Am 7. und 8. Mai 2012 führte die Bundesakademie für Sicherheitspolitik (BAKS) in Kooperation mit T-Systems International GmbH unter dem Titel „Die Deutsche Cyber-Sicherheitsstrategie - Neue Bedrohungen, neue Lösungen?“ in Berlin einen zweitägigen Kongress durch. In dessen Rahmen diskutierten Experten aus Bundes- und Länderbehörden, aus dem Ausland sowie aus Wirtschaft und Wissenschaft über Schwachstellen und Lösungsansätze im Hinblick auf den Schutz vor Angriffen aus dem Cyberraum auf die kritische Infrastruktur von Staat und Wirtschaft.

Funktionierende und umfassende Cyber-Sicherheitsstrategie

Die Veranstaltung begann am 7. Mai mit einem festlichen Abendessen. Die Dinner Speech mit der Überschrift „Die deutsche Cyber-Sicherheitsstrategie“ führte vor Augen, dass der Cyberraums als Ort des Zusammenlebens , in dem mittlerweile ein beträchtlicher Teil des Lebens stattfindet, einer funktionierenden umfassenden Cyber-Sicherheitsstrategie bedarf. „Fast alle Handlungen des Lebens werden durch digitale Spuren begleitet (…) Das Leben findet zu einem großen Teil im Cyberraum statt. Und auch das Wirtschaftslebeben. 50 Prozent der deutschen Unternehmen haben bei einer Umfrage des Instituts der deutschen Wirtschaft angegeben, dass sie schon stark oder sehr stark vom Internet abhängig sind. Und auch die Tätigkeit des Staates, auch wir sind abhängig mit der Erledigung unserer Behördenangelegenheiten vom Funktionieren der Computernetze.“

Aus diesen Gründen wies der Redner dem Schutz des Cyberraums eine zentrale Rolle unter den kommenden Herausforderungen zu. Dabei ist zukünftig mit einer starken Vermehrung der Probleme im Cyberraum zu rechnen, da mit zunehmender Komplexität der technischen Systeme, sowohl technische Schwachstellen als auch die Abhängigkeit von Wirtschaft, Staat und dem Einzelnen ansteigen werden. Nur einen minimalen Bereich technischer Sicherheit herzustellen erfordert dabei einen enormen Aufwand. Diese technischen Schwachstellen werden einerseits von Cyber-Kriminellen gezielt ausgenutzt. Anderseits profitiert auch wiederum ein großer Teil der Angriffe von unsicher betriebenen Informationstechniken: „Die Anzahl der Angriffe, die erfolgreich sind, weil irgendeine weltweit unbekannte Schwachstelle in einem System ist, sind sehr klein. Das sind Fälle wie STUXNET, wo hochprofessionalisierte Angreifer hinter stehen. Die Masse der Angriffe macht sich zunutze, dass die IT-Systeme nicht auf dem aktuellen Stand sind. Und das gilt für den einzelnen Bürger (…), das gilt aber auch für Behörden, (…) das gibt es auf allen Ebenen, auf Landesebene, das gibt’s in den Unternehmen und so weiter.“

Dabei sind unterschiedliche Gruppierungen von Angreifern mit unterschiedlichen Motiven zu beobachten. So kommt es im Rahmen von Cyber-Angriffen zu Spionage gegen Staat und Wirtschaft, Datendiebstahl, Sabotage von Web-Sites, Betrug sowie dem sogenannten Hacktivism, bei dem es zum Offenlegen bzw. Stören von Daten und Prozessen ausgehend von politisch motivierten Aggressoren kommt. Bei allen Angriffen ist dabei von einer hohen Dunkelziffer auszugehen, da die Geschädigten die Vorfälle in vielen Fällen nicht anzeigen. Aus diesem Grunde stellen präventive Maßnahmen zum Schutz gegen Cyber-Angriffe eine entscheidende Komponente der Cyber-Sicherheitsstrategie dar, denn bereits erfolgreiche Angriffe sind in der Regel trotz hohem Aufwand kaum zurück zu verfolgen. Eine Kernaufgabe der Cybersicherheitsstrategie stellt der Schutz kritischer Infrastruktur da, wobei diese von Seiten des Staates nicht alleine geleistet werden kann und hier eine enge Zusammenarbeit mit der Wirtschaft entstehen muss, die in Teilen bereits begonnen hat. Als Kondensat des ersten Abends konnten die Teilnehmer mitnehmen, dass Deutschland zwar trotz der Komplexität der Thematik gut aufgestellt ist und sich durch einen Vorsprung gegenüber anderen Staaten einen enormen Standortvorteil erarbeiten könnte, allerdings sind hierzu zukünftig enorme Investitionen notwendig.

