Netzpolitik

"Wir brauchen eine europäische IT-Sicherheitsindustrie"

Unternehmen, Behörden und Kriminelle sind mit immer ausgefeilteren Methoden hinter den Daten von Regierungen, Firmen und Bürgern her. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) wurde geschaffen, um die Sicherheit von Daten und Netzwerk-Infrastruktur innerhalb der europäischen Union zu gewährleisten. Der Direktor der ENISA, Udo Helmbrecht, spricht im futurezone-Interview über Bedrohungen und mögliche Lösungsansätze.

futurezone: Wo sehen Sie aktuell die größten Bedrohungen für die europäische IT-Sicherheit?
Udo Helmbrecht: Bei dieser Frage bewegen wir uns in einer Grauzone. Wir wollen keine Panik verbreiten und müssen uns deshalb überlegen, auf welche Probleme wir hinweisen. Ich glaube der wichtigste Punkt ist, zu lernen, uns in der digitalen Welt so zu bewegen wie in der Realität. Derzeit fehlt aber das Bewusstsein, die Sozialisierung dafür.

Wie haben sich die Bedrohungen für die Bürger in den vergangenen Jahren gewandelt?
Bedrohungen wie Viren, Würmer und Trojaner haben wir - zumindest im PC-Bereich - durch Gegenmaßnahmen wie Sicherheitssoftware und Bewusstseinsbildung im Griff. Bei mobilen Geräten klappt das noch nicht. Die Bereiche Spam und Botnetze haben wir ebenfalls schon recht gut unter Kontrolle. Angreifer hacken heute oft Werbebanner auf viel frequentierten Internetseiten, um dort einen Link zu kompromittierten Inhalten zu verstecken. Das können Nutzer nicht sehen. Hier sind die Betreiber in der Pflicht.

Wie kann das Problembewusstsein gestärkt werden?
Wir sollten in Schulen und Betrieben auf die Risiken aufmerksam machen. Wir müssen den Leuten zum Beispiel erklären, dass sie ihre Daten verschenken, wenn sie Apps verwenden.

Wo liegen die Bedrohungen im staatlichen Bereich?
Hier gibt es mittlerweile Bedrohungen wie Stuxnet (die hochentwickelte, auf staatlicher Ebene erschaffene Schadsoftware, mit der das iranische Atomprogramm sabotiert wurde, Anm. d. Red.). Der Code ist in der Welt, ein Angriff ist also möglich, auch wenn er mit viel Geld und Aufwand verbunden ist. Solche Attacken können auf zwei Arten bedrohlich werden. Entweder kann direkt Schaden angerichtet werden, oder es kommt zu Erpressungsversuchen.

Was wird hier getan?
Die Telekommunikationsunternehmen haben sowohl was die Bedrohung durch Stuxnet als auch durch DDOS-Attacken (Distributed Denial of Service, die Überlastung eines Servers mit einer Flut von Anfragen von mehreren Rechnern aus, Anm. d. Red.) angeht viel getan, aber die potenziellen Schäden bleiben sehr hoch. In vielen Bereichen bleibt die IT-Sicherheit ein Hase-und-Igel-Spiel.

Welche Rolle spielen die verschiedenen Beweggründe für Angriffe?
Egal ob es um die Nutzer der Services im Alltag, die organisierte Kriminalität oder zwischenstaatliche Konflikte geht, die Motive sind gar nicht so wichtig. Wir müssen uns gegen die Angriffstechniken verteidigen und die sind immer dieselben. Mit Stuxnet könnte etwa auch ein Angriff auf die Wiener Stadtwerke verübt werden. Mit denselben Mitteln können Kriminelle Geld erpressen, Terroristen können asymmetrische Kriegsführung betreiben und auch Fertigungswerke einer Firma können lahmgelegt werden.

Seit Snowden wissen wir, dass auch zwischen europäischen Staaten im großen Stil spioniert wird.
Sowohl Staaten als auch Unternehmen betreiben Industriespionage. Der Diskurs ist hier aber schwierig, weil Geheimdienste eben geheim sind und es unterschiedliche Traditionen in den verschiedenen Staaten gibt. Es gibt keinen europäischen Geheimdienst, weshalb die Dienste auch untereinander spionieren können. Dieses Thema fällt aber nicht in unsere Zuständigkeit.

