Es ist gefährlich da draußen im Netz und es wird immer schlimmer. „Alarmstufe Rot“ bestehe in manchen Bereichen, sagt BSI-Präsident Arne Schönbohm bei der Präsentation des neuen Lageberichts zu IT-Sicherheit. Die Gefährdungslage sei hoch, so Noch-Bundesinnenminister Seehofer. Und wir müssten davon ausgehen, dass das noch zunehmen wird. Weil die Digitalisierung zunimmt und damit die Angriffsmöglichkeiten. Ein Teufelskreis.
Es klingt so, als sei das der Lauf der Dinge. Mehr Digitalisierung gleich mehr böse Buben im Cyber, nur die Schwerpunkte ändern sich leicht. Mehr Ransomwareangriffe, zum Beispiel auf Krankenhäuser, die dann ihre Notaufnahme schließen müssen. Mehr lahmgelegte Verwaltungen. Mehr betroffene Firmen, die vielleicht ihre Produktion stoppen müssen, bis die Backups wieder eingespielt sind. Wenn es denn welche gibt. Cyber als Naturgewalt: Überschwemmung, Waldbrand, Sturmschaden, Cyberangriff. Was will man da schon machen?
Man habe die letzte Legislaturperiode genutzt, um die Cybersicherheit „massiv zu stärken“, sagt Seehofer nicht ohne Stolz. Aha, es geht also doch? Vielleicht kann man zwar nicht die Angriffe verringern, aber die Anzahl derer, die treffen und Schaden anrichten. Mit der massiven Stärkung meint Seehofer wohl auch das IT-Sicherheitsgesetz 2.0.
Cybersicherheitsstrategie: Nochmal von vorn, bitte!
Jahrelang herumgeschoben, dann schnell durch den Bundestag gedrückt – und am Ende war niemand richtig glücklich: Das IT-Sicherheitskennzeichen nur freiwillig, keine Evaluation des Vorgängergesetzes, ewige Diskussionen um die Lex Huawei, etliches fehlt. Vielleicht ist aber auch besser so, dass es nichts Halbes und Ganzes geworden ist, denn wenn es nach Seehofer gegangen wäre, dann wären wohl noch viel weniger Menschen glücklich. Das Verständnis des bisherigen Innenministeriums zur Cybersicherheit ist verfangen im analogen Bild vom Internet als Schlachtfeld.
Das zeigt auch die Cybersicherheitsstrategie 2021: Von der echten Verteidigung zum Gegenangriff. Sicherheitslücken offenlassen, man könnte sie ja nochmal brauchen. Dass man sich dabei „verantwortungsvoll“ selbst ins Knie schießt, scheint nicht im Bereich des Vorstellbaren zu liegen.
Denn der Staat, so glauben die gestrigen Cybersicherheitsangriffsverteidiger offenbar, kann den bösen Kriminellen oder den bösen ausländischen Spionen einfach einen Schritt voraus sein. Oder wenigstens erkennen, wann es sich lohnt. Also bau dir bitte ein neues Sicherheitsschloss ein, aber achte darauf, dass der Staat jederzeit reinkommt. Keine Sorge, das merkt niemand. Gib uns einfach den Zweitschlüssel oder lass gleich das Fenster da hinten auf. Da kommt einfach keiner drauf.
Deswegen muss eine sinnvolle IT-Sicherheitsstrategie vollkommen neu gedacht und gemacht werden.
Geisterfahren auf der Datenautobahn
Man könnte sagen: Die neue, kommende Bundesregierung hat eine schwere Bürde zu tragen, denn nie gab es mehr zu tun. Man kann es aber auch anders sehen: Durch jahrelange Beratungsresistenz sind viele gute Vorschläge auf der Strecke geblieben. Man muss sie eigentlich nur aufsammeln und nicht immer weiter in die falsche Richtung steuern, um dann zu behaupten, dass alle wohlwollenden IT-Sicherheitsforscher:innen auf der Datenautobahn bloß geisterfahrern würden.
Es gibt mehr als genug Sofortmaßnahmen, welche die IT-Sicherheit schnell Schritt für Schritt verbessern könnten. Ohne Milliardeninvestitionen und ohne neuen Cyberbehördenwildwuchs. Und das beste daran: Nicht nur in Deutschland könnte so die digitale Welt sicherer werden, sondern überall! Denn wenn jemand in Deutschland die drölfzigste Sicherheitslücke in Microsoft Exchange entdeckt und die dann geschlossen wird, hilft das auch der Firma in Südamerika, die das System nutzt. Ganz ohne zusätzliche Kosten und Arbeitsgruppen und Eingriffsbefugnisse und Anzeigen bei der Polizei.
