Die jüngste Cyber-Attacke mit der Malware „WannaCry“ war öffentlichkeitswirksam – doch was tut sich hinter den Kulissen? Besitzen Behörden, Infrastruktureinrichtungen und Industrie in Deutschland und Europa in Zeiten von Industrie 4.0 und zunehmender Digitalisierung und Vernetzung in allen Lebensbereichen die digitale Kompetenz, sich gegen Cyberangriffe wirksam zu schützen? CHEManager befragte dazu Prof. Jörn Müller-Quade vom Karlsruher Institut für Technologie (KIT). Im dortigen Kompetenzzentrum für IT-Sicherheitsforschung wird heute schon an den Verteidigungsstrategien von morgen geforscht. Die Fragen stellt Dr. Volker Oestreich.

CHEManager: Herr Prof. Müller-Quade, wie beurteilen Sie generell die Lage zur Cybersicherheit in Deutschland und Europa? 

Prof. Müller-Quade: Durch die zunehmende Digitalisierung des Alltags erhält die Informationstechnologie und ihre Absicherung eine zentrale Bedeutung für Wirtschaft, Staat und Gesellschaft. Wir hören fast täglich von Fällen von Diebstahl von Kundendaten, Cyberspionage oder der Beeinflussung von Wahlen durch Social Bots. Durch Gesetze und neue Regeln wie das IT-Sicherheitsgesetz und die EU-Datenschutzgrundverordnung hat sich die Cybersicherheitslage in Deutschland und Europa zwar verbessert, die Bedrohungen und Herausforderungen werden dadurch jedoch nicht geringer. Durch zunehmende Vernetzung und die Verschmelzung von digitaler und physischer Welt erhöht sich die Angriffsfläche für IT-basierte Angriffe. Neue technische Möglichkeiten wie Big Data oder Cognitive Computing können auch gegen uns verwendet werden.

In wieweit ist die Politik bei diesen Themen gefordert?

Prof. Müller-Quade: Momentan kaufen wir in riesigem Umfang Software und wissen überhaupt nicht, was die eigentlich wirklich macht. Wir sind abhängig von ausländischen Betriebssystemen, deren Quellcode wir nicht vollständig überprüfen können. Dies führt zum Verlust unserer digitalen Souveränität. Deutschland – und ganz Europa – verfügt derzeit nicht über die Fähigkeiten, viele für mehr Cybersicherheit wichtige Schlüsseltechnologien selbst zu entwickeln. Daraus resultiert eine Abhängigkeit von technologisch führenden Nationen wie Israel oder den USA. Das ist vor allem deshalb bedrohlich, da sich vor dem Hintergrund von Ereignissen wie der Präsidentschaft Trumps und dem Brexit derzeit eine Stagnation der internationalen Zusammenarbeit abzeichnet. Die digitale Souveränität auf europäischer und nationaler Ebene zurückzugewinnen, muss deshalb ein strategisches politisches Ziel sein.

Welche Maßnahmen zur Verbesserung der Cyber-Sicherheit schlagen Sie vor?

Prof. Müller-Quade: Zur Entwicklung neuer Verfahren und Werkzeuge, mit denen sich komplexe Systeme ausreichend schützen lassen, müssen die grundlagenorientierte und die angewandten Exzellenzforschung im Bereich Cybersicherheit ausgebaut werden. Die Politik muss mehr Anreize für den schnelleren Wissenstransfer schaffen, um den Nutzen der Forschung für Wirtschaft und Gesellschaft und die Chancen für deutsche Unternehmen auf dem internationalen Markt zu erhöhen. Die Forschungsförderung braucht größere Flexibilität, um schneller auf Veränderungen reagieren zu können wie etwa neue IT-Angriffe oder sich ändernde Bedrohungslagen für Gesellschaft und Wirtschaft. Angesichts immer kürzer werdender Entwicklungszyklen in der IT und der wachsenden Dynamik der Technologiewelt sind die derzeitigen Vergabeverfahren mit monatelangen Antragsphasen nicht mehr ausreichend. Mit frei zu vergebenden Budgets für akute und unvorhergesehene Fragen der Cybersicherheitsforschung könnten Ministerien schneller auf Veränderungen reagieren. Durch die Förderung von mehreren konkurrierenden Projekten, die um die beste Lösung für ein gegebenes Problem wetteifern, kann die Innovation gefördert werden.

Um bessere Rahmenbedingungen für die Cybersicherheit zu schaffen, muss der Gesetzgeber eine Meldepflicht für Cybervorfälle verbindlich vorschreiben. Firmen, die gehackt worden sind, behalten das aus Angst vor Image-Schäden meist für sich. Das hat zur Folge, dass wir nicht einschätzen können, wie groß das Risiko wirklich ist. Ebenso müssten verbindliche Standards für die Vorsorge gesetzt werden. Es ist wie beim Impfen: Je mehr immun sind, desto weniger kann sich eine Infektion verbreiten.

Wie stellen sich industrielle Unternehmen derzeit auf die digitale Bedrohung ein?

Prof. Müller-Quade: Sowohl Firmen als auch öffentliche Einrichtungen und Institutionen sind nicht ausreichend auf digitale Bedrohungen vorbereitet. Im Gegenteil: Durch die fortschreitende Vernetzung, die sich durch Trends wie Industrie 4.0, Smart Home oder selbstfahrende Autos noch potenzieren wird, werden die Angriffsflächen für Cyberkriminelle immer größer. Bei der Entwicklung vieler neuer Geräte – auch in der Automatisierungstechnik – ist die Cybersicherheit überhaupt nicht berücksichtigt worden. Gleichzeitig sind wegen immer stärkerer Arbeitsteilung und Hacking als käuflichem Service immer weniger individuelle Hackerkenntnisse für eine effektive Cyberoffensive notwendig.

Wie können sich insbesondere auch KMU besser gegen Cyber-Angriffe rüsten?

Prof. Müller-Quade: IT-Sicherheit in Unternehmen steht und fällt mit der Unterstützung des obersten Managements. Sicherheit muss Chefsache sein, schließlich kann ein Sicherheitsvorfall größeren Ausmaßes die Existenz eines Unternehmens bedrohen. Der erste Schritt ist die Identifizierung des Schutzbedarfs; hier können ggf. externe Dienstleister helfen. Vom Schutzbedarf hängen dann die weiteren Schritte ab. Wichtig sind klare Verantwortlichkeiten und Prozesse, um bei einem Vorfall schnell und richtig reagieren zu können.