Was hat die Entwicklung des Autos mit dem Cyber-Raum zu tun?

Der eigentliche Kongresstag am 8. Mai 2012 wurde durch eine Einführungsrede unseres Kooperationspartners eröffnet. In einem sehr anschaulich Vergleich stellte der Redner eine Verbindung her, zwischen der Entwicklung des Autos, das durch Sicherheitsverbesserungen wie Anschnallgurt, ABS und Airbags in einem erheblichen Maße sicherer gemacht werden konnte und den Sicherheitsmaßnahmen, die im Cyber-Raum dringend durchgeführt werden müssten. Leider werden diese vielerorts für genauso wenig für nötig gehalten, wie die 76er Einführung der Gurtpflicht. Der Vortragende stellte daher die leicht überspitze Frage, „ob wir heute im Bezug auf das Thema Sicherheit dort stehen, wo die Automobilindustrie Anfang der 70er Jahre war?“

Auch in diesem sehr bildhaften Kurzbeitrag wurde erneut auf die enorme Abhängigkeit von verlässlicher Informations- und Kommunikationstechnik hingewiesen, die einen ähnlich hohen Stellenwert wie Öl, Gas, Strom und Wasser einnimmt und daher ebenso gut geschützt werden sollte. Damit verbunden ist die Frage, wie die Konzerne ihre Kommunikationsstrukturen effektiver schützen können. In diesem Zusammenhang sticht hervor, dass 60 Prozent der Unternehmen - trotz einer Wachstumsrate der Cyber-Kriminalität von 15-20 Prozent im Jahr, die jährlich 50 Milliarden Euro Schaden anrichtet - über keinerlei Notfallkommunikationswege verfügen. Aus diesen Gründen ist kein Flickenteppich, sondern flächendeckende Cybersicherheit notwendig.

Cyber-Sicherheit ist kein rein technischer Prozess, sondern auch eine gesellschaftliche Herausforderung

Der folgende wissenschaftliche Beitrag widmete sich überwiegend den technischen Prozessen, die im Rahmen eines Cyber-Angriffs ablaufen bzw. ablaufen würden. Als Beispiel führte der Redner den Conficker-Wurm von 2009 an, der bis 2010 sechs Millionen Systeme infiziert hatte und letztendlich nicht angemessen bekämpft werden konnte. Als besonders schädlich gelten sogenannte Botnetze, die Sicherheitslücken gezielt angreifen, um so die infizierten Systeme zu übernehmen und gegenüber traditioneller Schadsoftware den Vorteil haben, dass sie rechenintensive Programme auf eine Vielzahl infizierter Rechner verteilen können. Man unterscheidet dabei klassische Botnetze von Locomotive- und P2P-Botnetze, die sich darin unterscheiden, dass bei letzteren eine zentrale Kontrollstruktur komplexer bzw. ganz überflüssig geworden ist. Mit der Komplexität der Kontrollstruktur wird dabei die Zerstörung des Systems erschwert. Der Referent fügte zudem hinzu, dass „bei Botnetzen die Fernsteuerung neu dazugekommen ist, das heißt die Möglichkeit koordiniertes Handeln der infizierten Systeme zu realisieren - gezielt das infizierten System, die sogenannten Zombies zu veranlassen irgendetwas zu tun und dies auch koordiniert zu tun.“

