Cybersicherheit: Ein neues gemeinsames Mindset ist nötig bei Politik, Unternehmen und Gesellschaft
Im Rahmen unserer BASECAMP Themenwoche in Berlins Mitte konnte ich gemeinsam mit dem Co-Veranstalter dem Bundesverband der Dienstleistungswirtschaft und großartigen Gästen eine spannende und relevante Diskussion zum Thema „hybriden Kriegsführung, Cybersicherheit und die Auswirkungen auf die deutsche Wirtschaft“ führen. Im Fokus standen zudem die gesamte geopolitische Lage sowie der Umgang der deutschen Unternehmen damit.
Elena Esnaola Lopez begrüßte das Publikum im Saal und online mit dem Hinweis, dass o2 Telefónica mit ca. 47 Millionen Anschlüssen mehr Menschen in Deutschland täglich verbinde als jeder andere Mobilfunk-Anbieter.
Die stellvertretende Fraktionsvorsitzende von Bündnis 90/Die Grünen im Bundestag, Agnieszka Brugger, Mitglied im Verteidigungspolitischen Ausschuss, eröffnete mit einem Impuls die Debatte.
Brugger unterstrich, dass das Gefahrenpotential im Cyberraum nicht erst seit dem russischen Angriff auf die Ukraine für deutsche Unternehmen gestiegen ist. Das beschäftige auch die Politiker*innen im Bundestag, leider herrsche aber in den verschiedenen involvierten Ministerien und Ausschüssen immer noch zu viel Uneinigkeit von nachgeordneten Behörden gar nicht zu reden. „Es gibt eine große Vielfältigkeit, um es freundlich zu formulieren“, meinte die Abgeordnete, dabei brauche es klare Ansprechpartner und Regeln, was in der Nationalen Sicherheitsstrategie noch nicht ausreichend formuliert sei. „Wir müssen schneller werden in unserem zersplitterten, föderalen System“, sagte Brugger, um unsere Infrastruktur, die physische Sicherheit von Gesellschaft und Wirtschaft und die Lebensgrundlagen zu schützen und daraufhin die geplante Gesetzgebung zur kritischen Infrastruktur (KRITIS) noch mal genau anschauen. Das Thema Cybersicherheit sei bisher „extrem vernachlässigt“ worden, vieles kann bei dynamischen Entwicklungen auf dem Gebiet so nicht adressiert werden.
Auf Nachfrage aus dem Publikum erklärte sie, dass die große Verfügbarkeit an Information nicht zur Deutlichkeit der Faktenlage beitrage. Die hybriden Kriege der Neuzeit sind vor allem auch Informationskriege. Wie schon beim Angriff auf die Ukraine sehe man auch jetzt wie „Trollfabriken“ die Öffentlichkeit manipulieren. Deshalb seien Faktenchecks und aufmerksame, geschulte auch misstrauische Bürger*innen im Internet so wichtig. Hier sei jeder einzelne von uns gefragt.
Den Cyberkrieg Russlands griff Nico Lange, Senior Fellow bei Zeitenwende-Initiative bei der Münchner Sicherheitskonferenz mit Bundeswehr-Erfahrung, anschließend in seinem Impulsvortrag auf und bat das Publikum, sich folgende Situation vorzustellen: der Bildschirm ist schwarz, das Telefon tot, GPS funktioniert nicht, Strom, Kabel, Satelliten- und Mobilfunkverbindungen gekappt. Dann melden sich Erpresser mit Ransomware und Zerstörer mit Malware, und dann kommen die Marschflugkörper: „So war das am 24. Februar 2022 in der Ukraine“, fasste Lange die Lage trocken zusammen.
