„Brennende Hütten“ – Interview zum Zustand der IT-Sicherheit in Deutschland

Die Debatte um den miserablen Zustand der IT-Sicherheit in Deutschland führen wir seit vielen Jahren, zuletzt im Kontext der überfälligen Vorlage eines IT-Sicherheitsgesetzes 2.0 durch die Große Koalition. Die Bundesregierung hat dieses jahrelang verschleppte Gesetz zwar mittlerweile vorgelegt, geht aber seit Jahren überfällige Grundsatzentscheidungen im Bereich der IT-Sicherheit noch immer nicht an. Insgesamt ist sie, beispielsweise durch ihre völlig unklare Haltung zur Verschlüsselung, durch das Festhalten am staatlichen Handel mit Sicherheitslücken, die bewusste Blockade einer staatlichen Meldepflicht und – weitgehend im rechtsfreien Raum agierenden – Einrichtungen wie ZITIS in diesem zentralen Politikfeld weiterhin eher Teil des Problems denn der Lösung. In einem Interview, das ich mit dem Wochenmagazin Forum (Ausgabe 9/21) geführt habe, skizziere ich die Herausforderungen und versuche aufzuzeigen, was getan werden müsste, um auf aktuelle Herausforderungen zu reagieren und die IT-Sicherheit tatsächlich zu erhöhen. Das Interview im Original findet ihr auch auf den Seiten von FORUM.

„Brennende Hütten“

Die Bundesregierung bereitet ein IT-Sicherheitsgesetz 2.0 vor. Es geht um den Schutz kritischer Infrastrukturen: Wasser, Energie, Gesundheit, Telekommunikation. IT-Experte Konstantin von Notz (Grüne) kritisiert den Entwurf als zu schwach und will die IT-Sicherheit im Kanzleramt verankern.

Herr von Notz, Cyber­an­griffe richten Schäden in Höhe von mehr als 100 Milliarden Euro jährlich an? Wie kann das sein?

Wir sind mit allem was wir haben, mit unserer gesamten Infrastruktur, von der Wasser-, Energie- und Gesundheitsversorgung über das Finanzwesen und Logistikketten vor Jahren ins Digitale geritten – ohne uns ausreichend Gedanken über Sicherheitsmechanismen zu machen. Das rächt sich heute, in Zeiten, in denen wir täglich von verheerenden IT-Angriffen auf Unternehmen, auf digitale Infrastrukturen und demokratische Institutionen lesen müssen, bitter. Linus Neumann, Sprecher des Chaos Computer Clubs, hat in einer Anhörung zur IT-Sicherheit des Innenausschusses vor vielen Jahren das Bild eines Dorfes mit lauter brennenden Hütten gezeichnet, in dem hektisch und völlig kopflos mit Wassereimern versucht wird, einen Brandherd nach dem anderen zu löschen – statt sich im Vorfeld über die Minimierung von Risiken Gedanken zu machen und die notwendigen Brandmauern um das Dorf hochzuziehen. Geändert hat sich hieran bis heute wenig: Trotz jahrelanger Diskussionen kommt der Staat seiner – sich direkt aus unserer Verfassung ergebenden – Verpflichtung eines effektiven Schutzes privater Kommunikation und digitaler Infrastrukturen noch immer nicht nach.

Woran liegt das?

Wir haben insgesamt im Bereich der IT-Sicherheit ein massives „Lack of Regulation“. Oftmals wissen wir gar nicht, welche Komponenten an unseren digitalen Infrastrukturen hängen. Diese Sicherheitslücken werden genutzt – von Kriminellen, aber auch von Staaten. Und immer häufiger stehen eben auch kleine und mittlere Unternehmen im Fokus. Sie sind häufig damit überfordert, ihre In­frastrukturen gut abzusichern. Unterstützung bekommen sie dennoch kaum. All diese Probleme sind seit Jahren bekannt. Dennoch werden sie noch immer nicht angemessen politisch angegangen.

Wie sicher ist die Produktion von Corona-Impfstoffen vor Hackern? Sind unsere Impfzentren gefährdet?

Die massiven Versäumnisse im Bereich der IT-Sicherheit wecken Begehrlichkeiten, und Gelegenheit macht Diebe. Die sogenannten kritischen Infrastrukturen stehen dabei besonders im Fokus. Impfstoffe sind derzeit zweifellos ein knappes, äußerst begehrtes Gut. Und so ist auch das Wissen der Hersteller um die Zusammensetzung von Impfstoffen ein lukratives Ziel. Seit Monaten warnen die Sicherheitsbehörden vor Angriffen. Und die Gefahren sind alles andere als abstrakt. Mittlerweile schätzt auch die Bundesregierung die Gefahr derartiger Angriffe auf Hersteller, Liefer- und Kühlketten sowie Impfzentren als „hoch“ ein. Mehrere Angriffe und Spionageversuche ausländischer Geheimdienste auch auf deutsche Impfstoffhersteller sind dokumentiert. Während die Hersteller selbst gut geschützt waren, wurde die Europäische Arzneimittelbehörde EMA, die die Impfstoffe prüft und zulässt, erfolgreich angegriffen und sensible Daten entwendet. Das zeigt: Wir müssen alles in unserer Macht stehende tun, um Risiken zu minimieren und die Verletzbarkeit gegenüber derartigen Angriffen effektiv verringern.

