Panel. Terrorismus, Cybercrime und Cyberspionage verhindern in:

Eberhard Grein (ed.)

Cyber Security, page 69 - 98

Angriffe verhindern und abwehren - Militärische und zivile Infrastrukturen schützen

1. Edition 2019, ISBN print: 978-3-8288-4404-9, ISBN online: 978-3-8288-7401-5, https://doi.org/10.5771/9783828874015-69

Tectum, Baden-Baden
Bibliographic information
69 Panel Terrorismus, Cybercrime und Cyberspionage verhindern Uli Lechte, MdB, Mitglied des Auswärtigen Ausschusses und Vorsitzender des Unterausschusses der Vereinten Nationen, Internationale Organisationen und Globalisierung des Deutschen Bundestages Bernd Schlömer, MdA, Sprecher für Digitalisierung, Datenschutz und Kommunikationstechnologie des Berliner Abgeordnetenhauses Generalmajor Jürgen Jakob Setzer, Stellvertretender Inspekteur im Kommando Cyber und Informationsraum sowie Chief Information Security Officer der Bundeswehr Hans-Christian Witthauer, Vizepräsident Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITIS) Philipp S. Krüger, Managing Director des „Digital Hub Cybersecurity“ beim Fraunhofer-Institut für Sichere Informationstechnologie SIT, Non-Resident Fellow am Institut für Sicherheitspolitik an der Universität Kiel (ISPK) Patrick O’Keeffe, Non-Resident Fellow am Institut für Sicherheitspolitik an der Universität Kiel (ISPK) in der Abteilung Strategische Entwicklung in Asien-Pazifik Dr. Martin Unterberger, Verband der Automobilindustrie (VDA) Lennart Oly, ENX Association Moderation: Oberst d.R. Prof. Dr. Eberhard Grein, Leiter DialogForum Sicherheitspolitik Grein: Ich darf Sie ganz herzlich aus der Mittagspause zurück begrüßen. Ich hoffe, Sie konnten auch den Dialog miteinander führen. Wir gehen jetzt in das Panel mit einem Thema, das uns nicht fremd ist: Terrorismus, Cybercrime, Cyberspionage verhindern. Somit sind wir eigentlich schon beim Thema und ich fange mal bei Herrn Lechte an. Herr Lechte, Sie sagen, Cyberbedrohungen sind meistens grenzüberschreitend. Cyberan- 70 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren griffe erfolgen über Server in mehreren Ländern, sodass die Identifikation des Täters sehr schwierig zu verifizieren ist. Wir haben darüber vorhin auch etwas gehört von General Setzer. Deshalb ist Kooperation wichtig, internationale Kooperation, und wenn ich Sie jetzt frage, was müsste man eigentlich tun, da Sie ja in den internationalen Medien unterwegs sind, um dieses Phänomen dessen, was wir jetzt hier gehört haben, einzufangen und hier einen gemeinsamen Nenner zu ermöglichen, und: was würden wir am besten wie angehen? Lechte: Zunächst mal herzlichen Dank, dass ich heute wieder hier sein darf. Ich hatte ja letztes Jahr schon das Vergnügen, zum ersten Mal als Bundestagsabgeordneter bei Ihnen meine erste außenpolitische Veranstaltung zu haben. Letztes Jahr haben wir darüber gesprochen, dass wir mehr Geld für die Bundeswehr brauchen und Sie werden festgestellt haben, dass es zumindest in der politischen Diskussion in diesem Jahr und auch bei den Haushaltsaufstellungen so weit gekommen ist, dass man das als ein wichtigeres Thema angesehen hat. Auch die Sache, die vorhin der Generalinspekteur a.D. angesprochen hat mit den neuen Brigaden, wo man ja 5 Milliarden veranschlagen darf, die werden jetzt dann in den nächsten Jahren dringend ausgerüstet werden und da braucht man Geld dafür. Jetzt zu Ihrer Frage, was die Sache angeht mit der Cyberkriminalität. Wir haben schon relativ frühzeitig begonnen, mit Cyberkriminalität international was zu tun, also mit dem Aufkeimen des Internets, wo man am Anfang ja immer noch dachte, um Gottes willen, das wird vielleicht gar nicht überleben, weiß man aber heutzutage, wie stark vernetzt die Welt durch die Digitalisierung geworden ist. Es gab dann im Jahre 2001 schon eine Budapester Konvention, die von den europäischen Staaten und verschiedenen anderen Staaten wie zum Beispiel USA, Südafrika, Japan – um nur einige zu nennen – entsprechend unterzeichnet worden ist, wo es genau um diese Internationalisierung dieser Fragen ging. Das muss jetzt weiter fortgeführt werden. Es gibt Forderungen nach einem sogenannten Digitalwaffensperrvertrag, dass man also dazu kommt, auch die digitalen Waffen als klare Sache anzuerkennen. Man sieht, dass das Verteidigungsministerium 2017 die Abteilung von Herrn General Setzer und das so gesehen wird. Was ich aber in der politischen Bewertung sagen muss, ist, dass man bemerken darf, auch nach den Vorträgen heute, dass wir wieder dabei sind, die 71 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Verantwortung auf mehrere Ministerien zu verteilen, jeder macht sein eigenes Süppchen und das wird im Nachhinein vermutlich nicht der richtige Weg sein. Wir müssen dringend dafür sorgen, dass wir die Kräfte dort bündeln und da gibt es ja dann die Ansätze mit den oben drüber schwirrenden Vereinigungen, und das muss man entsprechend politisch ausgestalten, damit dort auch der richtige Weg gegangen wird, es nämlich gemeinsam zu erkennen. Die Frage allerdings, die ganz, ganz wichtig ist – da wird mit Sicherheit Herr Schlömer auch noch darauf eingehen –, ist, dass wir unsere Software entsprechend sicher gestalten für jeden, also dass man noch nicht mal in die Versuchung kommt, Hintertürchen einzubauen, damit dann die oberen Regierungsstellen usw. Zugang darauf haben. Man muss es so sicher gestalten, dass überhaupt keine digitalen Angriffe möglich sind. Grein: Ich gehe jetzt mal in die operative Ebene rein. Jetzt sagen Sie Herr Schlömer, wir leben aber leider in einer Zeit wachsender Cyberbedrohungen, auf die wir schlecht vorbereitet sind, und das haben wir auch schon gehört. Aber vom Anstieg der Cyberkriminalität bis hin zu immer ausgefeilteren Cyberkriegsführungsfähigkeiten, das ist eine neue Terminologie in dem Gesamtkontext inklusive der hybriden Formen. Und das von Herrn Lechte war eben eine internationale Sichtweise. Sie haben einen großen Fundus an Wissen, an Informationen, aus denen Sie schöpfen können. Wie, sagen Sie, entwickelt sich das oder wo müssen wir die linke und die rechte Grenze sehen, um die Dinge einzuhegen? Schlömer: Ich versuche einmal in meinen Statement einen Rahmen aufzuzeigen, der für die weitere Diskussion hilfreich sein könnte. Man muss auf der einen Seite sehen, dass die Ausprägung der deutschen Cybersicherheitsarchitektur, wie wir sie heute in den Folien und Beiträgen gesehen haben, organisatorisch und strukturell bereits gut aufgestellt ist. Mein Vorredner hat zu Recht gesagt, dass wir aufgrund der grenzenlosen Natur der Digitalisierung überlegen müssen, wie wir Kollaborationen und Kooperationen der Behörden noch vertiefen können. Als Politiker darf ich sagen, dass das Nationale Cyber-Ab wehr zentrum in dieser Form noch immer nicht flüssig arbeitet. Zwar gibt es bereits eine Informationsstelle, jedoch kann die Behördenarbeit dort noch wesentlich intensiviert werden. Insofern ist die Bewertung im Beitrag 72 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren meines Vorredners sehr richtig. Hier müssen wir überlegen, wie wir noch stärker auch behördenübergreifend agieren können und wir müssen überlegen, wie wir mit Schwachstellen, insbesondere Softwareschwächen, insgesamt besser umgehen. Es ist leider so, dass natürlich von der Verwaltungsseite, von Seiten der Behörden, Softwareschwächen oder -lücken nicht zuverlässig geschlossen werden können. Wir müssen uns vielmehr überlegen, wie wir insgesamt einen staatlichen Regulierungs- und Rechtsrahmen bilden können, der ein Schwachstellenmanagement enthält. Das bedeutet: Wie gehen wir eigentlich mit Lücken und Schwächen in der Software um, welches Management ist vorgesehen von Bundeswehr und des für Cybersicherheitsfragen zuständigen Bundesministerium für das Innere, für Bau und für Heimat? Wie schaffen wir einen verbindlichen Rechtsrahmen? Wie können wir dafür Sorge tragen, dass wir insbesondere bei Staatsanwaltschaften im Justizwesen eine Fähigkeitsentwicklung betreiben, damit der Begegnung und der Bekämpfung von Cyberkriminalität auch fachlich viel besser Rechnung getragen werden kann? Wir müssen uns darüber Gedanken machen, wie wir – und das hatten Sie in Ihrem Beitrag auch angeführt – beispielsweise die Übermittlung von digitalen Beweismitteln sicher gestalten können. Da ist noch sehr viel Arbeit zu leisten. Wir müssen uns überlegen, wie wir mit staatlichem Hacking umgehen. Als ehemaliger Pirat erlaube ich mir die Nutzung dieses Terminus. Auch welche Bereiche sollte sich staatliches Hacking im Kontext der äußeren Sicherheit beschränken? Für den Schutz von Kameradinnen und Kameraden, sowie Soldatinnen und Soldaten in der Bundeswehr, ist es, denke ich, essentiell. Im innerstaatlichen Gebrauch müssen wir jedoch unter der Beachtung von Bürger- und Grundrechten genau überlegen, wie weit darf es gehen und wo aufgrund von Persönlichkeitsrechten Grenzen zu respektieren sind. Hier ist der Gesetzgeber, der Bund gefragt, aber ich glaube auch, dass durch die Entwicklung und den Aufbau auch eines Organisationsbereichs ‚Cyberinformationsraum‘ die Bundeswehr einen wesentlichen Meilenstein erreicht hat. Ich war damals selber am Aufbaustab Cyberinforaum beteiligt, deswegen erlaube ich mir eine Stellungnahme dazu. Aufgaben sind effektiv gebündelt und konzentriert worden und ich glaube allgemein, dass in der Bundeswehr sehr viele und sehr gute Kräfte eingesetzt werden. Wir sollten daher optimistisch in die Zukunft schauen. 