„Das haben wir so noch nicht erlebt“, sagte Lange, wies aber darauf hin, dass auch in Deutschland viele Unternehmen täglich digitalen Erpressern Geld überwiesen, wenn sie Opfer von kriminellem Hacking wurden und sich nicht anders zu helfen wissen. Dabei, so führte er später in der Diskussion aus, sei das BSI, das Bundesamt für Sicherheit in der Informationstechnik, auch nicht immer hilfreich, und die Betroffenen sehr häufig aus dem Bereich der kleinen und mittleren Unternehmen (KMU), die sich nicht für interessant genug als Ziel für Cyberattacken halten, bis die Ransomware sie erreicht hat. Gerade die KMUs, die für die deutsche Wirtschaft einen entscheidenden Faktor darstellen, müssten ihre Gefährdung endlich erkennen und sich nicht für unbedeutend im weltweiten Hacking-Geschehen halten. Für sie sei der Ernstfall aber oft schneller mit existenziellen Problemen verbunden als für Großunternehmen, die eher in Cybersecurity investierten.
Inzwischen könne man Hacking – im Darknet – regelrecht buchen, samt Umgehung von Authentifizierungsverfahren und dem Einsatz von Deep Fakes.
„All das ist Alltag und nichts davon ist neu. Aber Russlands Krieg gegen die Ukraine hat das Problem größer gemacht, auch für uns“, erklärte Lange eindringlich.
Inzwischen betreffen die kriminellen Machenschaften nicht nur die wirtschaftliche Seite, sondern der „Hacktivismus“ werde zunehmend für politische Manipulation und Machtdemonstration eingesetzt. Deshalb, so skizzierte Lange, sei es unbedingt notwendig, dass Politik und Wirtschaft ein gemeinsames Lagebild erarbeiteten, und sich auch klar über Ansprechpartner und Zuständigkeiten im Notfall und für die Prävention benennen. Außerdem sollten wir darüber nachdenken, ob Deutschland mit „Hackback“ drohen wolle, um Hacks für Angreifer teuer zu machen sowie um abzuschrecken. Als ehemaliger Angehöriger der Bundeswehr könne er nur sagen, „dass wir theoretisch auch Dinge könnten, die wir bisher nicht dürfen.“
Moderator Ralf-Michael Löttgen (BDWi) wollte von mir wissen, was sich für uns als Unternehmen seit dem Angriff auf die Ukraine verändert habe. An der Stelle betonte ich, dass o2 Telefónica als KRITIS Unternehmen schon bei der Netzarchitektur stets auf Security, Redundanz und Resilienz gesetzt habe: „Sicherheit ist immanent immer mitgedacht.“ Egal ob in der großen Nachfrage der Pandemie oder seit dem Angriff auf die Ukraine, unsere Netze kommen auch mit erhöhten Belastungen zurecht. o2 Telefónica habe ein globales Berichtssystem, um Anomalien schnell auf die Spur zu kommen, und führe ein permanentes Monitoring der Netze durch.
„Die Integrität der Netze ist für uns das A und O.“
Wie es denn bei den Rechenzentren mit der Cybersecurity aussehe, wollte Löttgen von Norbert Lemken von der German Datacenter Association (GDA) wissen. Die Rechenzentren seien heute „extrem stark gesichert“, meinte Lemken, aber es müsste dringend eine Veränderung des „Mindsets“, auch im privaten Bereich, zu mehr Datensicherheit geben. Man solle nicht naiv jede Mail oder Whatsapp-Nachricht öffnen. Datensicherheit und Datensouveränität sei von den Kunden in Deutschland gewünscht, und damit mehr Rechenzentren hierzulande. Wenn Rechenzentren ausfielen, gebe es kein Geld-System, kein Wasser, keine Verkehrslenkung mehr, nannte er nur einige Beispiele der Folgen. Deshalb setzt Lemken auf mehr Sicherheitsorientierung vom Groß- bis zum privaten Kunden der Rechenzentren.
Zum Schluss stellte Moderator Löttgen den drei Diskutierenden einen Wunsch an die Politik frei: Dabei wünschte ich mir Planungs-, Rechts und Investitionssicherheit für den Ausbau und Stärkung der Resilienz der Netze, Lemken „ganzheitliches Denken bei der Digitalisierung und keine Flickschusterei von Kiel bis München“, und Lange endlich ein „gemeinsames Lagebild zur Cybersicherheit von Politik und Wirtschaft“.