»Wir können stark erschüttert werden«
Publik-Forum: Herr von Notz, steht uns die Ära, in der Kriege am Computer geführt werden, noch bevor – oder stecken wir schon mittendrin?
Konstantin von Notz: Wir stecken mittendrin.
Bestätigen Sie den Verdacht, Russland sei der wichtigste Akteur in puncto Cyberwar?
von Notz: Die Russen sind im IT-Sektor ein ernst zu nehmender Player. Ich würde aber nicht sagen, dass die Hauptgefahr von Russland ausgeht. Auch die USA und Israel sind stark in Cyberfragen. Wenn Verfassungsschützer nach Hackerangriffen sagen: »Der Russe war’s!«, ist Skepsis angebracht.
Wie ist Deutschland hinsichtlich der Sicherheit im Netz aufgestellt?
von Notz: Nicht gut. Da war viel Naivität im Spiel – übrigens auch international. Wir sind mit sämtlichen Bereichen des täglichen Lebens in die digitale Infrastruktur reinmarschiert – mit unserer Kommunikation, mit den Finanzmärkten, mit der Stromversorgung. Die Frage nach der Verletzlichkeit dieser Infrastruktur wurde dabei nachlässig behandelt.
Inwiefern?
von Notz: Es geht um konkrete Gefahren, wenn Hacker Stromwerke, Flughäfen oder Banken angreifen. Und Geheimdienste halten sich nicht an verfassungsrechtlich verbriefte Rechte im Netz, für sie ist es scheinbar ein grundrechtsfreier Raum. Nicht nur Nordkorea, China und Russland, auch die westlichen Geheimdienste spielen dort massiv foul.
Das müssen Sie erklären!
von Notz: Beispielsweise der Handel mit Sicherheitslücken. Eine Sicherheitslücke ist ein Softwarefehler, durch den Angreifer in ein Computersystem eindringen können. Westliche Geheimdienste – auch deutsche – kaufen Sicherheitslücken auf dem Schwarzmarkt an. Zum Beispiel WannaCry, das Schadprogramm, das im Mai 2017 zahlreiche Windows-Betriebssysteme befallen hat. Unsere Geheimdienste tun dies aber nicht, um sie zu schließen, sondern um sie selbst zu nutzen – etwa um Terrorverdächtige abzuhören.
Was sind die Folgen?
von Notz: Die Sicherheitslücken bleiben weiterhin offen, wenn unsere Geheimdienste sie nutzen, und stellen eine Gefahr für jeden Nutzer dieses Programms dar. Wenn die Infrastrukturen betroffen sind, gefährdet das potenziell achtzig Millionen Deutsche – und weltweit noch viel mehr. Eigentlich müsste der Staat diese Lücken schließen, sobald er davon Kenntnis hat. Denn ein erfolgreicher Angriff aufgrund dieser Sicherheitslücken könnte bedeuten, dass zum Beispiel weite Teile Europas tagelang ohne Strom sind.
Was müsste jetzt geschehen?
von Notz: Sicherheitslücken müssten konsequent und sofort geschlossen, die Ende-zu-Ende-Verschlüsselung gesetzlich vorgeschrieben werden. Wir brauchen ein klares Bekenntnis aller Sicherheitsbehörden zu verfassungsrechtlichen Grundsätzen, entsprechende Kontrollen und ein internationales Abkommen zur Schließung von Sicherheitslücken; wir brauchen Haftungsregelungen – auch für Unternehmen, die Hard- und Software herstellen. Hundertprozentige Sicherheit gibt es zwar nie, aber wenn man all das umsetzte, könnte man Entscheidendes bewegen. Trotz aller Rhetorik hat die letzte Bundesregierung aber wenig unternommen.
Liegt das am mangelnden politischen Willen oder fehlen auch Personal und Know-how?
von Notz: Es gibt eine enorme Personalknappheit. Die Bundeswehr versucht mehr als 10 000 IT-Experten anzuwerben, das Bundeskriminalamt ebenso, der Bundesnachrichtendienst – alle bemühen sich, fähige Mitarbeiter zu finden. Mitte September wurde in München die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) eingerichtet. Ihre Aufgabe ist es, Codes zu knacken. Sie soll mit mehreren Hundert Fachleuten besetzt werden, bisher sind gerade mal zwanzig angestellt. Auch die freie Wirtschaft sucht händeringend nach kompetenten IT-Spezialisten.
Immerhin wurden an der Bundeswehr-Universität München elf neue Professuren für Cybersicherheit eingerichtet …
von Notz: Nur mit welchem Ziel? Ich meine: Verteidigung ist im Digitalen die beste Verteidigung. Wir brauchen die wenigen Fachleute, die wir haben, um Sicherheitslücken zu schließen und die Schutzwälle hochzuziehen. Nicht um selbst andere angreifen zu können und dabei zugleich die eigene IT-Infrastruktur angreifbar zu machen. Aber genau das steht auf der politischen Agenda der Bundesrepublik.
Will Deutschland etwa im Cyberkrieg mitmischen?
von Notz: Es gibt Diskussionen darüber, dass man, wenn man angegriffen wird, zur Verteidigung die Server der Angreifer zerstört. Das ist dann aber tatsächlich Cyberkrieg, und das kann schlimmste Folgen haben. Wenn man einen Server ausschaltet, kann man größere Schäden anrichten, als wenn man Bomben abwirft. Ich finde, diese Diskussion, die Verteidigungsministerin Ursula von der Leyen losgetreten hat, führt ins absolute Nirwana.
Warum?
von Notz: Weil es extrem schwer zu erkennen ist, woher die Attacke kommt. Angreifer können sich im Netz sehr gut tarnen. Der Hackerangriff auf den Deutschen Bundestag im Sommer 2015 zum Beispiel: Da wurden von den Servern der Bundestagsabgeordneten riesige Datenmengen abgezogen und zunächst auf Servern in England geparkt. Später sind sie wohl nach Russland weitergeleitet worden. Folgt man dem Konzept von Ursula von der Leyen, hätte man die Server in England zerstören müssen. Stellen Sie sich mal vor, was das bedeutet, wenn Deutschland einfach auf Verdacht hin Server in Großbritannien zerstören würde! Ich halte dieses Konzept für nicht durchdacht und kontraproduktiv.
Wer hat Interesse daran, Deutschland digital anzugreifen?
von Notz: Tausende unterschiedliche Gruppierungen. Kritiker, Feinde und Kriminelle innerhalb und außerhalb der Europäischen Union. Der IS hat eine ernst zu nehmende Cyberabteilung, auch ultrarechte Gruppen haben das. Man darf diese Gefahr nicht unterschätzen. Wir übertragen unsere Welt ja in den digitalen Raum. Entscheidende Stützpfeiler unseres täglichen Lebens liegen jetzt da. Und über das Netz können diese Säulen, auf denen unsere Gesellschaft beruht, stark erschüttert werden.