73 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Die FDP ist eine Partei, die optimistisch in die Zukunft schaut und überzeugt ist, dass gute Voraussetzungen bestehen um zukünftige Heraus for derungen zu meistern. Jetzt gilt es die Dinge mit Leben zu füllen, behördenübergreifend zu denken und einen zuverlässigen Rechts- und Regulierungsrahmen zu bilden auf einer stabilen gesetzlichen Grundlage. Dies wird uns helfen, Gefahren der Cyberkriminalität und des Terrorismus genauso effektiv und wirkungsvoll zu begegnen wie Angriffen oder der missbräuchlichen Nutzung unserer kritischen Infrastrukturen. Das vielleicht als kurzes Statement. Grein: Ich greife nochmal etwas auf, was Herr Lechte eben in seinem Beitrag gesagt hat. Er hat ja von diesem doch nicht so ganz geordneten Haus, sage ich mal, im Bereich Cyber gesprochen, was noch erfolgen soll. Wir haben natürlich schon eine Folie gesehen, wo es auch in diese Richtung geht und hier frage ich jetzt den Fachmann Herrn Witthauer als Vizepräsidenten der Zentralen Stelle für Informationstechnik im Sicherheitsbereich. Sie sagen ja auch, dass die technischen Fähigkeiten vor allem kontinuierlich weiterentwickelt werden müssen. Der einzelnen Organisationen, natürlich dann im Verbund, und wo der Konnex untereinander besteht und dann im Fokus zu haben, dass eben der Wettlauf mit der Cyberkriminalität gewonnen wird und dass wir dort nicht zurückfallen dürfen. Sie haben uns vorhin in ihrem Vortrag schon sehr eindrucksvoll berichtet, was tun Sie, um alle Beteiligten zusammenzubinden, die hier miteinander mit einem Ziel und der gleichen Richtung unterwegs sind. Witthauer: Da gibt es ganz viele Optionen und Möglichkeiten, die wir tun. Zum einen – und das hat General Setzer ja auch schon dargestellt – wir haben eine Kooperation in den Bereich des BMVg hinein, mit dem CODE Institut an der Bundeswehruniversität. Wir werden perspektivisch auf dem Universitätsgelände sogar gemeinsam ein Gebäude bauen und dort dann in dem Bereich der Forschung gemeinsam tätig sein. Wir haben natürlich unsere Netzwerke in Gänze zu allen Akteuren ausgedehnt. Uns gibt es natürlich mal knapp eineinhalb Jahre – das muss noch wachsen. Aber das, was Sie auch gesagt haben, die Frage ressourcenübergreifend das Ganze zu verbinden, das ist eben diese zentrale Aufgabe, diese zentrale Funktion, die Player, die im Bereich der inneren Si- 74 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren cherheit unterwegs sind, auch in den technischen Gegebenheiten zu befähigen und das sind eben nicht nur die Bundeseinrichtungen, sondern auch die Landeseinrichtungen. Wir machen das in Form eines Jahresarbeitsprogrammes. Das ist letztendlich unsere Aufgabe, beschreibt unsere Aufgaben und da stimmen wir uns tatsächlich mit allen Bedarfsträgern ab, um eben diesen Synergieeffekt und die Vernetzung zu erreichen. Grein: Danke. Wir haben hier zwei Herren und vielleicht können die aus ihren unterschiedlichen Blickwinkeln vom Verband der Automobilindustrie uns hierzu auch etwas sagen. Sie haben das vorhin schon angesprochen in dem Vortrag und was das dann ganz en detail heißt, Sie haben nämlich vom Unsicherheitsfaktor – das kam übrigens ja auch nicht nur bei Ihnen, sondern auch bei den anderen Vorträgen – des Menschen gesprochen, der manchmal recht arglos mit den klassifizierten Informationen umgeht. Das geht bei E-Mails los und das endet vielleicht auch noch ganz woanders. Können Sie hier vielleicht nochmal an praktischen Beispielen sagen, was zu beachten ist? Mit Ihnen haben wir ja heute zwei Vertreter der Schlüsselindustrie Automobil bei uns, die auch verwundbar ist. Das könnte auch zu Wirtschaftskrieg und allem anderen benutzt werden. Deshalb kommt dem auch eine so große Bedeutung zu. Sie können sicherlich etwas dazu sagen, was beachtet werden soll oder was manchmal vielleicht auch nicht beachtet wird. Unterberger: Wenn ich das Ganze mal ein bisschen reflektiere, unsere Runde auch hier, dann ist man sehr stark geneigt, zu stark in Technik zu denken. Wenn wir über Informationssicherheit und Cyber Security reden und der Kollege Schlömer, wir beiden waren in dem Aufbaustab, aus dem letztendlich diese Organisation (CIT) und (CIR) entstanden ist. Da war immer das Ansinnen, die Technik – ich nenne mal eine Prozentzahl – macht ungefähr 30 Prozent eines Sicherheitsmanagementsystems aus. Jetzt komme ich eben auf Ihre Fragestellung, Herr Prof. Grein. Viel wichtiger ist an der Stelle die Organisation, die es uns erlaubt, eben auf solche – ich nenne es mal – Bedrohungen reagieren zu können zum einen, und zum anderen etablierte Prozesse. Diese haben jetzt zuerst mal mit Technik ganz wenig zu tun. 75 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Vielleicht das auch noch: 10, 12 Jahre lang habe ich bei Porsche den Bereich Informationssicherheit aufgebaut, nämlich genau in dem Duktus nämlich, Technik muss sein, aber sie darf nicht überbewertet werden, sondern die Prozesse, die Organisation und damit die Menschen an sich. Herr General Setzer sagte das vorher in seinem Vortrag, 80 Prozent macht der Mensch aus. Ich gehe da sogar fast noch einen Schritt weiter. Man muss sich bloß einfach mal anschauen: Bei befreundeten Unternehmen in unserer Industrie haben sie eine kleine Aufmerksamkeitskampagne gemacht und eine Mail des CEOs verschickt so nach dem Motto: Kommt von ganz oben. Dort haben über 95 Prozent der Mitarbeiter – und das war kein kleines Unternehmen – gedacht: Oh, klasse Geschichte. Im Übrigen gab es noch einen Wettbewerb, das neues iPhone zu gewinnen. Deshalb haben die Mitarbeiter auf einen Link in der E-Mail geklickt und hätten sich im Ernstfall Schadcode eingefangen. Deshalb eigentlich mein Plädoyer an der Stelle: Technik ist für mich an der Stelle Mittel zum Zweck, aber die Organisation und die Prozesse und Sicherheitsprozesse drum he rum sind wesentlich. Oly: Ja, das kann man im Wesentlichen unterstreichen. Ich möchte Herrn Prof. Grein vielleicht nur an einer Stelle zumindest ein Stück weit widersprechen: Ich möchte es nicht so verstanden wissen, als sei der Mensch im Wesentlichen der Unsicherheitsfaktor in einer ansonsten sicheren, weil verschlüsselten Welt. Es ist der Mensch, der in dieser Welt arbeitet und für den wir die Sicherheit lebbar machen müssen. Für den sind die Prozesse da und um den drehen sich dann hoffentlich auch die Prozesse und nicht um die Bedienung von Technologie. Wenn ich mir Sicherheitstechnologie betrachte und insbesondere, wenn wir von Verschlüsselung und von Zertifikaten sprechen, da kann man sich schon fragen, arbeitet die Technik für uns oder wir für die Technik? Ich habe – nicht als Experte, sondern als Geschäftsführer – da gerade eine E-Mail des Bundeszentralamtes für Steuern auf dem Tisch, die mir sagt, dass bisher verwendete Signaturverfahren „RSASSA-PKCS1 in der Version 1.5“ werde nun durch „RSASSA-PSS“ abgelöst. Also: Der Mensch ist ein Faktor. Der Mensch kann wesentlich dazu beitragen, dass Dinge sicher sind, er kann auch ein Stück weit ein Ge- 76 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren fühl dafür entwickeln. Wir sollten ihn nicht nur betrachten als den Unsicherheitsfaktor in einer ansonsten durchdesignten, schönen Welt. Wir müssen sehen, dass wir den Menschen in dem Mittelpunkt stellen und ihn mit möglichst sinnvollen Sicherheitsmitteln ausstatten und das heißt für unsere Unternehmen auch zunehmend, wir müssen damit umgehen, dass Menschen auch im Privatleben mit Technik zu tun haben. Man bringt das Smartphone mit in die Firma oder man will in der Firma ein solches so vorfinden, dass man damit arbeiten kann. Lebenswelt und Arbeitswelt vermischen sich. Das sind Herausforderungen, mit denen wir in jedem einzelnen Unternehmen und in jeder einzelnen Behörde umgehen müssen. Wie bringen wir das so auf die Reihe, dass diejenigen, die technikaffin sind und gerne vielleicht auch nochmal eine