Wer die Infrastruktur-Hardware liefert, hat die Kontrolle über das Netz. Brauchen wir einen europäischen Hardware-Anbieter als Gegenpol zu Cisco oder Huawei, um die Infrastruktur sicher gestalten zu können?
Aus industriepolitischer Sicht versuchen wir mit EU-Projekten wie Horizon 2020 Innovationen zu fördern. Wir haben die Mittel, über Zertifikate, Standards und Förderungen den Markt zu beeinflussen, aber eigentlich hoffen wir immer, dass durch den Wettbewerb einiges passiert. Wir müssen in Europa die IT-Technik herstellen, allein um Beurteilungsmöglichkeiten im IT-Sektor zu haben. Wenn wir die Hardware oder Software nicht herstellen, gibt es die ganze IT-Sicherheitskette bald nicht mehr in Europa.

Wie riskant ist das?
Die große Mehrheit der Ausfälle in IT Infrastrukturen passiert zwar nicht durch Attacken, sondern durch Pannen. Aber Infrastruktur, die auf US- oder chinesischer Hardware basiert, öffnet nicht nur Spionage die Tore. Es für uns auch bei der Abwehr organisierter Kriminalität schwieriger, wenn es keine europäischen Systeme mehr gibt. Wir brauchen eine europäische IT-Sicherheitsindustrie.

Kann Europa eine IT-Infrastrukturindustrie erzwingen?
Die Frage ist, wie man das regulieren will. Deshalb haben wir auf europäischer Ebene die NIS-Plattform (Network- and Information-Security) ins Leben gerufen, um das Vorgehen zu koordinieren. Wenn die Geräte selbst unsicher sind, muss man nachdenken, wo man eingreifen kann. Sicherheitsstandards beim Import, wie wir sie bei vielen Geräten etwa mit dem CE-Siegel haben, wären möglich. In Sachen Software ist das schwierig. Eine Haftung für Betriebssystemhersteller bei Sicherheitslücken lässt sich schlicht nicht durchsetzen.

Sie haben sich einmal für verpflichtende Sicherheitssoftware ausgesprochen. Wäre das eine Möglichkeit?
Die Menschen dazu zu zwingen, Sicherheitssoftware zu verwenden, wäre die Ultima Ratio. Aus heutiger Sicht ist das aber utopisch. Bei Autos etwa gibt es strenge Regulierung und die TÜV-Prüfung. Software aber kann jeder herstellen und auf dem Markt anbieten, hier gibt es keinen Weg, Kontrollen durchzusetzen.

In welchem Ausmaß sollen Staaten Informationen über ihre Bürger sammeln dürfen?
Es muss den Strafverfolgungsbehörden möglich sein, wie im "analogen" Leben Verbrechen auch in der "Cyber-Welt" zu verfolgen. So wie auf richterliche Anordnung Hausdurchsuchungen möglich sind, muss die Gesellschaft auch "Online Durchsuchungen" erlauben. Aber auf gesetzlicher Grundlage.

Wenn nicht einmal das Handy der Bundeskanzlerin vor Angriffen geschützt werden kann, wie sollen dann europäische Unternehmen und die Infrastruktur geschützt werden?
Ich weiß nicht, welches Ihrer Handys abgehört wurde, aber wir haben sichere Technologien wie Kryptographie, qualifizierte elektronische Signaturen, Verschlüsselungshandys oder hochsichere Router, zum Beispiel aus deutscher Produktion (zugelassen bis "streng geheim"). Man muss sie nur einsetzen.

Wie stellen Sie sich Europas IT-Sicherheitsstruktur in zehn Jahren vor?
Ich wünsche mir, das es ein breites Bewusstsein für die Risiken gibt, alle mit Ihren Daten und Systemen sorgsam umgehen, und wir international erfolgreiche Unternehmen im IT Sicherheitssektor haben.

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Markus Keßler

mehr lesen