Brauchen wir deshalb ein neues IT-Sicherheitsgesetz 2.0?

Die jahrelange Untätigkeit der Bundesregierung und die bewusste Nicht-Regulierung des digitalen Wandels sind verheerend – für den Grundrechtsschutz aber auch den Wirtschaftsstandort. Die Folge sind weiterhin extrem unsichere digitale Infrastrukturen und Geräte, erhebliche Abhängigkeiten von einigen wenigen Anbietern sowie eine fehlende Rechtssicherheit für Verbraucher wie Unternehmen. Dringend benötigtes Vertrauen in die Privatheit von Kommunikation sowie die Integrität digitaler Infrastrukturen, Geräte und Anwendungen entsteht so nicht. Bis heute gibt es kein funktionierendes System, das die Überprüfbarkeit der Integrität eingesetzter Hard- und Software von unabhängiger Seite gewährleistet, kaum Mindeststandards für den Einsatz von Geräten des „Internet of Things“ (IoT), die millionenfach in deutschen Haushalten verbaut sind und kein ausreichendes Haftungsregime. Schon bei Vorlage des IT-Sicherheitsgesetzes 1.0 vor etlichen Jahren gab es massive Kritik an dessen großen Lücken. Das Gesetz adressiert bis heute nur einen Ausschnitt der Gesamtproblematik. Grenzziehungen, wann man unter das Gesetz fällt, sind beliebig.

Was kritisieren Sie am Entwurf der Bundesregierung?

Zunächst einmal, dass wir jahrelang auf ihn warten mussten. Während alle Oppositionsfraktionen im Bundestag ihre Arbeit gemacht haben und vor Jahren umfassende Initiativen mit sehr konkreten Maßnahmen zur Erhöhung der IT-Sicherheit vorgelegt haben, hat die Bundesregierung bei einem Streit um die Rolle einzelner Anbieter beim 5G-Ausbau wertvolle Zeit vergeudet. Über Jahre gelang es nicht einmal der Kanzlerin, die unterschiedlichen Interessen verschiedener Ministerien unter einen Hut zu bringen. Dabei geht es nicht um einzelne Anbieter, sondern um Regulierung und das Setzen von Standards, die dann selbstverständlich auch für die Produkte von Anbietern aus den USA, aus Europa und auch aus Deutschland gelten müssen. Während im Bundestag ein Fachausschuss nach dem anderen Anhörungen durchgeführt hat, hat nur die Bundesregierung nicht geliefert. Ihr jetzt, in der allerletzten Schlaufe der Legislaturperiode vorgelegter Entwurf ist leider alles andere als der große Wurf – im Gegenteil. Eine überfällige Kehrtwende läutet er nicht ein.

Und was bedeutet das konkret in dem Gesetzesvorschlag der Bundesregierung?

Bis heute verfolgen wir noch immer einen rein reaktiven Ansatz. Das IT-Sicherheitsgesetz steht hierfür exem­plarisch. Gehandelt wird erst, wenn es schon zu spät ist, und ein Angriff erfolgreich war. Diejenigen, die Opfer geworden sind, werden noch bestraft, indem sie verpflichtet werden, ihre Sicherheitslücken an das Bundesamt für Sicherheit in der Informationstechnik (BSI), eine dem Bundesinnenministerium unterstellte Behörde, melden zu müssen. Was mit diesen Lücken geschieht, kann keiner so genau sagen.

Sie meinen die Unternehmen …

Ja. Statt sie zu drangsalieren, müssen wir die Unternehmen aktiv dabei unterstützen, in gute IT-Sicherheit zu investieren – beispielsweise über Steuererleichterungen. Wir brauchen Beratung durch unabhängige Einrichtungen, positive Anreize wie Gütesiegel, gute Auditierungs- und Zertifizierungsverfahren, durchgehende
Ende-zu-Ende-Verschlüsselungen als absoluten Standard, verpflichtende Sicherheitsupdates, neue Haftungsregelungen, die überfällige Klärung ungelöster Rechtsfragen und vieles mehr. Nur so kann Sicherheit für Anbieter und Endkunden effektiv erhöht werden. Und wir müssen uns als Politik endlich ehrlich machen und auch vor der eigenen Haustüre kehren.

Was meinen Sie damit?

Im Bereich der IT-Sicherheit brauchen wir eine echte Kehrtwende. Bislang ist die Bundesregierung eher Teil des Problems denn der Lösung. Denn noch immer wird man nicht nur der eigenen Schutzverantwortung nicht gerecht, sondern hält unbeirrt an der anlasslosen Massenüberwachung völlig unbescholtener Bürger fest, hehlt mit Sicherheitslücken auf dem Schwarzmarkt und sinniert offen über sogenannte „Backdoors“, also Hintertüren in Verschlüsselungen und allen Geräten des „Internet of things“. Dabei schien diese „Crypto-War“-Debatte international längst überwunden.