Viertelstunde lang in ihrem Privatbereich an die Firma oder an die Organisation denken, auch arbeitsfähig gemacht werden. Grein: Herr Oly, Sie liefern da ein Stichwort. Es ist natürlich nicht nur der Mensch der Unsicherheitsfaktor, das ist schon klar, und wenn wir es mal auf den Punkt bringen, gibt es auch diese Cyberangriffe. Wenn Sie die Berichte der Landesämter für Verfassungsschutz und des Bundesamtes für Verfassungsschutzes lesen und auswerten, sind natürlich immer bestimmte Akteure unterwegs, die vielleicht auch in der Industrie unterwegs sein können. Sind das immer die üblichen Verdächtigen oder auch andere? Es gibt ebenso solche aus dem nordafrikanischen Raum, es gibt solche aus dem Irak und dem Iran oder woanders her. Wie ist das nun eigentlich? Ich weiß nicht, wer hier dazu vielleicht profund etwas sagen kann, denn es sind sicherlich unterschiedliche Akteure. Krüger: Ich weiß nicht, wie profund ich jetzt sein kann, aber ich glaube, Sie haben recht, es gibt eine Proliferation, eine Verbreitung von Cyberwaffen und -fähigkeiten hin zu kleinen, mittleren Staaten und kriminellen Akteuren. Das haben wir beobachtet über die letzten Jahre hinweg. Wir sehen, dass diese Akteure heute Cyberoperationen machen können, durchführen können, die vorher exklusiv die Fähigkeit von Playern wie der NSA waren oder Israel. Das ist ein Problem. Das führt mich auch zu meinem Kommentar zu den beiden Vorrednern, dem ich hochachtungsvoll widersprechen möchte. Ich glaube, Tech- 77 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern nologie ist der entscheidende Faktor. Ich glaube, vor ein paar Jahren ist das, was Sie sagen, richtig, dass wir organisatorisch mit dem Element Mensch – wir nennen das in der Computer Science Wetware, also Hardware, Software, Wetware, die Menschen –, dass wir uns darauf fokussieren müssen. Ich glaube, das ist in der sogenannten fünften Generation der Cyber Security, in der wir uns jetzt bewegen, nicht mehr der Fall. Ich glaube, es wäre ein Fehler für Deutschland, wenn wir uns nach wie vor nur auf das Organisatorische fokussieren. Ich glaube, andere Ökosysteme wie Israel, USA, aber auch Asien – wir waren gerade in Japan – schauen sehr stark darauf, was gerade passiert in der Technik und wenn wir uns einmal vor Augen führen, was ist bisher passiert. In den 80ern haben wir Antivirustechnologie entwickelt, in den 90ern Firewall-Technologie, 2000 Application-Protection-Technologie, 2010 ging es dann los Sandboxing-Technologie und wo sind wir jetzt 2018? Meiner Meinung nach sind wir im Bereich der sogenannten Chip-Level- Cyber-Security, die besonders notwendig ist, weil wir zurzeit diese Multivektor State Sponsored Large Scale Attacks haben. Grein: Können Sie das vielleicht noch ein bisschen erläutern, was sich dahinter verbirgt? Krüger: Also was sich dahinter verbirgt, ist, dass wir eine Evolution von nicht sehr tiefgehenden Attacken sehen, die am Anfang und vor mehreren Jahrzehnten und jetzt vor mehreren Jahren nicht sehr gezielt waren und dann hin zu sehr gezielten und sehr tiefgehenden Cyberoperationen. Also man könnte das auch eine Smart Bomb nennen. So langsam befinden wir uns im Bereich Cyber Operations bei den Smart Bombs, und das ist ein Problem für eine Cybermittelmacht wie Deutschland, wenn wir keine technischen Antworten haben. In den USA könnte man sagen, wir haben Router und Switches und Chips, die wir selber produzieren, Intel, ARM, Cisco, aber in Deutschland haben wir das nicht. Wir müssen das einkaufen. Genauso haben wir in Deutschland keine Operating Systems, die wir hier produzieren. Das machen die Amerikaner. Genauso haben wir zum Teil nicht wie die Israelis tiefe Technologie, die aus dem militärischen und Geheimdienstsektor kommt, aus den Drohnen etc. Das haben wir auch nicht bisher. Wir bauen jetzt diese Fähigkeiten auf, was sehr gut ist, mit dem Kommando CIR, mit ZITIS, jetzt 78 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren mit AIC, aber das dauert noch ein bisschen und ich glaube, wir müssen trotzdem schauen, dass wir uns technologisch gut aufstellen in der Zwischenzeit. Grein: Jetzt komme ich auf General Setzer, der hat sich auch schon das Mikrofon genommen, denn ich muss, glaube ich, gar nicht nachfragen und kann ihm gleich so das Wort erteilen, dass Sie darauf auch noch mit antworten. Setzer: Wir diskutieren ja augenblicklich auf sehr vielen unterschiedlichen Ebenen und ich möchte das etwas voneinander trennen. Zunächst einmal die mannigfaltige Ebene der Bedrohung. Im Bereich der fortgeschrittenen, andauernden Bedrohungen, engl. Advanced Persistent Threats, haben Staaten und Organisationen ein Geschäftsmodell entwickelt, um tatsächlich unsere Gesellschaft in ihren ganzen Bereichen angreifen zu können. Nun stellt sich die Frage der angemessenen Reaktion, denn das Besondere daran ist; Sie können einzelne Player nicht mehr voneinander trennen, denn es gibt staatliche Organisationen, die sich organisierter Kriminalität bedienen. Und umgekehrt gibt es Staaten, die es der organisierten Kriminalität erlauben, von ihrem Staatsgebiet aus zu operieren. Das zweite ist: Was können wir heute machen und was machen wir schon? Wir setzen bereits heute Technik ein, um bekannte Angriffe herauszufiltern und Anomalien im Netz festzustellen. Hierzu bedienen wir uns künstlicher Intelligenz (KI). Das heißt, wir nutzen KI um Datenauszüge zu analysieren, zu bewerten und festzustellen, ob Muster vorliegen, die darauf hindeuten, dass wir es möglicherweise mit einem bevorstehenden Angriff zu tun haben. Wie bereits gesagt, Preventive Policing nutzen wir auch im Hinblick auf Angriffsfrüherkennung. Aber das Ganze funktioniert nur, wenn wir die Organisation mitnehmen und deswegen sage ich, man sollte nicht die Waage ausschlagen lassen. Prozesse versus Technik oder Technik versus Prozesse. Beides bedingt einander denn, wenn ich die Technik habe, aber die Prozesse nicht, dann habe ich Alarm, aber keine Mechanismen, um dem Alarm begegnen zu können. Das ist ein großes Feld. Ich als CISO Bundeswehr kann Ihnen sagen, dass dies ein stetiger Lernprozess ist und wir uns daran gewöhnen müssen, nie fertig zu sein. 79 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Sie finden keine fehlerlosen Programme. Wenn Sie ein fehlerbehaftetes Programm haben, ist es egal, ob Sie das Backdoor nennen oder First Day Exploit, Second Day Exploit oder Zero Day Exploit. Dann haben Sie etwas drin, was genutzt werden kann und damit müssen wir leben. Jedes Programm, was heute verkauft wird, beinhaltet Fehler. Einfach schon aufgrund der mathematischen Wahrscheinlichkeitsrechnung. Wenn Sie eine gewisse Anzahl an Zeichen haben, sind dort Fehler drin, weil Menschen Fehler machen. Jetzt komme ich zum dritten Bereich. Wenn wir uns mit Zukunft beschäftigen, dann müssen wir uns auch als Nation fragen, ob wir bis dato alles richtig gemacht haben. Dass wir gewisse Ressourcen nur noch von außen einkaufen können oder ob wir wieder nicht als Nation möglicherweise, aber auch als Nation mit anderen Partnern in Europa zum Beispiel eine Chipproduktion wiederhaben können, wo wir davon ausgehen können, dass wir sie nicht nur überprüfen können, sondern wo wir Prozesse haben und Menschen, die sicherstellen, dass sie auch für uns als Europa oder als Deutschland sind. Das hat auch etwas damit zu tun – und damit komme ich zum Ende von meinem etwas längeren Statement –, wie im richtigen Leben, Sie in Ihrem Haus sichern nicht alles gleich. Sie lassen sogar manchmal Sachen vorm Haus liegen, weil sie für Sie von geringerer Bedeutung sind und wenn es einer mitnimmt, dann ärgern Sie sich, aber dann ist es für Ihr Leben nicht entscheidend. Auch dort muss man wissen, in der Informationstechnik, was sind meine Goldschätze und die Goldschätze sollten nicht so groß sein, die muss ich besonders schützen. Wer alles schützen will, schützt nichts. Grein: Danke. Jetzt gibt es daraufhin direkt eine Wortmeldung von Herrn Schlömer, ehe ich auch nochmal zu Herrn Krüger komme. Schlömer: Nur ergänzend, weil Herr General Setzer schon viel gesagt hat. Man kennt die Akteure bereits: Wir haben zum einen ganz normale Cyberkriminelle, die im Grunde echte Geschäftsmodelle haben. Sie müssen sich diese als richtige Unternehmen vorstellen. Während es Zuständige für die Infrastruktur gibt, sorgen andere dafür, dass Gelder flie- ßen, denn das Ziel von Cyberkriminalität ist natürlich, einen Cashflow zu realisieren und Beutesicherung zu betreiben. Das sind Unternehmen, die auf Infrastruktur und auf Know-how, vor allem technisches Know-how, angewiesen sind. Die brauchen IT-Perso- 80 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren nal, das sicherstellt, dass