Zudem hält sich der Aufwand zur Realisierung eines solchen Botnetzes in Grenzen, da bereits viele infizierte Systeme existieren, sie nur noch übernommen werden müssen. Die Wertschöpfung der Cyber-Kriminellen reicht von Erpressung über sogenanntes Bitcoin Mining, bei dem Summen der virtuellen Währung gestohlen und später in eine reale Währung eingetauscht werden. Problematisch stellt sich dabei die Tatsache dar, dass die meisten Unternehmen eher auf die Erpressung eingehen, als die sehr viel teurere Abwehr eines Cyber-Angriffs zu bezahlen. Im Mittelpunkt steht demnach die Frage nach dem Schutz vor den unterschiedlichen Arten der Angriffe. Dabei gibt es verschiedene Ideen, die von Blockierungen durch die Provider, einem elektronischem Wachmann, Sensibilisierungen von Seiten der Nutzer und dem Einsetzen eines nicht mehr ortsbezogenen Cyber-Law reichen. Nahezu alle Maßnahmen aber erfordern eine neue Allianz aus Behörden, Wirtschaft und Wissenschaft und Ideen „outside the box“. Letztendlich kommt der Vortragende aber auch zu der Erkenntnis, dass Cyber-Sicherheit durch rein technische Prozesse nicht hergestellt werden kann: „Aber was nun eine aktivere Verteidigung bedeutet, das ist sicher nicht nur eine technische Frage, sondern das ist eine Frage, die im Grunde die Gesellschaft als Ganzes betrifft. Und damit die Gesellschaft als Ganzes mitsprechen kann, muss sie aber ein stärkeres Situationsbewusstsein bekommen und ein deutlicheren Eindruck davon was wirklich passiert, aus belastbaren Quellen.“

Wie halten es unsere direkten Nachbarn in Europa?

Im darauffolgenden Redebeitrag konnten die Teilnehmer die konkrete Herangehensweise bzw. die Sichtweise eines kleineren Staates im Umgang mit Cyber Defense zur Kenntnis nehmen. Wie auch in Deutschland ist die Bedrohung in der Schweiz hoch, wohingegen die Wahrnehmung der Bedrohung äußerst gering ist. Die strategischen Ziele der Schweiz lassen sich unter drei Stichpunkte zusammenfassen: frühzeitige Erkennung, Erhöhung der Widerstandsfähigkeit und wirksame Bekämpfung. Dabei werden die Wirtschaft, die Betreiber kritischer Infrastruktur, die Behörden und die Bevölkerung einbezogen, um diese Strategie wirksam umzusetzen. Die Schweiz sieht sich der Herausforderung gegenüber, dass sie als kleiner Staat in einem global vernetzten Umfeld agieren muss. Der Föderalismus, die Kollision von staatlichen Sicherheitsinteressen und marktwirtschaftlichen sowie persönlichen Interessen sowie die ungeklärten Fragen nach Verantwortung- und Kostenübernahme und den Kriterien neuer Rechtsgrundlagen stellen weitere Herausforderungen dar. Im Gegensatz zum Cyber-Abwehrzentrum in der Bundesrepublik Deutschland fehlt allerdings in der Schweiz eine zentrale Koordinierungsinstanz, welche die Verbindungsstelle zwischen Strafverfolgungs-, nachrichtendienstlicher sowie technisch-operativer Kompetenz darstellt; Cyber-Abwehr ist dezentral organisiert. Abschließend kam der Redner noch einmal auf die mangelnde Problemwahrnehmung zu sprechen: „Die undurchdringliche Lehmschicht in der Schweiz muss man von unten anbohren und von oben anbohren und hoffen, dass sich die zwei Bohrer treffen, dass es durchlässig wird (…), aber auf der Entscheidungsstufe - und das mein ich nicht nur politisch, sondern auch in der Wirtschaft - in vielen Bereichen haben wir festgestellt, dass das Thema noch nicht angekommen ist, weil es eben vernetzt und komplex ist. Es wird nicht verstanden und vor allem die Auswirkungen nicht.“

Der Referent wünschte sich daher ein Umdenken bei den Entscheidungsträgern, hinsichtlich der Schwere der Bedrohung, aber auch hinsichtlich der Notwendigkeit eines zentralen Steuerungselementes in der Cyber-Abwehr sowie eine engere Zusammenarbeit von Staat und Wirtschaft.

