Das Seminar begann mit einer allgemeinen Bestandsaufnahme der IT–Sicherheitslage in Deutschland. Dafür lässt sich kaum eine geeignetere Organisation vorstellen als das Bundesamt für die Sicherheit in der Informationstechnik (BSI), eine Behörde im Geschäftsbereich des Bundesministeriums des Innern, mit über 500 Informatikern, Physikern, Mathematikern und anderen Mitarbeitern.

Ein Vertreter des BSI gab einen umfassenden Überblick über die Ansprechpartner der Behörde. Dazu gehören sowohl Einzelpersonen als auch kleine und mittlere Unternehmen (KMU), Großunternehmen, Betreiber kritischer Infrastrukturen, die öffentliche Verwaltung, Hersteller von IT-Produkten und von IT-Sicherheitsprodukten. Diese berät das BSI über Risiken beim Einsatz der Informationstechnik und versucht, jeweils geeignete Lösungen zu finden.

Risiken in der IT-Technik ergäben sich insbesondere aus dem Umfang und der Komplexität heutiger Software, der Dauer der Abhilfe nach Entdeckung einer Schwachstelle, der Möglichkeit, bekannt gewordene Schwachstellen zu nutzen aber auch diese schlicht zu „kaufen“. Cyber-Angriffe erfolgten vorwiegend durch „Spionage-Trojaner“ und „Sabotage-Trojaner“, Identitätsdiebstahl sowie bewusste Überlastung durch massive e-mail-Wellen. Grob gerechnet gäbe es pro Sekunde 2 neue Schadprogramme und pro Minute zwei gestohlene Identitäten. Auch normales „Internet-Surfen“ sei nicht ohne Gefahr, da z.B. Werbeanzeigen mit Schadsoftware präpariert sein können. Eine Verbesserung der Situation müsse auf mehreren Ebenen erfolgen: insbesondere einer Sensibilisierung der Wirtschaft, vor allem der KMU, einer ständigen Aktualisierung des behördlichen Informationsstandes, was die Wirtschaft braucht, ggf. einer Aktualisierung des notwendigen rechtlichen Handlungsrahmens, neuer technischer Maßnahmen (z.B. neuer Personalausweis, de-mail) sowie politischer Initiativen wie des Cyber-Abwehrzentrums und die task force „IT-Sicherheit in der Wirtschaft“.

In dem anschließenden Panel stellten Experten des Bundeskriminalamts (BKA), des Bundesamts für Verfassungsschutz (BfV) und der Commerzbank die aktuelle IT-Sicherheitslage aus Sicht ihrer Behörden bzw. ihres Unternehmens dar.

Aus Sicht des Bundeskriminalamts ist die Steigerungsrate der Internet-Kriminalität Besorgnis erregend; die Dunkelziffer sei hoch, zumal Straftaten von der Wirtschaft aus Sorge um die eigene Reputation oft nicht angezeigt würden. Phishing, digitale Schutzgelderpressung und Identitätsdiebstahl spielten eine herausgehobene Rolle. Das Täterprofil lasse sich meist als netzwerkartige Zusammenarbeit mit kurzfristigen, zweckgerichteten Kooperationen von Kleingruppen charakterisieren.

Im Visier der Spionage stehen neben Politik und Militär auch Wirtschaft, Wissenschaft und Technik; dieser Methoden würden sich nach Erkenntnissen des BfV nicht nur in besonderem Maße die Nachrichtendienste Russlands, Chinas und des Irans sondern auch wirtschaftliche Konkurrenzunternehmen bedienen. Die Anzahl elektronischer Angriffe stiege konstant, beispielsweise habe es auf den Informationsverbund Berlin – Bonn (IVBB), an den ca. 30.000 Computer - Arbeitsplätze von Bundesbehörden angeschlossen sind, im Jahr 2009 ca. 1500, im Jahr 2010 ca. 2.100 erkannte Angriffe mit nachrichtendienstlichem Hintergrund gegeben. Nach einer Studie der KPMG von 2010 habe eine Befragung von 500 Führungskräften aus KMU und Großunternehmen ergeben, dass 25% der Unternehmen in den letzten drei Jahren von elektronischer Kriminalität betroffen gewesen seien. Die elektronischen Angriffe würden insbesondere mit e-mails mit verseuchten Anhängen, homepages („drive-by“) sowie mobilen Datenträgern wie USB-Sticks, externen Festplatten, Speicherkarten, MP3-Playern, Laptops und Smartphones ausgeführt.