das angeeignete Geld letztlich auch auf dem eigenen Bankkonto landet und das ist eine gigantische Herausforderung. Ich würde davon Abstand nehmen, das national zuzuweisen, wie Sie es gerade eben gemacht haben, und eben nicht auf Gruppen im Iran oder Russland verweise. Diese Aktivitäten rühren auch von nicht-staatlichen Akteuren. Vielleicht mit staatlicher Unterstützung. Vielleicht aber auch nicht. Die Geschehnisse einfach Staaten zuzuweisen, das erscheint mir zu simpel. Zum einen haben wir es mit Cyberkriminellen zu tun, die sehr organisiert, hochprofessionell und äußerst arbeitsteilig vorgehen. Eine zweite Gruppe besteht aus politischen Hackern, sogenannten Hacktivisten. Darüber sind Sie ausreichend informiert, das brauche ich nicht weiter ausführen. Wir haben es also mit Akteuren zu tun, die zur Durchsetzung ihrer politischen Interessen letztendlich dazu bereit und in der Lage sind, Cyberangriffe durchzuführen. Zudem haben wir eine dritte Gruppe, die Herr General Setzer auch schon angesprochen hat. Man nennt sie Script Kiddies. Diese arbeiten mit einfachen Programmiercodes, die von jedermann einfach aus dem Internet heruntergeladen werden können. Damit können einfach kleine Angriffe auf Websites unternommen werden. Das könnten zum Beispiel Ihre Kinder sein, von denen Sie gar nicht wissen, warum sie so lange in ihrem Kinderzimmer sitzen und am Computer spielen. Diese Gruppe ist in der Literatur bereits beschrieben und man muss sich vergegenwärtigen: Script Kiddies sind nicht zu unterschätzen und bis heute ein gewisses Problem und eine gewisse Herausforderung, weil sie durchaus dazu in der Lage sind, tiefgehende Angriffe zu tätigen und hohen Schaden zu verursachen. Eine weitere und lieber gesehene Gruppe, wie sich den bisherigen Vorträgen entnehmen lässt, sind die IT-Sicherheitsforscher. Sie testen die IT-Sicherheit. Auch weil sie den Auftrag haben zu prüfen, ob Infrastrukturen sicher sind. Auch die Bundeswehr überprüft sich selbst, um zu wissen, ob die Systeme sicher sind. Aber auch private Unternehmen beauftragen solche IT-Sicherheitsforscher, um Systeme auf ihre Resistenz zu überprüfen. Aufgrund ihrer weiten Verbreitung lässt sich diese Gruppe also gut beschreiben und analysieren. Ich würde es aber generell vermeiden und rate auch anderen dazu, diese Gruppen nicht bestimmen Nationalstaaten zuzuordnen oder auf staatliche Herkunft zu verweisen, denn die Attribution solcher Angriffe ist äußerst schwer, und man sollte es sich nicht so einfach machen. Für die Analy- 81 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern se von Cyberaktivität ist der Faktor Nationalität also vergleichsweise wenig aussagend und daher zu vernachlässigen. Die Politik, wir Politiker, neigen immer dazu, zu sagen: Die Russen waren es. So einfach ist es aber nicht. Wenn man sagt, dass die Russen es waren, kann man davon ausgehen, dass man eigentlich nicht weiß, wer es gewesen ist. Insofern würde ich Ihnen raten, lieber auf verschiedene Gruppen von Akteuren zu verweisen, die ich oben aufgezählt habe, als auf Staaten. Zweitens würde ich ebenfalls die Smart-Bomb-These aufstellen, sozusagen die Gegenthese, die Sie bereits angesprochen haben. Wir alle sind ja Bürgerinnen und Bürger in einem Land. Attacken wie WannaCry oder der damit zusammenhängende NonPetya-Angriff, sind letztendlich einfache Streuattacken. Da wurden einfach verschiedene Tools genutzt und besonders breit angewandt. Es sind Krankenhäuser beeinträchtigt worden, die Berliner S-Bahn war betroffen sowie weitere, aber das war allgemein eine ganz andere Angriffstaktik. Es wurde versucht, breit zu streuen, Schaden anzurichten und Menschen zu erpressen und zur Zahlung von Geld zu bewegen, ohne dass man ein genaues Ziel vor Augen hatte. Gegen Zahlung einer manchmal großen, manchmal einer kleinen Summe Geldes ist die Website wieder frei. Diese zielgenauen Attacken finden in diesen Streumittel-Angriffen ihren Gegenentwurf, wofür es eine ganze Reihe an Beispielen gibt. Dieses Phänomen funktioniert nach der Logik der breiten Streuung und ist somit ein besonders gefährliches und unvorhersehbares Instrument: Sie werden blind und breit initiiert mit der Absicht, viele Ziele zu treffen und somit die Wahrscheinlichkeit zu erhöhen, dass sie auf jemanden treffen der im Angesicht eines Cy beran griffes bereits ist, die geforderte Erpressungssumme zu zahlen. Somit wird letzten Endes Beute gemacht. Es geht letzten Endes lediglich darum, Geld zu machen. Die Verantwortlichen sind somit einfache Kriminelle und wir tun gut damit, uns organisatorisch und technologisch dafür aufzustellen. Die künftige Agentur für Innovation in der Cybersicherheit dient als Beispiel für eine solche breitere Aufstellung und ist Gründung mit eindeutiger Absicht zu betrachten. Durch sie wird angestrebt, Disruptive Technologien, also Phänomene, die neue Technologiesprünge verheißen, gezielt gefördert werden. Somit wird versucht zu erreichen, was Herr General Setzer bereits angesprochen hat, nämlich die Technologiesouveränität zurück zu erlangen. Wir müssen in Europa, in Deutschland darauf 82 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Acht geben, dass wir in Hard- und Softwarefragen souveräner werden und nicht abhängig sind von asiatischen und auch – verzeihen Sie, dass ich das sage – von amerikanischen Entwicklungen. Wir müssen die Entscheidungsfreiheit haben, das beste Tool zu kaufen, weil wir über eigene Kompetenzen verfügen und daran arbeiten wir. Grein: Danke. Noch einen ganz kurzen Beitrag von Herrn Dr. Unterberger und dann komme ich endlich zu Ihnen, Herr Krüger. Unterberger: Ich möchte gerade nochmal den Aspekt von Herrn General Setzer aufgreifen. Man schützt nicht alles, was vor seiner Haustüre liegt. Deshalb sind alle unsere Bestrebungen innerhalb der Automotive Industrie risikogetrieben. Das bedeutet, man muss aus unserer Sicht eben sich zuerst mal überlegen, was sind meine Kronjuwelen, was sind die Diamanten, was sind meine wirklich wichtigen Assets – ich nenne mal das englische Wort – und dann letztendlich daraus eine Schadensanalyse durchzuführen, um zu sagen: Ja, und genau für die und die Assets benötige ich diesen jenen oder jenen Schutzbedarf. Ein Fort Knox muss nicht für alle Assets gebaut werden. Andere Dinge hingegen wiederum, ich nenne einmal das Beispiel Kryptomaterial, tja, da würde ich mir schon mal gut überlegen, ob ich das mit einem normalen Schutzbedarf versehen würde. Ich würde es unter einem sehr hohen Schutzbedarf einordnen. Das noch ergänzend aus meiner Sicht. Grein: Herr Krüger, ich komme noch mal zu Ihnen und hier heißt es in Ihrem Statement: Wir müssen über das veraltete Konzept – und das geht vielleicht noch ein bisschen weiter als das, was wir bisher besprochen haben – der isolierten kritischen Infrastrukturen hinausdenken und Cybersicherheit als systemisches Risiko konfrontieren, das jeden Akteur vom Militär über Firmen bis hin zu Privatpersonen betrifft. Können Sie dazu nochmal ganz kurz etwas ausführen? Dann komme ich auch endlich zu Herrn O’Keeffe. Sorry. Krüger: Gerne. Dieses Statement im Endeffekt beschreibt etwas, das, glaube ich, bei den meisten von uns in der Branche schon angekommen ist, dass heutzutage in dem Sinne fast alle digitalen Infrastrukturen kritisch sind. Letztes Beispiel dafür waren vielleicht jetzt auch die US-Wahlen. Das ist jetzt nicht unbedingt ein nukleares Power Plant oder sowas, 83 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern aber sind US-Wahlen eine kritische Infrastruktur sozusagen für eine Demokratie? Ja, wahrscheinlich schon. Ist ein Angriff auf eine solche Säule ein Angriff, der strategische Effekte erzielen kann? Ja, wahrscheinlich schon. Ganz kurz zu den Kommentaren davor: Ich freue mich übrigens sehr über den Kommentar, dass ein Fokus gelegt werden soll auf Chip Level Cyber Security und vielleicht sogar ein neuer Ansatz gewagt werden soll innerhalb eines deutschen oder europäischen Kontexts hinsichtlich Hardware Chip Level, wer auch immer da die Player sind, Infineon. Ich glaube, das ist im Kanzleramt angekommen, auch im Verteidigungsministerium. Das wird sehr interessant zu sehen, ob es da vielleicht Konsortien Airbus-like gibt, die da etwas machen. Ich glaube, das ist sehr wichtig. Zweiter Kommentar zu Smart Bombs und doch nicht zu sehr auf das nationale Element zu schauen. Ich glaube, das ist ein Fehler. Ich glaube, es ist ein Fehler zu sagen, dass die Angriffe derzeit alle so gestreut sind, wie sie immer waren. Ja, es ist wahr, es gibt sehr viel kollateralen Schaden von gezielten Angriffen. Wir haben das bei Stuxnet hinsichtlich SCADA-Netzwerken gesehen, aber was wir auch sehen, ist, dass