Hat die NATO den Stein der Weisen anstoßen können?

Der folgende Referent stellte die Cyber-Strategie der NATO vor, die sich angesichts der neuen sicherheitspolitischen Herausforderungen momentan in einem Prozess struktureller Neuausrichtung befindet. Im diesem Zuge wurde das Thema Cyber-Sicherheit als grundlegender Teil jeder Sicherheitsinitiative erkannt.
Aufgrund dieser Tatsache besteht die Cyberstrategie der NATO derzeit noch größtenteils im Schutz der eigenen Strukturen, von denen ihre Handlungsfähigkeit maßgeblich abhängt und auf die heute ca. 100 Angriffe täglich verübt werden. Zukünftig sollen durch die Entwicklung der notwendigen Expertise die Komponenten sicherer Systeme identifiziert werden und in Zusammenarbeit mit anderen Akteuren die Systemsicherheit in den Partnerländern verbessert werden. Bereits 2008 wurde das NATO Cyber-Abwehrzentrum in Tallinn errichtet. Allerdings gibt es gegenwärtig noch keinen politischen Konsens hinsichtlich der Bekämpfung von Cyber-Angriffen. Eng verbunden mit der Frage nach der Handhabung des Problems Cyber-Sicherheit ist auch die Frage welche Rolle das Militärbündnis als Ganzes in Zukunft einnehmen soll.

Allianz für Cyber-Sicherheit in Deutschland

Direkt nach der Mittagspause wurde es wieder sehr konkret. Der kurzweilige, aber umso wichtigere Vortrag befasste sich scherpunktmäßig mit der Forderung nach einer anderen, neuen Informationstechnologie. Der Vortragende wies u.a. auf den massiven Anstieg der Bedrohung in der Zeitspanne von 1991 bis 2012 hin, sodass mittlerweile ein unermesslich hohes Bedrohungspotenzial entstanden ist. Dennoch fehlt die angemessene Wahrnehmung der Situation bei den meisten Akteuren. Es kam zu einer Abstumpfung gegenüber der Bedrohung. So wie die Bedrohungsszenarien differenzierter wurden, entwickelten sich eine Vielzahl neuer Täterkreise. Zu den heute agierenden Gruppen gehören u. a. Hacker, Internet-Aktivisten, Kriminelle, Nachrichtendienste, staatliche Aggressoren und Terroristen, die teilweise schadhafte Programme im industriellen Maße anfertigen. Dabei kommt es neuerdings auch zu Angriffen auf Cyber-Sicherheitsdienstleister selber, die eigentlich sichere Strukturen im Cyberraum gewährleisten sollten. Besonders die Bekämpfung von Angriffen auf die Wirtschaft stellt sich dabei als schwierig dar, da darüber meist geschwiegen wird. Allerdings lässt sich auch hier langsam eine Wende beobachten, da sich bereits erste Wirtschaftsunternehmen an die staatlichen Stellen wenden und die auf sie verübten Angriffe dann teilweise auch veröffentlichen. Um diese Prozesse weiterhin zu vereinfachen, soll es zukünftig auch die Möglichkeit geben, Angriffe anonym bei der dafür eingerichteten staatlichen Stelle zu melden. Dann kam der Referent auf sein grundlegendes Ziel zu sprechen: „100 Prozent Sicherheit kriegen wir nicht hin. Das stimmt, aber wenn wir schon 90 Prozent hätten, hätten wir schon viel erreicht. (…) Dafür haben wir eigentlich die Mittel an der Hand, die wir brauchen. Wir müssen sie nur einsetzen.“

Allerdings erfahren die Täter in den meisten Fällen ebenfalls über die Maßnahmen zum Schutz der Zielgruppe und können so wiederum mit der entsprechenden Schadsoftware darauf reagieren, aus diesem Grund sollen Cyber-Sicherheitsinformationen in Zukunft nur noch einem kleinen Kreis zugänglich gemacht werden wie etwa den Sicherheitsbeauftragten der Unternehmen. An der Spitze stehen dann Informationen, die nur noch verschlüsselt den Betreibern kritischen Infrastruktur zugänglich gemacht werden sollen.

