Jörn Müller-Quade: Meldepflicht für Hacks und europäische Cybersicherheitsarchitektur gefordert

  • Datum: 17.05.2017
  • Sehr geehrte Damen und Herren,

    Übermittlung von Nachrichten, Verkehr, Industrieproduktion, Forschung, Verwaltung – nahezu kein Bereich kommt mehr ohne moderne Informations- und Kommunikationstechnologien aus. Angriffe auf die digitale Infrastruktur durch Kriminelle oder staatliche Organisationen sind folglich eine Gefahr für Wohlstand und Sicherheit, ja Freiheit und Demokratie. Der große Hacker-Angriff „Wanna Cry“, von dem am vergangenen Wochenende zehntausende Computer auf der ganzen Welt betroffen waren, ist nur das jüngste einer langen Reihe von Beispielen, für das Gefahrenpotential, die Cyberattacken in hochentwickelten Ländern entfalten können. Zukünftig werde es noch weit bedrohlichere Angriffe von heute ungeahnter Wucht geben, warnt Jörn Müller-Quade vom Karlsruher Institut für Technologie (KIT). Im dortigen Kompetenzzentren für IT-Sicherheitsforschung KASTEL wird heute schon an den Verteidigungsstrategien von morgen geforscht.

     

    Cybersicherheitsexperten wie Müller-Quade bemängeln schon lange, deutsche Firmen, öffentliche Einrichtungen und Institutionen, seien nicht ausreichend auf digitale Bedrohungen vorbereitet. Im Gegenteil: Durch die fortschreitende Vernetzung, die sich durch Trends wie Industrie 4.0, Smart Home oder selbstfahrende Autos noch potenzieren wird, würden die Angriffsflächen für Cyberschurken immer größer, warnt er. Bei der Entwicklung vieler neuer Geräte, sei die Cybersicherheit überhaupt nicht berücksichtigt worden, bemängelt der Sicherheitsforscher. Gleichzeitig seien wegen immer stärkerer Arbeitsteilung und Hacking als käuflichem Service für eine effektive Cyberoffensive immer weniger individuelle Hackerkenntnisse notwendig.

     

    In der Entwicklung befindliche Technologien wie Quantencomputer oder künstliche Intelligenz führten zudem dazu, dass Cyberangreifer in Zukunft noch mächtiger würden, erklärt Müller-Quade. „Gleichwohl ist mangelnde Cybersicherheit kein Zukunftsproblem, sie muss jetzt gewährleistet sein“, fordert er. Den Verteidigern im Cyberkrieg fehlen hingegen häufig die Mittel: Dass ein Sicherheitsanalyst die Schadsoftware „Wanna Cry“ stoppte, war nach Medienberichten purer Zufall.

     

    Gemeinsam mit Wissenschaftlern der Cybersicherheitszentren CISPA in Saarbrücken und CRISP in Darmstadt hat Müller-Quade deshalb klare Forderungen an die Politik formuliert und in einem Thesenpapier an die Bundesregierung übergeben. Cybersicherheit müsse in einem hochtechnisierten Land als Daseinsvorsorge begriffen werden, so der deutliche Anspruch der Forscher. So wie der Staat mit Straßen und Autobahnen eine Infrastruktur für den Verkehr bereitstelle und auf die Einhaltung der Verkehrsregeln durch die Nutzer achte, müsse er für die Sicherheit in der digitalen Gesellschaft sorgen, indem er Infrastrukturen für Cybersicherheit aufbaue.

     

    Müller-Quade denkt zum Beispiel an öffentliche Prüflabore, die weit verbreitete Computerprogramme auf ihre Verlässlichkeit abklopfen. „Momentan kaufen wir in riesigem Umfang Software und wissen überhaupt nicht, was die eigentlich wirklich macht“, bemängelt der Wissenschaftler. „Im Moment sind wir abhängig von ausländischen Betriebssystemen, deren Quellcode wir noch nie gesehen haben.“

     

    Die Folge sei nicht nur ein gravierender Mangel an Sicherheit, sondern auch der Verlust der „digitalen Souveränität: „Deutschland – und ganz Europa – verfügt derzeit nicht über die Fähigkeiten, für mehr Cybersicherheit wichtige Schlüsseltechnologien selbst zu entwickeln.“ Daraus resultiere eine Abhängigkeit von technologisch führenden Nationen wie Israel oder den USA. Das sei vor allem deshalb bedrohlich, da sich vor dem Hintergrund von Ereignissen wie der Präsidentschaft Trumps und dem Brexit derzeit eine Stagnation der internationalen Zusammenarbeit abzeichne. Die digitale Souveränität auf europäischer und nationaler Ebene zurückzugewinnen, „muss strategisches Ziel sein“, fordert Müller-Quade.

     

    „Wenn uns dieses Ziel wichtig ist, müssen wir bereit sein, gemeinsam in seine Erreichung zu investieren.“ Als Beispiel für eine solche gesamteuropäische Kraftanstrengung aus strategischen Gründen nennt Müller-Quade den Luftfahrt- und Rüstungskonzern Airbus. Investitionen von „Airbus-Ausmaßen“ sind laut Müller-Quade für eine robuste europäische Cybersicherheitsarchitektur indes überhaupt nicht notwendig. „Wir könnten zum Beispiel in Open-Source-Systeme investieren“, schlägt der Wissenschaftler vor. Diese seien vielfach schon vorhanden, aber wegen fehlender Benutzerfreundlichkeit wenig verbreitet. Ein Mangel, der sich mit vergleichsweise bescheidenen finanziellen Mitteln beheben ließe.

     

    Auch müsse der Gesetzgeber für bessere Rahmenbedingungen für die Cybersicherheit sorgen: „Wir brauchen eine Meldepflicht für Cybervorfälle“, fordert Müller-Quade. Firmen, die gehackt worden sind, behalten das aus Angst vor Image-Schäden meist für sich. „Das hat aber zur Folge, dass wir nicht einschätzen können, wie groß das Risiko wirklich ist.“ Ebenso müssten verbindliche Standards für die Vorsorge gesetzt werden: „Es ist wie beim Impfen. Je mehr immun sind, desto weniger kann sich eine Infektion verbreiten.“

     

    Für weitere Informationen stellt die Pressestelle des KIT gern den Kontakt zum Experten her. Bitte wenden Sie sich an Felix Mescoli, Tel.: 0721 608 48120, felix.mescoli@kit.edu oder an das Sekretariat der Pressestelle, Tel.: 0721- 608 47414, E-Mail an presse@kit.edu.