staatliche Akteure massiv und vermehrt gezielte Angriffe fahren. Wir haben das zum Beispiel im Russland-Ukraine-Konflikt gesehen mit dem Electronic Power Grid und das ist ein Trend, den wir, glaube ich, nicht ausklammern sollten. Ebenso sollten wir nicht ausklammern, dass staatliche Akteure ganz spezifische Kapazitäten aufbauen. Ich war gerade in Japan und da gibt es dann den geostrategischen Konkurrenten China und wenn man sich anschaut, was macht China im Bereich Cyber Security, die betreiben eine Politik, die wird benannt als „Picking flowers in foreign countries and making honey attractive home“. Also die holen sich ganz gezielt Technologie in anderen Ländern, importieren sie dann nach China und entwickeln dort Cyberkapazitäten. Da gibt es sehr viele Aktivitäten in den anderen Ländern, die oft sehr staatlich sind, und ich glaube, es ist nichts Schlimmes, wenn sich Deutschland auch national über dieses Thema nichtsdestotrotz, solange es im europäischen Verbund ist, auch im NATO-Verbund, zum Beispiel mit Partnern wie Holland, die sich gerade sehr proaktiv in diesem Bereich positionieren, aber auch mit Ländern wie Estland, die da eine sehr realistische Herangehensweise haben, auseinandersetzt. Deswegen glaube ich, dieses alte Argument, es sind irgendwelche Kids im Keller, das ist leider nicht mehr wahr. 84 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Grein: Bitte, Herr O’Keeffe. O’Keeffe: Kurz einleitend ein paar Worte, um zu verstehen, warum ich zu diesem Schluss komme: Mein Hintergrund ist dahingehend, dass ich in den letzten Jahren den Auftrag hatte, ich sage mal als freies Partikel in Bereiche reinzuschauen, die traditionell wenig miteinander zu tun haben. Dabei standen mir verschiedene Arbeitsgruppen zur Verfügung, mit denen wir nicht nur technische, sondern auch politische Aspekte analysiert haben, um einen Kontext zu erstellen. Das heißt, wenn beispielsweise Daten von Cyber-Auffälligkeiten vorliegen, gilt es zu schauen, was diese Aktivitäten bedeuten: Was wurde eigentlich versucht? Handelt es sich dabei um Diebstahl von Daten oder Spionage, um daraus einen Mehrwert für das eigene Unternehmen zu gewinnen oder wurde etwas anderes versucht? Es gibt z. B. auch Auffälligkeiten bei Navigationssystemen von Schiffen und da stellt sich dann die Frage, warum? Da fragen wir uns natürlich, macht man das für Geld oder gibt es da andere Beweggründe? Gerade Schiffe vom Kurs abzubringen oder Satellitensysteme zu stören ist nicht per se das, was man sofort als ein Mittel versteht, um schnell an Geld zu kommen. Die Frage ist dann also, wer steck dahinter und welche Interessen werden verfolgt? Das ist die Schwelle, an der wir uns – zumindest von der Perspektive, wo ich herkomme – befinden. Um die dahinterliegenden Interessen verstehen zu können, werden Daten benötigt. Es liegen zum Teil unheimlich viele Daten vor, aber in Bereichen, zu denen wir nicht sofort hinschauen. Ich rede von Auffälligkeiten in anderen Bereichen, wie zum Beispiel im Fall von Kashoggi: Am Tag des Verschwindens gab es unheimlich starke Aktivitäten im Cyberraum im direkten Umfeld. Also mit dem Umfeld meine ich ein Gebäude gegenüber, eine Straße weiter, usw. Also das sind so Daten, die wir haben und wo wir sehen: in realen Situationen passiert etwas – wie zum Beispiel eine Bombenattacke – und gleichzeitig gibt es eine unheimlich starke Aktivität im Cyberraum. Der Kontext dazu ist wichtig, um zu verstehen, ob einerseits abgelenkt werden soll oder ob man die Situation nutzt, um unter der Ablenkung gezielte Operationen an anderer Stelle durchführen zu können. Sind das staatliche Akteure oder sind doch ganz andere Interessen involviert? Das ist die Stelle, die wir beobachten und verstehen müssen. Wir müssen uns daran anpassen, dass es im Kontext der Cyberoperationen eine andere 85 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Topographie der Aktivitäten gibt, als wie wir es von Land-, See- oder Luftoperationen kennen. Wenn wir uns militärische Aktivitäten anschauen – und damit möchte ich gerne zur Sicherheitspolitik zurückkommen, denn das ist der Bereich, wo ich halt herkomme – ist der Schutz der nationalen Souveränität im Cyberraum ein militärischer Auftrag und in dem Fall müssen wir bei jeder militärischen Lagebeurteilung verstehen, wie das Umfeld ist, wie die Lage ist und im Cyberraum wissen wir noch nicht, wo die Wiesen sind, wo die Wälder sind, wo wir die Panzer positionieren, wo wir unsere Einheiten hinsetzen zur Übung als auch zur Verteidigung. Das fangen wir gerade erst an. Einige Länder sind weiter, wie Herr Phillip Krüger gerade eben schon sehr gute Beispiele genannt hat. Andere Länder versuchen auch andere Wege einzuschlagen, aber das müssen wir erst verstehen. Grein: Ich darf da noch mal nachfragen und zwar sagen Sie auch: in beispielloser Weise werden Schwachstellen in der globalen Sicherheitspolitik offenbart. Was heißt das? Das muss man noch erläutern und erklären, glaube ich. O’Keeffe: Ja. Konkrete Beispiele. Vor zwei Wochen wurden Baupläne für Nuklearkraftwerke geklaut. Da fragt man sich: Macht man das, um sich einen Marktvorteil zu verschaffen oder sind da andere Gründe ausschlaggebend? Es gibt zum Beispiel eine aktuelle Diskussion um die möglichen Nachfolger von nuklearen Trägersystemen bzw. Atomwaffen allgemein. Es ist die Frage, wenn man sich mit Atomwaffenpolitik beschäftigt, was wären mögliche Trägersysteme, um in der Militärpolitik zu bestehen. Mögliche Trägersysteme wären eventuell theoretisch der Eurofighter oder die F35. F35 ist in den letzten Monaten auch stark auffällig geworden seitens der Hersteller, wo Daten abgegriffen werden. Da muss man sich die Frage stellen: Macht das eine andere Firm, um Geld zu gewinnen, oder macht man das, um einen Vorteil auf dem Sicherheitsmarkt zu erkaufen? Ganz starkes Beispiel – und das ist mein persönliches Lieblingsbeispiel – der Eingriff in GPS-Satelliten. Ab Mitte 2017 wurden Meldungen über Auffälligkeiten bei der Benutzung des GPS-Systems herausgegeben, u. a. dass der Empfang der GPS-Satelliten lokal nicht richtig funktioniere. Jetzt muss ich ehrlich mit Nachdruck sagen: Das sind GPS-Satelliten! 86 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Wenn wir das alles lesen und hören, denken wir, das müsste doch eines der sichersten Systeme überhaupt sein. Unsere Recherchen haben allerdings ergeben: mitnichten. Also man sucht sich halt wie überall auch die Schwachstellen aus: In Unternehmen, in Fahrzeugen, genauso in Satellitensystemen, auf die wir als Staat ganz stark zugreifen, um für unsere nationale Souveränität die Waffensysteme, Rüstungsgüter und so weiter in Verbindung zu halten. Und da werden die gleichen Mechanismen genutzt, wie eben auch im zivilen Bereich der Spionage als auch Kriminalität. Grein: Ehe wir in einer abschließenden Runde dann nochmal zu einem Statement von jedem Einzelnen kommen, gehe ich jetzt einfach in die Runde und eröffne die Diskussion. Sie haben sicherlich Fragen und dazu haben wir im Grunde genommen nahezu eine halbe Stunde Zeit. Melden Sie sich bitte einfach, und wir haben mehrere Mikrofone. Hier vorne ist schon eine Frage. FRAGE: Wir haben in den meisten großen Organisationen gewachsene Strukturen. Die Frage ist, wenn ich ein solches Konzept angehe wie Cyber Sercurity, dann dauert die Umsetzung länger als die klassischen zwei Jahre, welche normalerweise eine Führungskraft in einer Großorganisation auf einem Posten sitzt. Die Frage ist natürlich, inwieweit man sich mit einem Programm wie Cyber Security, welches erstmal Geld kostet, ohne dass es zunächst einen direkt spürbaren Nutzen bringt, für höhere Weihen empfiehlt? Wie sieht das Panel gegenwärtig diese Wahrnehmung? Wird dies als Aufgabe gesehen, oder setzt man hier darauf, dass man bisher Glück hatte? Grein: Wenn Sie noch bitte kurz sagen, sonst müssen wir die ganze Runde ansprechen, an wen Sie die Frage speziell adressieren möchten und wo Sie den Eindruck haben, da kommt es vielleicht auf den Punkt für Sie am besten rüber? FRAGE: Dann richte ich mich mal an die Krone der deutschen In dustrie, die deutsche Automobilbranche. Unterberger: Jetzt muss ich natürlich darauf etwas diplomatisch antworten. Also ich möchte an der Stelle und ich glaube, da plaudere ich nichts 87 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern aus, dass wir im Moment davon ausgehen, dass Gott sei Dank noch nichts Größeres passiert ist. Aber man weiß es sicherlich nicht und das hat einer der Vorredner gesagt, können wir nicht davon ausgehen, dass Informationen auf irgendeinem Wege abgeflossen sein könnten. Wie begegnet man dem? Ich kann eigentlich nur sagen, dass man hier natürlich