„Cyber Security – Back to Basic“

war der Titel des letzten Redebeitrages, in dem zwar darauf hingewiesen wurde, dass Cyber-Angriffe häufiger werden und mit höherer Intensität stattfinden. Allerdings sind einerseits viele Schwachstellen leicht zu beheben, wie beispielsweise die Nutzung zu einfacher Passwörter. Der online Verkauf von Schadsoftware, die gezielt Schwachstellen von Programmen wie Adobe, Word und vielen anderen mehr ausnutzen, machen aber auch Angriffe andererseits einfacher. Cyber-Angriffe werden so zunehmend häufiger, schneller und komplizierter. Dabei lässt sich zusammenfassend festhalten, dass mit der Abhängigkeit von und der Komplexität der Systeme auch die Gesellschaft angreifbarer wird. Zur Bekämpfung von Cyber-Angriffen lassen sich im Allgemeinen vier Felder ausmachen: Früherkennung, Prävention, Audit und Monitoring sowie der Umgang mit Vorfällen. Der Referent warnt aber auch vor einer Überregulierung: „Wir leben in einer faszinierenden Welt, das sollten wir nicht vergessen und wir als Sicherheitsleute sollten diese faszinierende Welt nicht mit einer Vollbremsung versehen, sondern diese Beschleunigung und diese Entwicklung versuchen weiter zu ermöglichen. Gerade im Bereich der IT, gerade im Bereich der Telekommunikation haben wir eine Entwicklung gehabt, die in den letzten Jahren mit größter Geschwindigkeit alle Bereich unseres, zunächst Geschäftslebens, erfasst hat, mittlerweile das Privatleben mit den Smartphones, mit den privaten PCs und die letztendlich alle unsere gesellschaftlichen Teile verändert. Ich denke die letzten 10 Jahre haben einen faszinierenden Einfluss auf die Gesellschaft gehabt.“

Und wie ist es jetzt da draußen?

In einer abschließenden Diskussionsrunde stellten Vertreter des Finanzsektors, eines Betreibers kritischer Infrastrukturen sowie des Staates ihre Erfahrungen mit Cyber-Angriffen vor.

Im Zusammenhang mit der IT-Sicherheit von Banken und den Bankgeschäften der Kunden stellt sich das Problem, dass zunehmend Bankgeschäfte – nach dem Motto „Banking anywhere anytime“ - von unsicheren Endgeräten getätigt werden, deren Sicherheit dann nicht mehr gewährleistet werden kann. Der Vortragende beschreibt die Problematik mit den Worten: „Der Kunde will von uns im Prinzip implizit explizite Sicherheit, er weiß aber nicht wirklich um die technische Basis mit der er das ganze Thema bedient. Jetzt ist die Frage, muss er das wissen? Eigentlich muss er es nicht wissen, das muss nur sicher sein. Jetzt muss man natürlich darüber nachdenken, wen sollen wir vor den Karren spannen, dass genau diese technologischen Basen sicher sind? Den Hersteller, den Provider, den der den Dienst anbietet wie zum Beispiel den Fachdienstleister. Also hier wird es einfach um intelligente Lösungen gehen.“