Sofortmaßnahme: Hackerparagrafen abschaffen
Die erste sinnvolle Maßnahme wäre: Schafft die unsäglichen Hackerparagrafen ab, mit denen wohlmeinende IT-Sicherheitsforscher:innen seit Jahren unnötig kriminalisiert werden. Es mag schwer fallen zu verstehen, dass da Menschen in ihrer Freizeit trotz massiver staatlicher Undankbarkeit immer noch Sicherheitslücken suchen und melden. Nutzt dieses Geschenk, holt ihre Arbeit aus der rechtlichen Grauzone und sagt vielleicht auch einfach mal Danke. Dann sind es im nächsten Berichtszeitraum bestimmt auch mehr als 25 extern angestoßene Responsible-Disclosure-Verfahren beim BSI, von denen ein Drittel von der Gruppe Zerforschung stammen soll. Die Zahlen zeigen auch, dass noch richtig durchgedrungen ist: Jede gefundene Sicherheitslücke ist nicht eine mehr, sondern heißt, dass es bald eine weniger gibt.
Die zweite Maßnahme wäre: Sorgt dafür, dass Sicherheitslücken konsequent geschlossen werden. Egal, wer sie findet. Es gibt keinen, aber auch wirklich gar keinen vernünftigen Grund, sie nicht zu melden und so schnell wie möglich zu schließen. Was bringt es denn, vielleicht die Polizei die Geräte von zehn Menschen im Jahr infiltrieren kann, wenn Kriminelle die gleiche Sicherheitslücke nutzen, um in Norddeutschland die Lichter auszuschalten? Oder Politiker:innen zu erpressen, nachdem sie private Fotos von ihren Geräten abgezogen haben?
Es ist nicht schwer, es besser zu machen
Hier muss eine neue Regierung umsteuern und IT-Sicherheit endlich konsequent durchziehen. Keine Hintertürchen, keine Pseudoexklusiv-Lücken, kein ewiges Mantra von der „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ mehr.
Es kann niemals verhältnismäßig sein, unzählige Menschen wissentlich zu gefährden oder in Gefahr hängen zu lassen, wenn man das verhindern könnte. Denn sogar Seehofer stellt in seiner Ankündigung fest: Sicherheitslücken können uns alle schaden. Angriffe auf IT-Systeme zu verhindern wird kaum möglich sein. Manche davon werden auch Erfolg haben. Aber es besser zu machen als die bisherige Regierung, das ist doch nicht so schwer.
„Man habe die letzte Legislaturperiode genutzt, um die Cybersicherheit „massiv zu stärken“, sagt Seehofer nicht ohne Stolz.“
Das er Unsinn erzählt wurde ihm von Schönbohm mit genau zwei Sätzen vor Augen geführt. Der Erste befindet sich in dem Lagebericht auf Seite 27:
– Im Mai 2021 waren jedoch noch immer knapp neun Prozent der geprüften Exchange-Server in Deutschland für die kritischen Schwachstellen verwundbar.
Der zweite fiel auf der Pressekonferenz. Aus dem Gedächtnis raus:
– Wir können nicht jeden Betreiber per Post anschreiben.
Doch. Das ginge. Allein es fehlt der Wille.
Ach ja, da war doch was mit technischem Ansprechpartner, der zwingend anzugeben ist.
Zitat: „Weil die Digitalisierung zunimmt und damit die Angriffsmöglichkeiten. Ein Teufelskreis.“
Dieser Satz ist richtig und deshalb wichtig. Die Gebetsmühlen aber rotieren schon im dunkelroten Bereich: „Digitalisierung jetzt endlich, überall, und auf Teufel komm raus!“ Viele kleine Teufelchen aber auch die größeren lieben diese zunehmende Digitalisierung.
Staat wie Gesellschaft sollten sich tunlichst nicht selbst schwächen, denn es wäre schlicht dumm. Zu Zeiten altrömischer Dekadenz konnten „Caesaren“ ihre eigenen Köpfe nicht retten, sie gingen durch eigene Dummheit zugrunde.
Mal sehen, wie diese Digital-Dekadenz ausgehen wird. Chaos ist ein stabiler Zustand.