Schwerpunktthemen setzt. Man kann nicht alles auf einmal machen. Da bin ich wieder vorher bei meinem Thema Risikobeurteilung, Risikobewertung, Geschäftsschadensanalyse. Das ganze Thema wird dann Stück für Stück abgearbeitet, aber eben sukzessive. Man beginnt mit Sicherheit bei den Themen, bei denen das Risiko am stärksten evident ist. Das war jetzt ziemlich diplomatisch ausgedrückt – weiß ich. Grein: Jetzt hatten wir eine Frage dort hinten rechts. Kurz sagen, wie Ihre Frage lautet und keine Co-Referate, bitte. FRAGE: Ich bin Reservist und zivil und für IT-Sicherheit zuständig. Man sprach von Keller-Kiddies, von denen kriminelle Bedrohungen ausgingen. Es waren ja auch immer die Kaputzenpullihacker in den Bildern zu sehen. Wenn Nationalitäten genannt worden sind, wo es hingeht, dann war vom Iran, vom Irak und von China die Rede. Selbst die Bundeswehr – ich weiß nicht, ob Herr General Setzer da der Richtige ist, oder wer mir dies beantworten kann –, sie erzählen, dass das transatlantische Vertrauensverhältnis mit den Amerikanern gestört ist. Ja, Software ist fehlerabhängig, wenn ich sie frisch kaufe. Aber wie wehrt man sich gegen proprietäre Betriebssysteme eines großen amerikanischen Herstellers, wenn dort Backdoor eingebaut ist, wenn da Geschichten eingebaut sind, um uns ganz bewusst zu hintergehen oder auszuforschen? Ich sage mal NSA ist die Spitze des Eisbergs. Was kann man dagegen tun, um zum Beispiel amerikanischen Angriffen zu entgehen, die bereits in Betriebssystemen verarbeitet sind und die mit irgendeinem Patch nicht beseitigt werden können, sondern die vom Hersteller gewollt sind? Die Nähe von Microsoft zum amerikanischen Staat, oder das Bedürfnis des amerikanischen Staates zu schauen, was der Rest der Welt macht, ist ja hinlänglich bekannt. Grein: Wer möchte dazu …? Herr General. 88 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Setzer: Lassen Sie mich mit einem Statement beginnen, was sich nicht unmittelbar aus meiner Kenntnis als Soldat und Bundeswehrangehöriger generiert. Große Unternehmen haben ein hohes Interesse, ihre Produkte auf dem Weltmarkt verkaufen zu können. Daraus ergibt sich durchaus eine gewisse intrinsische Motivation, nicht in die Gemengelage zu kommen, dass mein Produkt Folgendes für Folgenden erlaubt. Ich nehme jetzt nicht das amerikanische Beispiel, aber es gibt durchaus ein Sicherheitsunternehmen, was einen russischen Hintergrund hatte und unter diesem Gesichtspunkt zumindest temporär Probleme hatte, seine Produkte zu verkaufen. Also gibt es durchaus auch eine intrinsische Motivation, gerade in Amerika, die unmittelbare Zusammenarbeit für gewisse Projekte, teilweise auf Mitarbeiterdruck aber teilweise auch aus marktwirtschaftlichen Gegebenheiten, nicht mehr durchzuführen. Weiterhin könnte ich Ihnen jetzt Staaten nennen, die dafür grundsätzlich in Frage kommen. Das tue ich aber nicht. Grundsätzlich haben wir in Deutschland eine Organisation, das Bundesamt für die Sicherheit in der Informationstechnik, das für die Zertifizierung von Software und in Teilbereichen auch Hardware verantwortlich ist. Dieser Zertifizierungsprozess findet nicht „mal so im Vorbeigehen, Produkt kommt, wir gucken mal drauf und das passt schon“ statt. Abhängig von dem erforderlichen Sicherheitsstandard, der für ein Produkt verlangt wird und wo es eingesetzt wird, müssen Produktanbieter ihre Systeme oder Software teilweise bis auf Ebene Programmierung offenlegen. Sie können nicht alles verhindern, ansonsten müssen Sie ein Produkt noch länger und intensiver testen, als das eigentlich möglich ist. Aber will sagen: Wir tun das, was leistbar ist und wir sind nicht blauäugig. Wenn Sie allerdings höhere Sicherheitsstandards haben wollen, führt kein Weg daran vorbei, eine Industrie für spezielle Anwendungen vorzuhalten, der Sie vertrauen können, weil sie unmittelbar ihrer Nation nicht nur bei dem Testing sondern bereits bei der Produktion unterliegt. Grein: Nächste Frage. Hier vorne in der zweiten Reihe, bitte. FRAGE: Ich bin einer von diesen frühen Mitgliedern der Cyberreserve, arbeite in der Luftfahrt und bin von daher international unterwegs. Meine ganz praktische Frage geht zum einen an Prof. Grein: Es ist die Frage, wie qualifizieren wir bei den großen Herausforderungen das Perso- 89 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern nal im Bestand? Also wir hatten großartige Versprechungen, ja auch was die Universität in Neubiberg leisten kann. 18 Leute im ersten Jahr, 30 Leute im zweiten Jahr. Wenn ich die vielen Leute sehe, die wir brauchen, welche im Bestand sind und welche nicht nach zwei Jahre ins Studium zurückgehen können, wie kriegen wir das dann praktisch hin? Die zweite Frage ist damit verbunden, die geht an Herrn Krüger, als Mitleidtragender eines Fraunhofer Instituts: Deutschland ist ein Land der Ideen. Ich habe in der Forschung gearbeitet und Regale voll von Ideen gesehen, von Forschungsergebnissen, die diesen Reifegrad 6, 7, 8 haben. Hier erkennt man eine deutliche Klassifizierung! Daneben traurige Forscher, die sagen: „Wir kriegen es einfach in Deutschland nicht in Produkte umgewandelt.“ Meine Frage an Sie ist: Hätten Sie eine Idee, was wir machen müssten, damit wir ein bisschen schneller werden? Grein: Vielen Dank. Warum nicht auch eine Frage mal an den, der moderiert? Nun bin ich kein ausgewiesener Experte im Bereich Cyber, aber natürlich an der Universität unterwegs. Was ich für ganz wesentlich erachte, und wir haben hier schon einen schönen Ansatz an der Universität der Bundeswehr in München. Dort werden nämlich Lehrstühle eingerichtet, und da ist man gerade dabei, das zu professionalisieren. Das ist vom Thema natürlich affin, aber was ich immer wieder auch kritisiere auch sage, ist, dass wir viel zu wenig praxisorientiert unterwegs sind. Das heißt, an und für sich müssen wir schon ab Kindesbeinen an und somit früher ansetzen. Im Grunde genommen, könnte es mit etlichen Dingen bereits im Kindergarten losgehen. Ich denke auch, wir sollten die Schule entrümpeln. Die Schule oder die Kindergärten können Kinder z. B. schon recht früh mit Fremdsprachen in Verbindung bringen. Die Schule hat somit ein Curriculum, das meines Erachtens nicht mehr zeitgemäß ist, und das würde ich mir von der Bildungspolitik übergreifend anschauen. Ich könnte mir überdies auch vorstellen, dass man sich das Ganze über die Länderhoheiten hinaus ansieht. So bekämen wir beste Qualität. Setzer: Dürfte ich ganz kurz was ergänzen, Herr Prof. Grein? Grein: Ja, gerne. 90 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren Setzer: Auch wenn es Ihnen vielleicht wehtut: Der Staat muss bei IT-Spezialisten deutlich weg von der Frage formaler Qualifikation hin zu Kompetenzen. Die formale Qualifikation ist ein Bestandteil, ist eine Basis. Ich erlebe das nahezu täglich. Auch in der Frage der Personalgewinnung der Bundeswehr. Wir sind sehr stark formal ausgerichtet. Ich kann Ihnen ein Beispiel geben. Wir hatten einen Bewerber einer größeren Firma hier aus München. Ein absoluter Spezialist mit Jahresgehalt von 130 000/ 140 000 Euro. Der hätte beim Staat angefangen und quasi Geld zum Arbeiten mitgebracht. Er hat aber keinerlei Ausbildung. Nicht mal einen Hauptschulabschluss. Den könnte ich nicht mal als Kraftfahrer einstellen. Wenn wir diese Probleme nicht angehen und die Anzahl der formal Qualifizierten erhöhen, dann können wir nicht da mitspielen, wo wir mitspielen müssen. Grein: Ich muss das nochmal ganz kurz ergänzen. Das ist keine Replik auf das, was Sie gesagt haben, sondern nur ergänzend: Das habe ich ja vorhin schon gesagt, wir müssen auch weg vom Ressortdenken. Wir sehen, wir haben hier ein schönes Beispiel, Sie sind Jurist und Sie sind in ganz anderen Bereichen unterwegs gewesen oder auch wenn man bei Herrn Schlömer schaut und sind dann in ganz anderen Feldern erfolgreich unterwegs und kann lernen. In den USA tut man sich da leichter. Da sind z. B. Ägyptologen im Management sehr erfolgreich unterwegs. Das ist natürlich nicht en bloc der Fall, aber so ein bisschen in die Richtung und weg vom allzu Spezialisierten hin zum Übergreifenden, wo dann unter Umständen auch Herausragendes geleistet wird. Krüger: Ganz kurz auf Ihre Frage. Ich finde das eine hervorragende Frage. Ja, Fraunhofer ist ein super Laden, hat allerdings, wenn es um Cyber Security und Startups geht, Spin-offs, besonders auch vielleicht Produkte, die für den militärischen Sektor gut sind, nicht viel geliefert in der letzten Zeit. Da gibt es ganz viele Gründe. Wo anfangen? Ich glaube, es hängt ein bisschen auf dem Makrolevel damit zusammen, dass Fraunhofer auch sehr gerne Papiere schreibt für die drei Säulen, die traditionellen