Des Weiteren stehen Banken vor Herausforderungen wie Spionage sowie der Gewährleistung von Sicherheit im Rahmen outgesourcter Dienstleitungen. Dabei sind diese Probleme unter der zunehmenden Professionalisierung der Angreifer zu lösen, die in arbeitsteiligen Strukturen organisiert sind. Von Auskundschaftern, Programmierern bis zu Verwertern und Geldwäschern sind Posten unter dem Dach einer umfassenden Organisation zusammengefasst, deren Personal- und Kapitalkraft stetig ansteigt. Deutschland stellt dabei ein Testfeld für Cyber-Attacken dar, die vorher niemals im Angriff selber getestet worden sind. Zusammenfassend kam der Vortragende zu dem Ergebnis, dass Cyber-Angreifer meist nach klaren ökonomischen Prinzipien agieren und organisiert sind. Allerdings ist auch der Wandel der Motivation zu berücksichtigen, der teilweise marktwirtschaftliche Motive sekundär werden lässt, wohingegen politische Hintergründe an erste Stelle rücken. Dabei ist neben der Bekämpfung dieser Phänomene die transparente Kommunikation der Risikolage gegenüber den Entscheidern grundlegend.

Der folgende Impulsbeitrag befasste sich mit der Abhängigkeit kritischer Infrastruktur von IT-Systemen. Sein Ausgang begann mit der Beschreibung der Strukturen und Prozesse, die für den Krisenfall, wie beispielsweise einem Cyber-Angriffes, eingerichtet wurden: „Wie sehen bei uns die Ablauf- und Aufbaustrukturen einer Krisenabwehrorganisation aus? Wir haben vom Grundsatz her vier Stufen: Normalbetrieb, Notfallmanagement (…), in Stufe drei, haben wir das Krisenmanagement. An der Spitze steht dann das Katastrophenmanagement, dies wird aber ausgelöst nach Landeskatastrophenschutzgesetz von den jeweiligen autorisierten Behörden.“

Grundlegendes Ziel ist dabei natürlich zu verhindern, dass Vorfälle bis hin zu einer Krise eskalieren, sondern diese zuvor durch die richtigen Maßnahmen gestoppt werden. Dabei ist das Krisenmanagement in Krisenprävention, Krisenbewältigung und Krisennachbereitung untergliedert. Grundsatz ist die Definition eigener Schutzinteressen und die Minimierung der Auswirkungen von Krisen.

Im dritten Diskussionsbeitrag wurden die ersten Erfahrungen hinsichtlich der LÜKEX-Übung vorgestellt. LÜKEX bedeutet „Länder Übergreifende Krisenmanagement-Übung/EXercise“ und wird seit 2004 gemeinsam von Bund und Länder durchgeführt, die auf diese Weise gesamtstaatliches Krisenmanagement üben. Bei praktischen Übungen wie LÜKEX stehen die Übungsvorbereitung und Nachbereitung im Vordergrund. Die eigentliche Übung ist nicht der wichtigste Teil. Um den gesamtstaatlichen Charakter der Übung zu garantieren, ist auch die Wirtschaft mit einbezogen. Bisherige Übungen drehten sich um klassische Szenarien wie Hochwasser und Stromausfall, Pandemie oder Terrorismus. Im Vergleich dazu stellte das IT-Szenario von 2011 eine enorme Herausforderung. Die Probleme waren vielfältig: „Es fing schon damit an, dass man eine gemeinsame Sprache finden musste, viele verstanden sich teilweise gar nicht. Der eine sprach von den technischen Problemen und dass das ja hoch interessant sei und der andere sagte, welche Ursachen hat das denn - ja das ist jetzt nicht meine Sache, ich sag dir nur was da passiert, und warfen mit Begriffen um sich, die zum Teil auch in der Vorbereitung erst mal geklärt werden mussten, das heißt es musste ein Glossar erstellt werden. Das ist eine Erfahrung aus der LÜKEX 2011.“

Ein weiteres Problem und damit eine weitere Erfahrung von LÜKEX 2011 bestand im Rückzug der Akteure in den Bereich ihrer Kompetenzen. Dies drückte sich darin aus, dass alle Akteure vor allem die Szenarien üben wollten, die sie direkt betreffen. Nicht immer erkannten alle Teilnehmer dabei ihre direkte Betroffenheit, da eine Problematik wie Cyber-Sicherheit natürlich nicht physisch sichtbar ist und häufig die Infizierung des Systems gar nicht bemerkt wird. Vor diesem Hintergrund leitete die Vortragende zwei zentrale Herausforderungen ab: Zum einen die Abschottung, weil man das eigene Szenario üben möchte. Außerdem muss das Szenario von allen Teilnehmern als länder- und bereichsübergreifend erkannt werden. Letztendlich wurde die Übung trotz der sehr verschiedenen Akteure und des schweren Szenarios aber als großer Erfolg gewertet.

