Zur optimalen Darstellung unserer Webseite benötigen Sie Javascript. Bitte aktivieren sie dies in Ihrem Browser.
Manuel Atug: Es gibt mehrere Ursachen. Das eine ist, dass wir immer mehr digitalisieren und damit Straftaten in allen Bereichen verstärkt auch unter Zuhilfenahme von Computern begangen werden. Außerdem verstehen Kriminelle die Möglichkeiten der Digitalisierung besser als unsere Regierung. In der Bildungspolitik wird zum Beispiel nach wie vor zu wenig getan. Medienkompetenz oder Informatik als Pflichtfach sind hier zwei Schlagwörter. Wir leben in einer Informationsgesellschaft, aber unser Bildungssystem ist darauf ausgerichtet, Fabrikarbeiterinnen hervorzubringen. Das ist einfach nicht mehr zeitgemäß.
Zur Person: Manuel Atug arbeitet seit über zwei Jahrzehnten im Bereich der Informationssicherheit. Er ist Experte des Chaos Computer Club für Cyberkriminalität und Sprecher der unabhängigen "Arbeitsgruppe Kritische Infrastrukturen" (AG KRITIS), die sich für die Verbesserung der Versorgungssicherheit der Bevölkerung einsetzt.
Wegen der Bildungspolitik, die ich gerade beschrieben habe, gibt es einen Fachkräftemangel. Der Mangel wird mit fortschreitender Digitalisierung schlimmer. Zusätzlich haben wir krude Gesetze, die keine ausreichende Regulierung darstellen. Wenn man einen Airbag baut, und der hinterher nicht zündet, haftet man dafür. Wenn Unternehmen Airbags bauen, und der hinterher nicht zündet, haften diese dafür. Wenn man aber eine Software anbietet, die nicht funktioniert, zucken hinterher alle mit den Schultern. Es gibt keine Pflicht, von Anfang an sichere Programme anzubieten, und kein Mindesthaltbarkeitsdatum für Software. Oft wird gesagt, es fehle das Bewusstsein für IT-Sicherheit, aber das halte ich für einen Trugschluss. Jedes Unternehmen ist sich der Gefahren bewusst. Was fehlt, ist die grundlegende digitale Transformation unserer Gesellschaft und Wirtschaft.
Es ist ein Zusammenspiel. Firmen und Organisationen muss auf jeden Fall der richtige Anreiz gegeben werden. Das muss ja nicht immer eine Sanktionierung sein. IT-Sicherheit könnte ja auch über einen Steuerbonus belohnt werden. Am Ende müssen alle an einem Strang ziehen, weil wir weltweit zusammen in einem Cyberraum leben. Es gibt auf der einen Seite eben kriminelle Gruppen und auch staatliche Akteure mit bösen Absichten. Da müssen wir auf der anderen Seite international kooperieren, um sichere und resiliente IT-Systeme zu schaffen. In der Theorie ist das möglich, in der Praxis hapert es noch.
Es gibt ein erhöhtes Sicherheitsrisiko aufgrund des Kriegs, aber definitiv keinen Grund zur Panik. Die Sicherheitsbehörden raten dazu, die Systeme gut zu beobachten, auf unerwartete Veränderungen zu schauen und Backups durchzuführen. Aber da muss man sagen: Das waren schon vor dem Krieg gute Ratschläge und sie werden es nach dem Krieg immer noch sein.
Mit unserem heutigen Verständnis von digitaler Verwaltung kommen wir leider zu schlechten Ergebnissen. Es wird allzu oft ein einzelner Abschnitt angeschaut. Da wird dann gesagt, wir brauchen Digitalisierung als Produkt, das schreiben wir extern aus und am Ende kaufen wir etwas von einem Dienstleister. Da kommen dann Dinge raus, wie die desolate Luca-App oder unsägliche Blockchain-Anwendungen wie die ID Wallet. Digitalisierung ist aber ein Prozess, eine Umwandlung. Das kann man nicht einkaufen. Man braucht in der Verwaltung Menschen, die selbst das Knowhow haben, wie man IT-Produkte betreibt und entwickelt.
Ich würde das Geld gerne genutzt sehen, um eben diese kompetenten Menschen in die Verwaltung hinein zu bringen. Das ist die Basis, um IT-Sicherheit und gute Digitalisierung für die Allgemeinheit zu schaffen. Ich befürchte aber - da es sich um Einmalbeträge handelt -, dass das Geld wieder nur bei den gleichen Unternehmensberatungen und IT-Anbietern landet. Man muss aber keine Produkte kaufen, sondern Kompetenzen etablieren.
Das BSI untersteht momentan dem Bundesinnenministerium. Dort sind wiederum auch die Sicherheitsbehörden angesiedelt. Diese Behörden haben ein Interesse, Täter zu finden, Zugriffe und Befugnisserweiterungen zu bekommen und Sicherheitslücken vorzuhalten, durch die sie selbst zum Beispiel mittels Hackback gegen Kriminelle vorgehen können. Das alles steht im Widerspruch zu IT-Sicherheit, bei der es um Defensive und das Schließen von Lücken geht. Deshalb muss das BSI unabhängig vom Innenministerium agieren können.
Was ist ein Hackback? Als Hackback, zu deutsch etwa: "zurückhacken", wird eine Art digitaler Gegenangriff bezeichnet, der zur Vergeltung ausgeführt wird. Teils ist auch von "aktiver Cyberabwehr" die Rede. Beim Hackback könnten fremde Netze aktiv infiltriert werden, um etwa Daten zu verändern oder zu löschen. Rechtlich sind Hackbacks in Deutschland derzeit nicht möglich.
Allgemein betrachtet sind wir die ganze Zeit gefährdet. Es kann jederzeit passieren, dass uns ein Gerät herunterfällt, kaputtgeht und dann können wir unter Umständen nicht mehr auf die Daten zugreifen. Aus dem Netz heraus kann außerdem jederzeit auf allen möglichen Wegen eine Manipulation passieren, ein Fehler ausgenutzt oder etwas gelöscht werden. Der einfachste Weg, sich dagegen zu schützen, sind Backups. Was mir an Daten auf meinem Smartphone, PC oder bei digitalen Dienstleistern wirklich wichtig ist, sollte ich auf eine externe Festplatte kopieren und zu Hause offline aufbewahren.
Inzwischen gar nicht mehr so viel. Wenn man sich das Knowhow mal erarbeitet hat, bleibt man relativ leicht auf dem Laufenden. Man kann sich zum Beispiel hervorragend auf den entsprechenden Seiten des BSI einlesen. Oft braucht es aber auch nur gesunden Menschenverstand und den Willen, sich zum Beispiel so eine am PC aufpoppende Nachricht auch durchzulesen. Die meisten Menschen treffen da intuitiv richtige Entscheidungen.
Dieses Thema im Programm: MDR AKTUELL Fernsehen | 09. Mai 2022 | 19:30 Uhr