Säulen der deutschen Wirtschaft: Automotive, Machinery und Chemicals, diese drei. Diese neuen Technologien jetzt, Digital, Cyber, aber auch zum Beispiel Biotech und so, da ist vielleicht Deutschland noch nicht so angekommen und deswegen auch 91 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern seine angewandten Forschungsinstitute noch nicht so angekommen. Das ist so ein Makroproblem und das andere Problem ist, wenn es dann um Spin-offs geht, haben wir nicht genug Incentives – sagt man immer so sehr gerne bei Fraunhofer. Wenn zum Beispiel einer unserer Abteilungsleiter sagt, ich möchte jetzt ein Startup machen mit meiner Technologie, dann ist das für den Institutsleiter nicht so attraktiv, weil dann verliert er diesen Abteilungsleiter. Genauso wir haben eine eigene Venture-Firma im Fraunhofer Ventures, die gibt aber nicht wirklich Equity, sondern behält dann die Lizenzen noch gerne für sehr lange Zeit. Dann ist es für einen amerikanischen Co-Investor nicht so interessant. Da gibt es tausend Probleme. Wir haben jetzt was Neues gebaut. Ich bin einer der Architekten, die diese Agentur für disruptive Innovationen in der Cybersicherheit kreiert haben mit Dr. Suder zusammen damals und Frank Endler und wir sind sehr froh, dass das jetzt vom Kabinett okayt wurde mit 500 Millionen. Vielleicht kann man da mit so einem Ansatz ein bisschen mehr kreieren, ein bisschen mehr Momentum. Ganz kurz letzter Punkt dazu: Deutschland war, wie Sie gesagt haben, sehr innovativ, sehr disruptiv, aber man schaut dann auf solche Leute wie Herrn Siemens und andere, aber dahinter stand auch noch was anderes. 1870 bis 1910 war die Cutting-Edge-Schlüsseltechnologie in der Welt Stahl und Kohle. 1870 war Preußen hinten dran und Belgien und England waren vorne. Wir waren so ein second Mover. Dann haben wir aber innerhalb von 40 Jahren sehr stark aufgeholt, natürlich auch vom Militär getrieben, aber auch ganz gezielt von Wirtschaftsspionage, Technologiespionage, Abwerbung von Ingenieuren, Aufbau dieser Industrie hier mit dem Ergebnis, dass 1910 Preußen führend war in Stahl und Kohle und das hat dann zu diesen Spill-over-Technologien, nämlich Elek trotech nik und Chemicals geführt, die dann eigene deutsche waren. Also wir können das schon, wir machen es nur zurzeit nicht. Grein: Jetzt schlage ich mal vor, wir nehmen noch maximal zwei Fragen. Da ist da eine Frage und dann vielleicht noch eine andere und dann gehen wir in die Abschlussrunde. FRAGE: Sie hatten vorhin in Ihrem Vortrag eine Folie, wo Sie dargestellt haben, was es in den letzten Jahren eigentlich für Cyberangriffe gab, und ich habe in letzter Zeit mitbekommen, dass zum Beispiel in den USA 92 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren schon die Diskussion geführt wird, ob man einen Cyberangriff von einer gewissen Qualität her denn auch als einen bewaffneten Angriff im Sinne beispielsweise Artikel 51 der UN-Charta kategorisieren könnte. Da würde mich interessieren: Wird diese Diskussion bei uns überhaupt geführt? Sehen Sie diese Gefahr oder ist das generell strikt zu trennen? Wenn es nicht strikt zu trennen ist, würde mich noch interessieren, ob einer dieser Cyberattacken, die Sie genannt haben, auch nur annähernd eine solche Qualität erreicht oder wo Sie sagen, okay, da gab es Tendenzen, oder war mal irgendwas absehbar? Setzer: Das ist natürlich eine gute Frage. Alle Nationen und auch wir sind überzeugt, dass, wenn ein Angriff die Schwelle zum bewaffneten Angriff überschreitet, ein Cyberangriff nicht zwingend in der Dimension Cyber beantwortet werden muss, sondern genauso wie jede andere kriegerische Handlung mit all dem, was der Bundesrepublik Deutschland zur Verfügung steht, innerhalb des NATO-Bündnisses beantwortet werden kann. Das heißt, jemand, der uns angreift, kann sich nicht sicher sein, mit welchen Mitteln wir als Nation und im Rahmen des NATO-Bündnisses zurückschlagen. Das hat auch etwas damit zu tun, dass Nationen nicht berechenbar sein dürfen. Sie können sich natürlich die Frage stellen, ob eine Demokratie bzw. die Souveränität eines Landes durch mögliche oder stattgefundene Wahlbeeinflussung bereits betroffen ist. Siehe das Beispiel Amerika. Aber es gibt durchaus auch Szenarien, wo ein Angriff auf die ureigenste demokratische Handlung, nämlich die Wahl eines Parlamentes, durchaus als Angriff auf die Souveränität bezeichnet werden kann. Jedes Land hat außerhalb der UN-Charta das Recht, bei einem Angriff auf dessen Souveränität mit den ihm adäquat erscheinenden Mitteln zu reagieren. Das besagt die UN-Charta. Wenn Sie sich vorstellen, dass sich ein Staudamm aufgrund eines Cyberangriffs ungewollt öffnet, das Land bzw. Landstriche überflutet und dabei tausende von Menschen zu Tode kommen, stellt sich die Frage, ob das ein bewaffneter Angriff mit Flugzeugen, mit Bomben oder sonst was war, nicht. Gestatten Sie mir eine persönliche Bemerkung zum Schluss. Das ist die Herausforderung die von der Politik unter dem Gesichtspunkt hybride Bedrohung diskutiert wird. Ist unser Staat bereits in seinen Grundfesten angegriffen, wenn die Energieversorgung unseres Landes für sechs, sieben, acht, neun oder zehn Tage ausfällt? Es funktionie- 93 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern ren keine Energiekraftwerke und vieles mehr. Das heißt, man muss sich überlegen, wie der Übergang von einem hybriden Szenario zu einem möglicherweise bewaffneten Konflikt aussehen kann. Grein: Danke. Gibt es noch eine Frage? Sonst schlage ich vor, wir gehen in die abschließende Runde. Wir hatten ja das Thema „Terrorismus, Cybercrime, Cyberspionage verhindern“ und viele Fachleute im Panel. Von der Politik über die Technik und die Administration bis hin zur Wissenschaft. Wenn wir bei Herrn Oly anfangen unter dem Motto „Ich wünsche mir“ und wenn Sie ganz kurz jeweils noch ein abschließendes praxisorientiertes Statement aus Ihrer Sicht bringen. Oly: Aus meiner Sicht haben wir heute gelernt oder uns nochmal versichern können, dass, egal ob wir hoheitliches Handeln im Bereich der Verteidigung, das Fahrzeug als Produkt oder zukünftig die Mobilität als Service betrachten: Das ist nichts, was ein einzelnes Unternehmen oder eine einzelne Organisation für sich allein absichern kann, nicht im Cyberraum und nicht im physischen Raum. Was ich mir wünsche, ist – und das versuchen wir für unsere Branche zu realisieren – dass wir über ein Lagebild für unseren jeweiligen Verantwortungsbereich verfügen. In der Automobilindustrie reicht das dann sehr weitreichend in die Liefernetzwerke hinein und wird bei dem Service Mobilität nochmal ganz andere Unternehmen und Situationen betreffen. Ich wünsche mir, dass wir ein Lagebild haben, welche Unternehmen liefern zu, welche Produktbestandteile, Servicebestandteile sind überhaupt einmal cyberrelevant. Das haben wir in großen Teilen, aber ich wünsche mir, dass wir dieses Lagebild vertiefen. Ich wünsche mir, dass wir über eine Handlungsfähigkeit verfügen, die wir aus diesem Lagebild ableiten, dass wir Unternehmen befähigen, die Unternehmen, die Informationssicherheitskonzepten nicht folgen, stärker adressieren können und dass wir die fördern, die in diesem Bereich voran gehen und wir dabei nach Möglichkeit gerade in Deutschland auch die kleinen und mittelständischen Unternehmen nicht zurücklassen, sondern das Sicherheitsniveau allgemein verbessern. Natürlich brauchen wir pointiert an der einen oder anderen Stelle auch mal einen sichereren Chip oder einen, der uns aus unserer Per spekti ve vertrauenswürdiger erscheint. Aber was ich mir wünsche, ist, dass 94 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren wir das Sicherheitsniveau und das Verständnis für Sicherheit vom kleinen Unternehmen angefangen über die gesamte Kette heben und dass wir das dann gegebenenfalls bereichsübergreifend/säulenübergreifend gemeinsam unternehmen. Lechte: Ich wünsche mir, dass wir nicht ohnmächtig werden von der Menge der Informationen, die wir bekommen über schlimme Fälle. Das ist nur die Spitze des Eisberges. Einiges wird bekannt, es ist vieles unbekannt, denn letztendlich das, was im Informationsraum geschieht mit den Daten usw., hat Auswirkungen auf unser reales Leben. Umgekehrt aber auch die Leute, die das verursacht haben, sind auch Menschen aus dem realen Leben. Wir müssen verstehen und ich möchte, dass wir da in die Richtung gehen zu verstehen, was die Beweggründe dafür sind. Dafür müssen wir Leute reinholen, die – und da nochmal zurück zu der Frage vorhin – aus anderen Qualifikationsbereichen kommen. Ich wünsche mir, dass wir diesen Filter, den wir uns selbst auferlegt haben, indem wir Experten bewerten, indem wir sagen, ein Studienabschluss