbedarf und sehen das Thema Industrie 4.0 und vernetzte Produktion daher für sich noch – mit Recht – sehr skeptisch. Dass Bayern hier mit dem neuen Zentrum für Digitalisierung einen Schwerpunkt in der IT-Sicherheit setzen will und das auch über Branchenplattformen den Unternehmen verfügbar gemacht werden soll, halte ich daher für einen richtigen Schritt. Gerade die KMUs brauchen aber deutlich bessere Vernetzungsplattformen untereinander und zu den Forschungseinrichtungen, um mit der Entwicklung Schritt halten zu können oder überhaupt erst für Industrie 4.0 fit zu werden. Diese Probleme hat ein Siemens oder ein BMW nicht, ein Förderschwerpunkt muss daher m.E. ganz besonders bei den KMUs liegen.

EMI-Forum: Wie schätzen Sie die Cyber-Sicherheit kleiner mittelständischer Unternehmen ein, können die sich gegen einen echten Angreifer wehren bzw. kommen diese überhaupt mit dass sie angegriffen werden?
Verena Osgyan:
Der Standard dürfte höchst unterschiedlich sein und auch der Fall, das Unternehmen gar nicht merken, dass sie Opfer eines Angriffs geworden klingt durchaus plausibel.

EMI-Forum: Was halten Sie als Ergänzung des neuen IT-Sicherheitsgesetzes von einer verpflichtenden Zertifizierung, bevor ein Unternehmen Industrie 4.0 überhaupt einführen darf?
Verena Osgyan:
Ich sehe das eher kritisch, denn diese Standards müssten erst noch erarbeitet werden und ich sehe die Gefahr dass es gerade KMUs von Innovationen abhält.

EMI-Forum: Haben wir in Deutschland eigentlich genügend Experten, die sich mit dem Thema IT-Sicherheit, gerade im industriellen Umfeld, auskennen oder fehlt es schon an Nachwuchs?
Verena Osgyan:
Der Bedarf ist riesengroß, wie sich auch an den hervorragenden Gehaltsaussichten in diesem Bereich zeigt. Wir müssen deshalb die Ausbildungsmöglichkeiten im Bereich IT-Sicherheit deutlich ausbauen – quantitativ und qualitativ.

EMI-Forum: Eine Frage an die Innenpolitik: Findet Cybercrime in Bayern statt und wie sind unsere Strafverfolgungsbehörden aufgestellt? Haben wir eine Handhabe oder schau die Polizei machtlos zu? Was waren Ihrer Meinung nach die gravierendsten Vorfälle der letzten Jahre?
Verena Osgyan:
Cybercrime in Bayern ist höchst real – gegenüber dem Vorjahr haben die Fälle bei der Internetkriminalität 2014 in Bayern um 10,6 Prozent auf 24.292 Fälle zugenommen. Die Aufklärungsquote stagniert allerdings bei einem Drittel. Die Polizei schaut nicht tatenlos zu, ist allerdings noch immer zu knapp aufgestellt. Zwar hat der Innenminister die Anstellung sogenannter Cyber-Cops angekündigt. Allerdings konnten nicht alle bei der Polizei gehalten werden. Einige sind bereits in die Wirtschaft abgewandert. Außerdem muss das Know-How in der Fläche ausgebaut werden. Wir benötigen hier eine breit angelegte Fortbildung in den Polizeiinspektionen im Bereich Internetkriminalität, da das Phänomen eben nicht nur die Städte trifft.

EMI-Forum: Im Vortrag wurde eine Preisliste für Cybercrime-Leistungen gezeigt. Sehen Sie eine Verbindung von Cybercrime und organisierter Kriminalität der „alten Schule“?
Verena Osgyan:
Cybercrime ist in vielen Fällen mit organisierter Kriminalität gleichzusetzen. Es handelt sich dabei um mafiöse Strukturen, die im Darknet aktiv sind, das zunehmend auch für Aktivitäten aus dem klassischen Bereich der organisierten Kriminalität wie Rauschgifthandel genutzt wird. Anonyme Dienste wie TOR in diesem Zusammenhang gleich mit zu verteufeln halte ich aber gleichzeitig für verfehlt – es gibt viele legitime Gründe, entsprechende Plattformen zu nutzen, z.B. auch für Dissidenten aus Unrechtsstaaten.