Also Krieg gegen die Hacker?

Diese Debatte wird immer wieder vonseiten konservativer Sicherheitspolitiker und der Spitze des Bundesinnenministeriums befeuert. Das alles ist jedoch pures Gift für die IT-Sicherheit und das genaue Gegenteil von dem, was man eigentlich erreichen will und wir weiterhin dringend brauchen. Das Bundeskanzleramt schaut bei alledem tatenlos zu: Noch immer werden digitalpolitische Grundsatzfragen und höchst unterschiedliche Interessenlagen nicht geklärt und noch immer wird eine Sicherheitspolitik verfolgt, die in Wahrheit Vertrauen schwächt und zusätzliche Unsicherheit erzeugt. Von einer guten IT-Sicherheitspolitik sind wir meilenweit entfernt.

Lassen Sie uns auf einzelne Punkte eingehen: Die Fahnder sagen, wir brauchen Schwachstellen und Sicherheitslücken, sonst kommen wir an die Schadsoftware nicht heran. Sie sagen, solche Lücken müsste man schließen. Wer hat Recht?

Sicherheitslücken betreffen oftmals Systeme, die von Millionen von Menschen weltweit genutzt werden. Wäre dem nicht so, wären sie für die Sicherheitsbehörden uninteressant, denn schließlich will man auf möglichst viele Kommunikationen zugreifen können. Diese Sicherheitslücken und „Zero Day Exploits“ werden eben nicht gemeldet und keineswegs im Zusammenspiel mit den Anbietern umgehend geschlossen. Lieber nutzt man sie für eigene Überwachungsprogramme wie den sogenannten „Staatstrojaner“ zur „Quellen-Telekommunikationsüberwachung“ und „Online-Durchsuchung“. Wer so agiert, handelt sicherheitspolitisch äußerst kurzsichtig, denn diese Lücken stehen damit eben weiter offen – und können nicht nur von deutschen Sicherheitsbehörden, sondern auch von Dritten für kriminelle Zwecke missbraucht werden.

Haben Sie Beispiele?

„Wanna Cry“ ist hierfür wohl das prominenteste Beispiel: ein von der US-amerikanischem NSA entwickeltes Schadprogramm für Windows, also ein Betriebssystem, das auf Abermillionen Rechnern weltweit installiert ist. Die Lücke wurde der NSA entwendet und 2017 für einen verheerenden IT-Angriff genutzt, bei dem über 230.000 Computer in 150 Ländern infiziert, Festplatten verschlüsselt und Lösegeldzahlungen für das Wiedererlangen der Daten verlangt wurden. Doch wer denkt, dass ein solches Agieren von deutschen Sicherheitsbehörden undenkbar ist, irrt: Auch deutsche Sicherheitsbehörden handeln auf Basis völlig unklarer Rechtsgrundlagen mit Lücken und arbeiten weiter mit hochdubiosen Sicherheitsfirmen zusammen. Während der Staat also den Unternehmen Vorgaben für das Melden eigener Sicherheitslücken macht, hält er sich selbst nicht an diese Vorgaben und sorgt aktiv für massive, zusätzliche Sicherheitsrisiken.

Was würden Sie konkret anders machen?

Zunächst müssen wir als Demokratie und Rechtsstaat verstehen, welchen Wert der Grundrechteschutz im Digitalen hat und wie groß die Gefahr ist, mühsam erkämpfte Freiheitsrechte zu verlieren, wenn wir nicht endlich überfällige Weichenstellungen angehen. Das Thema IT-Sicherheit muss einen gänzlich anderen Stellenwert bekommen und auf exekutiver Seite auf höchster Ebene verantwortet werden. Es muss aus dem Bundesinnenministerium herausgelöst und zukünftig aus dem Kanzleramt heraus verantwortet werden. Von hier aus müssen digitalpolitische Grundsatzentscheidungen gefällt und auch durchgesetzt werden.

Das wären welche?

Wir brauchen eine Absage an staatliche Massenüberwachung und ein klares Bekenntnis zur Verschlüsselung. Wir brauchen gute Rechtsgrundlagen, unabhängige Aufsichtsstrukturen und neue Haftungsregeln. Wir müssen die IT-Sicherheit gefährdende Maßnahmen beenden und eine staatliche Meldepflicht für Sicherheitslücken einführen. Wir müssen uns auf europäischer und internationaler Ebene mit anderen Demokratien zusammenschließen, um neue internationale Übereinkünfte zum Schutz privater Kommunikation und digitaler Infrastrukturen zu vereinbaren. All das ist zweifellos nicht banal, aber auch kein Hexenwerk – und weiterhin notwendig. Verbündete gibt es durchaus. Es muss nur noch der notwendige politische Wille aufgebracht werden, um zu verhindern, dass wir auch weiterhin von einer brennenden Strohhütte zur nächsten rennen.

Interview: Volker Thomas