oder ein Doktor, dass wir davon weggehen und auch gucken, was es noch für andere Menschen auf den Arbeitsmarkt gibt, die auch einen Beitrag leisten können und nicht nur eben von den Mintfächern. Das ist das, was wir für unsere Teams auch gemerkt haben, dass wir sehr viele Menschen brauchen, die aus völlig anderen Bereichen kommen: Designer, Künstler, Philosophen, damit wir den Menschen verstehen, warum der Mensch agiert, wie er handelt und wie wir diese Informationen weiterbringen können. Deswegen, das ist mein Punkt, den ich mitgeben möchte: Nicht ohnmächtig werden, den Menschen verstehen und alle an Bord holen, die sie haben. Krüger: Ich glaube, wir haben zwei Grundprobleme, aber für beide gibt es mögliche Antworten. Das eine ist ein schlüsseltechnologisches. Wir sind abhängig von Fremdcode und Fremdhardware in Deutschland als Cybermittelmacht. Das kann man so schnell nicht lösen. Da muss man erstmal sogenannte Beurteilungsfähigkeit aufbauen, um dann zu sehen, ob so ein Router von Cisco eine Backdoor hat oder nicht oder ob ein Sourcecode von Microsoft Schwachstellen hat. Da haben wir schon recht viel geleistet. Jetzt kommt der nächste Schritt. Wir gehen tiefer in die Hardware rein und versuchen auch mal vielleicht aus unserem Ökosystem heraus diese Router, Chips, diese Hardware sel- 95 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern ber zu produzieren vielleicht im europäischen Kontext, Stichwort Chip Level Cyber Security. Das ist ein Thema. Das zweite Problem ist, wir sind zur Zeit als Nation Deutschland aus historischen Gründen zurückhaltend, wenn es um gewisse Themenfelder in der Cybersicherheit geht. Wenn ich mit Kollegen in den USA sprechen oder in Israel, dann sagen die mir, dass Attribution sehr wohl möglich ist heute. Das ist ein Fehler zu sagen, dass Attribution in Cyber Security nicht möglich ist. Das war vielleicht vor fünf Jahren wahr, das ist nicht mehr wahr. Das kann man bewerkstelligen durch sogenannte Embedded Attribution, das heißt, durch andere Intelligence-Quellen etc. kann man sehr wohl sagen, wer vielleicht den Bundestag angegriffen hat. Deswegen hat die Regierung ja vor ein paar Wochen gesagt, Russland sollte das bitte nicht wieder tun. Also Attribution ist möglich. Für Deutschland allerdings sind viele dieser Aspekte, die mit moderner Cyber Security zu tun haben, wie zum Beispiel Embedded Attribution schwierig, denn es handelt sich oft schon um einen staatlichen Eingriff in andere Systeme und das ist natürlich nicht so einfach in unserem Kontext. Ich würde mir dennoch wünschen, wenn wir diese Debatte auch über – na ja, sage ich mal – robuste Cyber Security und Cyberstrategie führen in diesem Land, denn andere Länder wie Israel, USA oder auch Japan führen diese Debatte nicht nur, sondern schreiben ihre Doktrinen danach und rüsten massiv auf und deswegen müssten wir uns, glaube ich, etwas realistischer dieser Debatte stellen. O’Keeffe: Ich wünsche mir, dass wir nicht ohnmächtig werden von der Menge der Informationen, die wir über schlimme Fälle bekommen. Das ist nur die Spitze des Eisberges. Einiges wird bekannt, es ist aber vieles unbekannt. Letztendlich hat das, was im Informationsraum mit den Daten usw. geschieht, Auswirkungen auf unser reales Leben. Umgekehrt sind die etwaigen Täter aber auch Menschen aus dem realen Leben. Das müssen wir verstehen und ich möchte, dass wir uns näher mit den Beweggründen beschäftigen. Dazu müssen wir mit Menschen arbeiten, die – und damit nochmal zurück zu der Frage vorhin – aus anderen Qualifikationsbereichen kommen. Ich wünsche mir, dass wir diesen Filter, den wir uns selbst auferlegt haben, indem wir nur Experten nutzen, die einen Studienabschluss oder einen Doktor in den MINT-Fächern vorweisen, ablegen und schau- 96 Tagungsband „Cyber Security“: Angriffe verhindern und abwehren en, welche Menschen es noch auf den Arbeitsmarkt gibt, die auch einen Beitrag leisten könne. Das ist genau das, was wir auch bei der Arbeit mit unseren Teams gemerkt haben. Wir brauchen viele Experten, die aus völlig anderen Bereichen kommen: Designer, Künstler, Philosophen, usw., damit wir den Menschen an sich verstehen. Warum agiert der Mensch, wie er handelt und wie wird diese Informationen verarbeitet. Deswegen ist es mein Punkt, den ich gerne mitgeben möchte: Nicht ohnmächtig werden, den Menschen verstehen und alle an Bord holen, die sie haben. Lechte: Also ich wünsche mir, dass die Politik, genauso wie ich es heute auch den getan habe, den Spezialisten zuhört und entsprechend danach handelt. Ich wünsche mir, dass wir die entsprechende finanzielle Ausstattung auch zur Verfügung stellen, die benötigt wird, um die Zusammenarbeit zu stärken und auch gleichzeitig um Organisationen wie auch Europol oder Interpol, wo wir heute gar nicht drüber gesprochen haben, die entsprechenden Gelder zur Verfügung zu stellen und die nicht weiterhin chronisch unterfinanziert zu lassen. Ich wünsche mir, dass der unter Beschuss stehende Multilateralismus in der Lage sein wird, dieses Problem, was ein weltweites Problem ist, entsprechend auch gemeinsam zu lösen und auch die entsprechenden Konventionen weiter voranzutreiben und die gemeinsame Grundlage, die international da ist, entsprechend auszugestalten und ich wünsche mir aber auch, dass die Leute erkennen, wie zentral wichtig dieses Thema Cyber für uns alle ist, das also nicht als irgendein Wolkenkuckucksheim von irgendwelchen Spezialisten anzusehen, sondern dass es wirklich für alle wichtig ist und es nicht darum geht, ob man jetzt zu Hause einen Computer stehen hat oder Internet oder was brauchen wird das, sondern zu begreifen, wie zentral das ist. Ich fand das Beispiel mit den Wasserschleusen sehr, sehr gut, aber es gibt ja noch viele andere Dinge. Ich meine, in dem Moment, wo bei uns zehn Tage der Strom ausfällt, können wir uns, glaube ich, alle erschießen. Da brauchen wir dann die Leute von der Bundeswehr, die wissen, wie man im Dschungel überlebt. Also das wäre eine mittlere Katastrophe für unser gesamtes Land und das steckt hinter Cyber War mit drin, dass es also nicht abstrakt ist, sondern dass es etwas ist, was die Leute auch begreifen und verstehen. Da gilt auch eine Information von Seiten der Politik. 97 Panel: Terrorismus, Cybercrime und Cyberspionage verhindern Schlömer: Ich mache es ganz kurz: Ich wünsche mir, dass Sie trotzdem mit einem positiven Gefühl für Internet und Digitalisierung nach Hause gehen. Witthauer: Und ich wünsche mir, dass der Staat in der schnellen Digitalisierung und dem Fortschreiten der Technologie auch weiter handlungsfähig bleibt, handlungsfähig in dem Bereich der inneren Sicherheit mit all dem, was dazugehört und dass die Politik auch dafür sorgt, dass es ausreichend finanziert ist und die Gesetzgebung dem auch angepasst folgt. Setzer: Ich wünsche mir, dass wir die Besonderheiten dieser digitalen Welt tatsächlich begreifen und uns in Deutschland übergreifend – ob Wirtschaft, ob Behörden, ob Wissenschaft – so aufstellen, dass wir gemeinsam diese Antwort geben können und hoffe, dass wir schnellstmöglich das Nationale Cyber-Abwehrzentrum tatsächlich zu dem machen, wofür der Name steht. Unterberger: Jetzt hat es mir Herr General Setzer schon vorweggenommen. Ich kann eigentlich nur daran anknüpfen. Was ich mir wünsche, ist, dass das Thema Information/Cyber Security querschnittlich gesehen wird, nicht in Silos, nicht etwas für Spezialisten, sondern für jedermann. Es soll lebbar gemacht werden und wir sollten nicht in Spezialistentum für IT-Spezialisten verfallen. Grein: Vielen Dank an die Runde. Ich wünsche mir – auch ich mache es kurz – dass Sie wiederkommen!

Chapter Preview

References

Zusammenfassung

Unwägbarkeiten im Internet betreffen Bundeswehr, zivile Infrastruktur und nicht zuletzt auch deutsche Unternehmen und Schlüsselindustrien gleichermaßen. Dabei besteht die Gefahr, dass militärische Daten gestohlen oder aber vertrauliche Informationen, wie z. B. Patente oder auch Dokumente aus dem Bereich der Politik mit außen-, verteidigungs-, sicherheits- oder rüstungspolitischen Bezügen, von Behörden und Unternehmen gehackt werden. Unter der Überschrift „‚Cyber Security‘. Angriffe verhindern und abwehren – Militärische und zivile Infrastrukturen schützen“ wollen Konferenz und Tagungsband für die Aktualität ihres Themas sensibilisieren, Gefahren aufzeigen und mögliche Lösungsansätze präsentieren. Mit Beiträgen von Eberhard Grein, Oswin Veith, Hans-Peter von Kirchbach, Jürgen Jakob Setzer, Hans-Christian Witthauer, Martin Unterberger, Lennart Oly, Uli Lechte, Bernd Schlömer, Philipp S. Krüger, Patrick O’Keeffe, Martin Unterberger, Julia Egleder, Benjamin Vorhölter