Nach Auffassung des Bankenvertreters wachse der Cyberraum, der im Hinblick auf seinen wirtschaftlichen Nutzen und sein Potential unverzichtbar sei, mit einer Geschwindigkeit, die eine angemessene Kontrolle fast unmöglich mache. Eine 100%ige Sicherheit sei eine Fiktion, entscheidend sei die Definition und Umsetzung eines für die individuellen Bedürfnisse „angemessenen Sicherheitsniveaus“, wobei es sehr häufig einen Zielkonflikt zwischen Sicherheit und komfortabler Anwendung gäbe. Nicht jede Schwachstelle sei gefährlich, das werde sie erst dann, wenn sie im konkreten Fall auch zu missbrauchen sei. Die Erfahrungen zeigten, dass für die Funktionsfähigkeit von Unternehmensprozessen Bedrohungsanalysen wichtig seien, darüber hinaus Ausbildung und Training der Mitarbeiterinnen und Mitarbeiter in diesem Bereich.

Mit den Konsequenzen, die die Bundesregierung aus der aktuellen IT- Sicherheitslage zieht, befasste sich anschließend der Mitarbeiter des Bundesinnenministeriums (BMI). Der IT-Stab des BMI ist innerhalb der Bundesregierung zuständig für den Entwurf und die Abstimmung der „Cyber-Sicherheitsstrategie für Deutschland“, die am 23. Februar 2011 vom Bundeskabinett verabschiedet worden ist. Dem IT-Rat als zentralem Gremium für die ressortübergreifende Steuerung auf Bundesebene steht die Staatssekretärin aus dem BMI Rogall-Grothe vor. Die Motivation für die neue Strategie seien insbesondere die zunehmende Vernetzung und Virtualisierung, die verkürzten Innovationszyklen, die Konkurrenz- und Wettbewerbsspionage und die kriminelle Schattenwirtschaft. Das Internet sei auch als öffentlicher Raum zu verstehen, dessen Sicherheit der Staat schützen müsse, ebenso wie seine kritische Infrastruktur. Vorgesehen sei insbesondere eine Verbesserung kritischer Informationsinfrastrukturen durch eine engere strategische und organisatorische Zusammenarbeit, der Sicherheit der IT - Systeme durch konkrete Maßnahmen in den Bereichen Organisation, Technik und Recht, der Vernetzung aller wesentlichen Akteure in einem Nationalen Cyber-Abwehrzentrum unter Federführung des BSI sowie eine Koordinierung präventiver Instrumente und übergreifender Politikansätze in einem neuen Nationalen Cyber-Sicherheitsrat. Im Bereich der Internationalen Zusammenarbeit sei besonders wichtig die Harmonisierung des Strafrechts auf der Grundlage der Convention on Cyber Crime, eine Verlängerung und maßvolle Erweiterung des Mandats der European Network and Information Security Agency (ENISA) sowie ein Kodex für staatliches Verhalten im Cyber-Raum. Das BMI arbeitet im Übrigen eng mit der NATO zusammen. So empfing die Staatssekretärin im BMI Rogall-Grothe im Februar 2011 den Beigeordneten NATO Generalsekretär zu einem Gespräch im Bundesinnenministerium.

Der zweite Tag der Veranstaltung beleuchtete den internationalen Kontext von Cyber Security. Auf dem von Dr. Roman Schmidt-Radefeldt moderierten Panel referierten ein Vertreter des Auswärtigen Amtes zum Thema: „Cyber-Außenpolitik und internationale Normbildung für den Cyber-Raum“, ein Repräsentant des Internationalen Stabes der NATO zum Thema: „Cyber Security im neuen Strategischen Konzept der NATO“ sowie ein Experte von der EU-Agentur ENISA (European Network and Information Security Agency) Heraklion/Kreta zum Thema: „Cyber Security als Europäische Herausforderung.“

Der Diplomat gab zunächst einen kurzen Überblick über die Cyber-Außenpolitik der Bundesregierung sowie die mannigfaltigen Aktionsfelder von internationalen Organisationen und Foren (z.B. OSZE, Europarat, G8) auf dem Gebiet von Cyber Security. Das Auswärtige Amt habe einen Cyber-Koordinierungsstab eingerichtet und besetze Posten mit Cyber-Beauftragten an deutschen Auslandsvertretungen. Der Koordinierungsstab erarbeite entsprechend dem Auftrag der neuen Cyber-Sicherheitsstrategie die deutsche Position für internationale Gremien. 

