INTERVIEW Interview 30.04.2012 "Angriffe auf alle Netze"
- Datum
- 30.04.2012
+ Bundesinnenminister Dr. Hans-Peter Friedrich
Quelle: BMI/Hans-Joachim M. Rickel
WirtschaftsWoche: Herr Minister, vor einem Jahr wurde das Cyber-Abwehrzentrum beim Bundesamt für Sicherheit in der Informationstechnik gegründet. Ist das digitale Deutschland in diesem Jahr sicherer geworden?
Friedrich: Ja. Mit dem Abwehrzentrum verbessern wir erstens die operative Zusammenarbeit und das Know-how der Fachleute. Wir bündeln auch die Schutz- und Abwehransätze, die wir zur Cyber- Sicherheit haben. Die IT-Spezialisten arbeiten eng zusammen. Wir können nun zweitens dieses Know-how auch anderen zur Verfügung stellen, beispielsweise der Wirtschaft. Aber hier liegt ein Problem: Diese Kooperation kann noch verbessert werden.
Woran hakt es?
Wir brauchen in jeder Branche Strukturen der Zusammenarbeit und eine zentrale Ansprechstelle, über die die Kommunikation zwischen den IT-Experten des Staates und der Unternehmen läuft. Die Bank- und Versicherungswirtschaft ist da beispielsweise vorbildlich, aber in anderen Bereichen ist das Bewusstsein für die Risiken noch nicht überall ausgeprägt.
Wer hinkt hinterher?
Hinterherhinken ist der falsche Ausdruck, es geht darum, Standardverfahren für die Kommunikation zu entwickeln. Ich werde in den kommenden Wochen mit jeder betroffenen Branche die notwendigen Maßnahmen besprechen. Das gilt für Wasser, Energie, Verkehr, Kommunikation. Und jedes Unternehmen muss sicherstellen, dass es eine Kommunikation in der Branche und mit dem Staat gibt – in beide Richtungen. Dass also die Unternehmen sich melden, wenn sie ein schwerwiegendes, branchenübergreifendes Problem haben, und dass die staatlichen Stellen Strukturen haben, um zu warnen und zu helfen.
Wer wird schon melden, dass er ein Datenleck hat?
Es geht nicht darum Mängel anzuprangern, sondern sie abzustellen. Positiv ist aber schon mal, was die Versicherungsbranche leistet. Dort sind alle Unternehmen in einem internen Meldesystem vernetzt, damit jeder weiß, wenn es einen Angriff gibt. Wir werden sehen, wo in anderen Branchen Lücken sind – und wie die geschlossen werden können. Ich setze im Moment noch darauf, dass die Branchen selber erkennen, dass es ein solches Meldesystem braucht. Aber wenn das nicht flächendeckend und umfassend funktioniert, werde ich die Meldepflicht gesetzlich vorschreiben.
Viele Unternehmen sind ihren Aktionären verpflichtet, manche, wie Vodafone oder Vattenfall, ausländischen Eigentümern. Was interessiert die Deutschlands Sicherheit?
Wenn Unternehmen schon nicht aus dem Gedanken ans Gemeinwohl handeln, dann sollten sie zumindest aus eigenem Interesse agieren. Wenn irgendwo ein Botnetz-Angriff läuft, von einem Netzwerk aus gekaperten Computern, die von Hackern ferngesteuert werden, haben die Unternehmen ein vitales Eigeninteresse, das in den Griff zu bekommen. Ich bin zuversichtlich, dass die Unternehmen mitarbeiten. Aber zur Not muss der Gesetzgeber eingreifen.
Kommt das Gesetz noch in dieser Legislaturperiode?
Wenn sich in den Gesprächen jetzt sehr schnell unverantwortbare Lücken auftun, müssten wir noch in dieser Legislaturperiode aktiv werden. Aber jedes Gesetz führt zu einer gewissen Starrheit, während sich die Technik rasend schnell ändert.
Welche Branchen würde ein solches Gesetz betreffen?
Eine Meldepflicht sehe ich nur bei der kritischen Infrastruktur. Daneben hat aber auch jeder Einzelne die Verantwortung, für die Sicherheit seines PCs zu sorgen, weil jeder schnell Teil oder Ziel eines Botnetz-Angriffs sein kann. Ich halte es daher für denkbar, dass wir Internet-Providern Verpflichtungen auferlegen, ihre Kunden vorzuwarnen, wenn bisher unbekannte Schädlinge unterwegs sind oder neue Formen elektronischer Angriffe bekannt werden.
Sollen die Provider Kundenrechner auf ungewöhnliche Aktivitäten überwachen, um dann Alarm zu schlagen?
Es geht nicht um eine „Überwachung“ der Kundenrechner. Die Provider sollen ihre Kunden schützen und sie warnen, wenn ihnen etwas auffällt.
Welche Unternehmen sind besonders gefährdet, neben den Versorgern?