EMI-Forum: Vor dem Hintergrund des Bedarfs der Industrie an IT-Sicherheitsleistungen: Ist es Ihrer Meinung nach erforderlich, dass dieses Thema auch in der Lehre an Hochschulen stärker in der Vordergrund rückt? Was halten Sie von der Einführung spezieller Studiengänge zum Thema Cyber-Sicherheit?
Verena Osgyan
: Ich halte das Thema IT-Sicherheit für eines der wichtigsten Themen, in die wir in Bayern sowohl in Forschung wie auch in der Lehre investieren sollten, und dabei heißt es eher klotzen als kleckern. Spezielle Studiengänge halte ich ebenfalls für sinnvoll und es sollte dabei eine enge Zusammenarbeit der regionalen Hochschulen mit den neuen Zentrum für Digitalisierung in Garching geben, um Synergien zu nutzen und aktuelle Standards zu vermitteln. Gleichzeitig sehe ich aber IT-Sicherheit auch als Querschnittsthema, dass möglichst breit in der Informatik und in den Ingenieurwissenschaften vermittelt werden sollte.

EMI-Forum: Zeigt der aktuelle Cyber-Angriff auf den Deutschen Bundestag, dass Deutschland Ziel im Cyber-War ist?
Verena Osgyan:
Es besteht zwar kein Grund zur Panik, es ist aber nicht zu leugnen dass wir uns bereits ständigen Angriffen ausgesetzt sehen und uns deshalb insgesamt besser aufstellen müssen. Der höchst professionell durchgeführte Angriff auf Bundestag war aller Wahrscheinlichkeit nach nicht aus dem Bereich der organisierten Kriminalität, sondern durch einen Geheimdienst. Dies wirft die Frage auf, welche Macht die Dienste haben. Die Bundesregierung machte aber bisher schon keine gute Figur in der NSA-Affäre. Nachdenklich stimmen sollte auch, dass der Bundestag die Infiltration auch nach mehr als zwei Monaten nicht in den Griff bekommen hat, und vor allem die Kommunikation darüber völlig hilflos und unprofessionell abgelaufen ist. Hier arbeiten wir im Bayerischen Landtag u. A. in der IUK-Kommission fraktionsübergreifend daran, dass uns so etwas zumindest nicht so unvorbereitet treffen kann und im Zweifelsfall ein Aktionsplan vorhanden ist.

EMI-Forum: Müssen wir in Bayern Angst vor einem Zusammenbruch kritischer Infrastruktur (z.B. Blackout) als Resultat eines Cyber-Angriffs haben?
Verena Osgyan:
Das der Strom ausfällt, halte ich für höchst unwahrscheinlich. Aber man soll nie nie sagen.

EMI-Forum: Von welchen Gruppierungen oder Ländern geht derzeit für Bürger und Unternehmen in Bayern die grüßte Gefahr im Internet aus?
Verena Osgyan:
Diese Frage lässt sich meines Erachtens derzeit nicht seriös beantworten.

EMI-Forum:  Die Forderung nach Offenlegung der Selektorenliste für den Deutschen Bundestag führte zu erheblichen Diplomatischen Spannungen zwischen Deutschland und den USA. Können wir es uns als Deutsche bei der aktuellen Bedrohungslage überhaupt leisten, die USA vor den Kopf zu stoßen?
Verena Osgyan:
Gute Beziehungen mit USA sind wichtig, dennoch leben wir in einem Rechtsstaat und auch Geheimdienste wie der BND müssen parlamentarisch kontrollierbar sein. Es ist nicht akzeptabel, wenn ausländische Dienste mit Hilfe des BND in Deutschland Betriebsspionage betreiben und unsere Regierung schaut nahezu tatenlos zu. Das Ermittlungsarbeit dennoch notwendig und richtig ist um Gefahren abzuwehren ist außer Frage, aber wir brauchen eine funktionierende parlamentarische Kontrolle und anstatt anlassloser Massenüberwachung gezielte verdachtsabhängige Eingriffe. Hier hat sich leider etwas vollkommen verselbständigt, was unsere Freiheit immer mehr einschränkt anstatt sie zu schützen. Denn auch Menschen, die eigentlich nichts zu befürchten haben sollten verändern ihr Verhalten wenn sie wissen dass sie überwacht werden. Dadurch wird unserer Gesellschaft als Ganzem geschadet.

EMI-Forum: Was kann Ihrer Meinung nach Deutschland und Bayern unternehmen, um in Hinblick auf die Snowden-Offenbarungen unabhängiger von den USA zu werden?
Verena Osgyan: Snowden hat klar dargelegt, dass verschlüsselte Kommunikation zumindest zum damaligen Stand einen guten Schutz vor Ausspähung bietet. Noch sind aber selbst nach Ansicht von Aktivisten des CCCs Verfahren wie PGP knapp an der Unbedienbarkeit. Wir brauchen massive Investitionen in anwendertaugliche Ende-zu-Ende-Verschlüsselungstechnologien und entsprechende Standards. Hier könnte Forschung in Bayern Maßstäbe setzen und gleichzeitig unseren Standort damit stärken. Wie notwendig das ist hier die zivile Anwendungen zu stärken und damit unabhängiger zu werden, zeigt sich darin das IT-Sicherheitsforschung und Verschlüsselungstechnologe in den USA in ganz enger Zusammenarbeit mit den Diensten und dem Streitkräften entwickelt wird. Über 30% des Etats des MITs kommt beispielsweise vom US-Verteidigungsministerium wie ich letztes Jahr bei einem Besuch dort erfahren durfte.

