Sicherheitsexperte Gaycken: "Wir sollten uns nicht auf Fairplay verlassen"

Herr Gaycken die Bundesregierung eröffnet ein "Cyber-Abwehrzentrum", Sie haben ein Buch über die Strategien von "Computerkriegen" geschrieben. Ist wirklich alles so schlimm?

Wir haben eine schwierige Situation, auf die schwer zureagieren ist: Bis dato ist kaum eine deutsche Großanlagewirkungsvoll vor Hackerangriffen geschützt, kaum ein Unternehmen vor Spionage. Das Thema ist wichtig, und wird zunehmend wichtig werden, wenn nun immer mehr Unternehmen und Militärs weltweit die strategischen Potentiale von Hackerangriffen erkennen und sich Knowhow und Manpower beschaffen.
Was kann schlimmstenfalls passieren?
Schlimmstenfalls kann zum Beispiel die Stromversorgung eines Landes über Wochen lahm gelegt werden, während die Notfallpläne für einen solchen Katastrophenfall in Deutschland nur auf wenige Tage ausgelegt sind. Aber das käme schon einer Kriegserklärung gleich, dazu bräuchte es massive strategische Motivation. Gefährlicher dürfte der wirtschaftskriminelle Sektor sein: Mit einer guten Cyber-Attacke kann ich unerkannt nahezu überall hinein und Schaden anrichten. In Zukunft könnten viele diesen goldenen Schlüssel zum Industrieland Deutschland benutzen. Da sollte man sich nicht auf Fairplay verlassen.

Was wären denn wirkungsvolle Gegenmaßnahmen?

Mit einem Cyber-Abwehrzentrum den Austausch der verschiedenen Behörden zu fördern, ist ein kleiner, erster Schritt. Letztlich ist es aber viel mehr eine Frage des Geldes, auch auf Seiten der Unternehmen: Im Industriebereich wird noch fast überall kommerzielle, billige IT benutzt– die natürlich überhaupt nicht gegen Attacken sichert. Grundsätzlich gilt: Ich kann den Produktenkommerzieller globaler Hersteller nicht vertrauen. Was es bräuchte, wären speziell entwickelte Systeme, bei denen zudem die kritischen Strukturen niemals direkt oder indirekt mit dem Internet verbunden sind und die internen Mitarbeiter sehr streng kontrolliert werden – damit sie Daten nicht etwa auf USB-Sticks nach außen schmuggeln oder Angriffe nach innen.

Was ist von einem globalen Frühwarnsystem zu halten, wie es nun die USA im Kampf gegen destruktive Hacker etablieren wollen?

Das ist eine utopische Idee, die gegen hochqualifizierte Angreiferüberhaupt nicht hilft. So feine Sensoren, als dass man von einem großen Team von Wissenschaftlern entwickelte Schadsoftwareerkennen könnte, gibt es gar nicht. Die USA sind einfach zu bequem, sich aus ihrer totalen Abhängigkeit von den Strukturen des Internets zu befreien, und kompensieren das mit solchen Überwachungs- und Abschottungsplänen. Das ist ineffektiv und sollte von einem Land mit einer starken rechtsstaatlichen Tradition wie der Bundesrepublik sehr kritisch begleitet werden.

Muss Deutschland im Gegenzug etwas von seiner Empfindlichkeit verlieren, was die hierzulande kritisch beäugte ständige Zusammenarbeit von Polizei, Militär und Nachrichtendiensten angeht?
Wenn ich meine Systeme schütze und den teuren Schritt zu sicherer IT und sicheren Strukturen gehe, brauche ich kein nationales Krisenteam mit all diesen Institutionen mehr. Dann brauche ich auch nicht in dem Maße, wie sie einigen vorschwebt, die internationale Vernetzung der Sicherheitsinstitutionen. Will man dagegen starke Kontrollen implementieren - was für die Bundesrepublik aus verschiedenen Gründen ohnehin ein weit weniger gangbarer Weg ist als für die USA - braucht man diese Vernetzung. Es kommt also darauf an, wie man sich politisch entscheidet. Ein radikaler Selbstschutz ist aber sowohl aus Sicherheits- als auch aus Datenschutzperspektive deutlich zu bevorzugen. Das ist allerdings teuer. 

Was ist – neben den verwundbaren Systemen – momentan die größte Schwäche beim Kampf gegen Cyberattacken?
Man merkt immer wieder, dass die Kompetenz noch nicht richtig da ist: Den Technikern fehlt die strategische Perspektive, den politischen Entscheidungsträgern die Einsicht in die Technik. Das gilt leider auch für die internationale Diskussion, besonders für die USA. Aber auch das kann sich ja noch ändern.

Sandro Gaycken ist Autor von „Computerkriege – Strategien und Politik des Cyberwarfare“ (Open Source Press, München 2010). Das Interview führte Johannes Schneider.