Mittelständler, von denen sich viele gar nicht vorstellen können, dass sie ein umfassendes Sicherheitskonzept brauchen, sind besonders gefährdet. Es gibt heute viele Wege, wenn man genügend kriminelle Energie oder unlautere Absichten hat, sich seines Wettbewerbers zu entledigen. Als Global Player und Technologieträger erster Güte laufen insbesondere unsere Hidden Champions Gefahr, dass ihre Erfindungen und Entwicklungen schon in einem anderen Land produziert werden, bevor sie ihre Prototypen fertiggestellt haben.
Sie meinen China?
Ich nenne keine Länder.
Wie dramatisch sind denn die Angriffe derzeit, wo kommen sie her? Wie ist die Sicherheitslage im deutschen Netz?
Die Angriffe finden auf alle Netze statt: Behördennetze, Firmennetze, private Netze. Wir hatten jüngst ein Botnetz mit über 100 000 PCs.
Die auch in Ministerien stehen?
Das nicht, aber natürlich gibt es Spionageangriffe, die unsere Netze erreichen.
Dass nicht nur feindliche Mächte anklopfen, sondern auch Verbündete unser Know-how reizt, ist anzunehmen, oder?
Wenn wir an Cyber-Angriffe und in Richtung Sabotage denken, haben wir nichts von Freunden zu befürchten. Bei Wirtschaftsspionage sind die Sitten rauer.
Dann reden wir über die nächste Abwehrstufe, das politische Handeln: Sie fahren kommende Woche in die USA. Wollen Sie darauf drängen, es mit den eigenen Wirtschaftsinteressen nicht zu übertreiben?
Selbst wenn es da was gegeben hat in den vergangenen 25 Jahren: So erfolgreich war es ja nicht. Bei meinem USA-Besuch geht es um kriminelle Angriffe im Cyber-Raum. Wir wollen gemeinsam den lebenswichtigen Cyber-Raum schützen. Der erste Schritt: Jeder Staat richtet ein Cyber-Abwehrzentrum ein, das für andere rund um die Uhr erreichbar ist.
So weit ist ja noch nicht einmal Europa.
Umso wichtiger ist das Thema. Unsere Vorstellung ist, dass wir möglichst zügig internationale Verpflichtungen verankern: Staaten müssen die Angriffe unterbinden, die von ihrem Territorium ausgehen. Das Grundgerüst muss da aus den großen Wirtschaftsmächten bestehen. Denn die eint eine grundlegende Erkenntnis: Wenn sich Kriminelle und Terroristen verbünden und die technischen Möglichkeiten nutzen, die ihnen die digitalen Netze bieten, dann wird es richtig gefährlich.
Wie groß sind die Schäden schon heute?
Wir haben nach der polizeilichen Kriminalstatistik in 2010 registrierte Schäden von 61,5 Millionen Euro. Erfasst werden dabei aber nur die tatsächlich angezeigten und nachgewiesenen unmittelbaren Schäden. Wir müssen also von einem hohen Dunkelfeld ausgehen.
Bei der Debatte um die Vorratsdatenspeicherung hat man den Eindruck, mancher fürchtet mehr den Staat als Späher im PC als den kriminellen Passwort-Phisher.
Es geht doch nicht darum, dass irgendwelche Inhalte der Kommunikation gespeichert werden. Der Zugriff auf die Daten unterliegt hohen Hürden, und die respektieren wir. Zugleich aber ist die Kriminalität in den vergangenen Jahren in neue Dimensionen gewachsen, da kann man nicht nur mit den Schultern zucken. Bei besonders schweren Verbrechen wie Kinderpornografie soll auf IP-Adressen zugegriffen werden, um die Beteiligten zu finden. Dazu reicht eine Frist von ein paar Stunden oder Tagen nicht. Deshalb hat die EU gesagt: sechs Monate automatische Speicherung, dann Löschung.
Wie sieht die Lösung im koalitionsinternen Streit aus?
Ich werde immer aufgefordert, kompromissbereit zu sein. Ich kann gern Kompromisse machen, wie die Daten geschützt werden, wie restriktiv der Zugriff sein soll. Aber ich kann nicht sehenden Auges europäisches Recht verletzen. Wir haben in Brüssel den sechs Monaten zugestimmt, da können wir jetzt nicht mit einer Woche kommen.
Viele Bürger und Unternehmen lehnen aber grundsätzlich ab, dass ihr Kommunikationsverhalten aufgezeichnet wird.
Bei uns hat das Bundesverfassungsgericht 1983 Datensparsamkeit und Datenvermeidung postuliert. Das halte ich für richtig. Nur: Das rasante Wachstum des Internets hält sich nicht an diese Grundsätze. Niemand will dieses Wachstum ernsthaft aufhalten, schließlich bietet uns das Internet enorme Chancen: Energieeinsparung, Elektromobilität, digitale Partizipation, soziale Netzwerke und vieles mehr sind ohne die massenhafte Verarbeitung und Vernetzung von Daten nicht möglich.
(Das Interview führten Henning Krumrey und Thomas Kuhn.)