EMI-Forum: In der jüngeren Vergangenheit haben Angriffe durch Hacktivisten wie Anonymus auf große Unternehmen wie Sony aufsehen erregt. Diese Angriffe zeigen, dass selbst große Unternehmen verwundbar gegen Cyber-Attacken sind.
Inwiefern ist zu befürchten, dass sich künftig Hacktivisten, wie z.B. das Anonymous-Kollektiv, zukünftig auch am Cyberwar beteiligen?
Verena Osgyan:
Wenn wir ansehen, welche Attacken durch Hacktivisten wie Anonymous bisher durchgeführt werden, sind diese meist in der einen oder anderen Form idealistisch motiviert und auch nicht darauf angelegt, Unternehmen dauerhaft zu schädigen bzw. finanziell zu erpressen. Beispiele wie den Paypal Hack, der erfolgt ist, weil Paypal keine Zahlungen an die CCC-nahe WAU-Holland-Stiftung ermöglichte zeigen das eindeutig. Das Hackaktivisten in Folge gerade in den USA unverhältnismäßig verfolgt wurden, wurde erst letztes Jahr auf dem Chaos Communication Kongress ein großes Thema. Dennoch ist nicht auszuschließen, das einzelne ihre Kenntnisse und Fähigkeiten auch in klassisch-krimineller Weise nutzen oder nutzen werden. Auch gibt es viele Trittbrettfahrer. 

EMI-Forum: In Ihrem Blog haben Sie sich Ende März zum aktuellen Bericht des Landesamts für Datenschutzaufsicht geäußert und dazu angehalten, das Personal aufzustocken. Welche weiteren Maßnahmen sollte der Bayerische Landtag Ihrer Meinung nach in Bezug auf den Datenschutz unternehmen?
Verena Osgyan:
Wir brauchen natürlich zuallererst eine Aufstockung des Personals beim Landesbeauftragten für Datenschutz (öffentlicher Bereich, derzeit ca. 30 Mitarbeiter) und beim Bayerischen Landesamt für Datenschutzaufsicht (privater Bereich, derzeit 17 Mitarbeiter). Speziell das Landesamt für Datenschutzaufsicht muss mit dem knappen Personalstamm wahre Sysphus-Aufgaben schultern. Nicht nur die Zahl der Beratungen, Beschwerden und Beanstandungen ist stark gestiegen, bei Themen wie Smart-TV oder Apps müssen dort mittlerweile richtiggehenden Testlabore betrieben werden um in Bezug auf die neuen konvergenten Endgeräte überhaupt einen Überblick über die datenschutzrelevanten Übertragungen zu bekommen. Hier ist jedes Gerät aktuell erst einmal eine Black box, von Herausforderungen wie E-Medizin, autonomes Fahren etc. gar nicht reden. Mit der – hoffentlich bald kommenden – Einführung eines starken paneuropäischen Datenschutzrechts durch die EU-Datenschutzgrundverordnung kommen auf die Datenschutzbehörden im Freistaat noch einmal ganz andere Herausforderungen zu, da sie dann als Ansprechpartner für Bürgerinnen und Bürger auch bei Konflikten mit internationalen Anbietern herhalten müssen. Das ist mit dem aktuell vorhandenen Personal unmöglich zu stemmen. In diesem Zusammenhang müssen wir auch weiterhin an eine Zusammenlegung der Stellen für den öffentlichen und privaten Bereich im Sinne einer unabhängigen Stelle wie in Schleswig-Holstein nachdenken. Inhaltlich gibt es natürlich auch jede Menge Verbesserungspotenzial.
Als unsere wichtigsten Forderungen möchte ich zuallererst die Abschaffung der Befugnis der Online-Durchsuchung durch Bayerns Polizei und Verfassungsschutz nennen.
Wir stellen uns ebenso gegen die Wiedereinführung der Vorratsdatenspeicherung, da diese anlasslos unbescholtene Bürgerinnen und Bürger unter Generalverdacht stellt und sich nach den Erfahrungen in Frankreich zudem als völlig wirkungslos bei der Terrorabwehr herausgestellt hat.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.