Der letzte Redner der Konferenz stellte die Neupositionierung Deutschlands durch die Cybersicherheitsstrategie heraus. An vielen Aspekten der Cybersicherheitsstrategie sind deutliche Veränderungen gegenüber der vorherigen Handlungsrichtung auf diesem Gebiet zu erkennen. Die Strategische Neuausrichtung besteht zum einen darin, dass der Cyberrat eingerichtet wurde. Sein Auftrag ist die kontinuierliche Beschäftigung mit den Fragen neuer Technologien, der veränderten Sicherheitslage und notwendiger Maßnahmen bezogen auf den Cyberraum. Zum anderen wurde der Aufbau des Cyberabwehrzentrums in die Wege geleitet, das als Plattform zum Austausch der beteiligten Behörden, Analyse von Vorfällen und Analyse neuer Technologien dient. Des Weiteren wird im Rahmen der deutschen Cybersicherheitsstrategie der Schutz kritischer Infrastrukturen als gesamtstaatliche Aufgabe anerkannt. Es handelt sich dabei um den wichtigsten Punkt der Cybersicherheitsstrategie. Außerdem wird eine enge Zusammenarbeit von Staat, Wirtschaft, Universitäten und Know-How-Trägern vorgesehen sowie eine gemeinsam koordinierte Außenpolitik, welche die internationale Zusammenarbeit zur Cyber-Sicherheit vereinfachen soll. Denn obwohl es skeptische Äußerungen hinsichtlich des Erfolgs von internationaler Zusammenarbeit in der Cyber-Sicherheit gab, „nicht anzufangen und nichts zu erreichen wäre der schlechtere Weg. Das heißt wir müssen hier in einen Dialog eintreten, um zu sehen wie weit wir kommen können. Und wahrscheinlich wird es ähnlich sein, wie in anderen Bereichen des Völkerrechts, wo man anfängt mit Soft Law, mit nicht verbindlichen Regelungen, die dann aber über die Jahre hinweg zu verbindlicheren Regeln kommen können.“

Fazit des Tages

Am Ende des Kongresses, der den unterschiedlichen Referenten die Möglichkeit gegeben hatte, das umfassende Thema Cybersicherheit aus ihrem Blickwinkel darzustellen, lässt sich dennoch ein eindeutiger Konsens darüber erkennen, dass Cyber-Bedrohungen in den letzten Jahren vielfältiger und viel aggressiver geworden sind. Unterschiedlichste Tätergruppen greifen aus unterschiedlichen Gründen sehr unterschiedliche Ziele aus Staat, Wirtschaft und Gesellschaft an. Hierbei sind insbesondere die kritischen Infrastrukturen einer sehr großen Gefahr ausgesetzt. Es ist künftig mit einer weiteren Verschärfung der Problematik zu rechnen.

Aus diesem Grund ist es besonders wichtig, dass eine intensive Kooperation zwischen Staat, Wirtschaft und Gesellschaft entsteht. Nur gemeinschaftlich kann Cyber-Kriminalität effektiv bekämpft werden. Gelänge dies, so könnte Deutschland einen entscheidenden Standortvorteil gegenüber anderen Nationen gewinnen. Dabei sind strategische Konzepte, wie die deutsche Cybersicherheitsstrategie, ebenso entscheidend, wie gemeinsame Übungen der Akteure bei der LÜKEX.

Am Ende des Tages stand es außer Frage, dass es eben wegen dieser Gründe auch im nächsten Jahr eine Kooperationsveranstaltung zu drängenden IT-bezogenen Sicherheitsthemen geben wird.

Autoren: Anna Gräuler und Manfred Bohr