Der Referent wies nicht nur auf die wichtige wirtschaftliche Dimension der Cyber-Außenpolitik hin, sondern machte auch deutlich, dass die grundrechtliche Kommunikations- und Informationsfreiheit im weltweiten Internet Mittel zur Förderung von Demokratie und Menschenrechten seien, wie dies die demokratischen Revolutionen in Nordafrika gezeigt hätten.

Mit Blick auf die NATO schlug er den Bogen von Cyber Security zu Cyber War und stellte dabei heraus, dass die traditionellen Begrifflichkeiten (Krieg, Zurechnung, Kombattant etc.) sowie die herkömmlichen Instrumente der Sicherheitspolitik im Cyber Raum nur begrenzte Anwendungsmöglichkeiten hätten. Bei DDoS (distributed denial of service)-Attacken verwenden die Angreifer häufig grenzüberschreitende infizierte Systeme von ahnungslosen Benutzern, was eine Attribution nahezu unmöglich mache. Vor diesem Hintergrund sei ein zweigleisiger Ansatz notwendig: Zum einen sollten robuste Abwehrmaßnahmen getroffen werden, um Angreifer durch Verweigerung des Erfolgs abzuschrecken; zum anderen sollte durch internationale Regelbildung der Rahmen für zulässiges staatliches Verhalten im Cyberspace abgesteckt werden. In diesem Zusammenhang gab der Referent einen kurzen Ausblick auf die verschiedenen Vorschläge und Ansätze zur internationalen Normbildung in Form von (rechtlich unverbindlichen) Verhaltenskodizes für Cybersicherheit (norms of behaviour), die aus deutscher Sicht u.a. folgende Elemente enthalten sollten: Frühwarnmechanismen, Transparenzmechanismen, technische Kooperation, Krisenkommunikationskanäle und focal points.

Der Vertreter der NATO wies auf die zunehmende Bedeutung von Cyber Security im Rahmen der NATO hin, die im neuen Strategischen Konzept der Allianz von 2010 sowie im Cyber Defence Concept der NATO vom März 2011 ihren jüngsten Niederschlag gefunden habe. Er referierte zunächst über die institutionellen Neuerungen im Rahmen der NATO seit den Cyber-Attacken auf Estland 2007 wie z.B. die Cyber Defence Management Authority zur Koordination von Cyber-Defence-Strukturen sowie die Emerging Security Challenges Division als Folge des Stuxnet-Virus 2010 und gab sodann einen Überblick über die Cyber-Defence-Fähigkeiten der NATO, die auf der Grundlage des neuen strategischen Konzepts und in enger Kooperation mit den Bündnispartnern erweitert und ausgebaut würden.

Der Experte der EU-Agentur ENISA stellte in seinem Vortrag die 2004 gegründete EU-Agentur – eine Koordinations- und Anlaufstelle für die Mitgliedstaaten auf dem Gebiet der Netzwerksicherheit – vor. ENISA werde von einem geschäftsführenden Direktor geführt und verfüge über circa 50 Mitarbeiter. Überwacht werde die Agentur von einem Verwaltungsrat, welcher sich aus Delegierten der Mitgliedstaaten, der Europäischen Kommission und Interessenvertretern der Wirtschaft, des Verbraucherschutzes und aus der Forschung zusammensetzt. Die Aufgabe von ENISA bestehe darin, in der EU die erforderliche hochgradige Netz- und Informationssicherheit zu gewährleisten, indem sie einzelstaatlichen Behörden und den EU-Institutionen fachkundige Ratschläge zur Netz- und Informationssicherheit erteilt, als Forum für den Austausch bewährter Verfahren fungiert und Kontakte zwischen EU-Institutionen, staatlichen Behörden und Unternehmen erleichtert. Gemeinsam mit den EU-Institutionen und den staatlichen Behörden strebe ENISA danach, eine Sicherheitskultur für EU-weite Informationsnetze zu entwickeln. Überdies leiste ENISA Beiträge zur Sensibilisierung und Informationsvermittlung, unterstütze die Europäische Kommission und die Mitgliedstaaten in ihrem Dialog mit der Industrie, fördere Maßnahmen zur Risikobewertung und zum Risikomanagement und sei schließlich Vorreiter auf dem Gebiet der Entwicklung von Standards und Normen für die Sicherheit im Cyber-Raum.

Autoren: Dr. Wolfgang-Christian Fuchs und Dr. Roman Schmidt-Radefeldt