Cybersicherheit – politik-digital

Oxford Statement zum Schutz vor ausländischer Wahlbeeinträchtigung

Marvin Neukirch — Mon, 09 Nov 2020 11:15:11 +0000

Transparente und faire Wahlen sind der Grundpfeiler einer jeden Demokratie. Wenn ein Wahlausgang von externen Akteur*innen beeinflusst worden ist, stellt dies die Legitimation und Stabilität der gewählten Regierung infrage. Der demokratische Prozess kann nicht mehr als solcher bezeichnet werden. Die Wahlkämpfe haben sich aufgrund der Digitalisierung jedoch stark verändert. Kampagnen und Werbung finden nun vermehrt im Internet statt. Dies begünstigt die Reichweite der Kandidat*innen. Allerdings wird dadurch gleichzeitig die Einflussnahme von außen vereinfacht. Die Universität Oxford hat 158 der weltweit führenden internationalen Jurist*innen zusammengebracht, um Konsensschutzmaßnahmen zu formulieren, die nach geltendem Völkerrecht für ausländische Cyberoperationen mit nachteiligen Auswirkungen auf die Wahlen gelten. Dr. Henning Lahmann ist einer der 158 Unterzeichnenden dieser Erklärung und hat mit uns über mögliche Sanktionen, russische Einflussnahme, die Stabilität der Demokratie und die Bundestagswahl 2021 gesprochen.

Dr. Henning Lahmann ist Senior Researcher am Digital Society Institute der ESMT Berlin. Seine Arbeit konzentriert sich auf Cybersicherheit und transnationale Sicherheut, Desinformations- und Informationsoperationen, Menschen- und Bürgerrechte, Datenschutz und Privatsphäre und Internet Governance.

Herr Dr. Lahmann, die „Oxford-Erklärung zum völkerrechtlichen Schutz vor ausländischen Wahlbeeinträchtigungen durch digitale Mittel“ soll verdeutlichen, dass das Völkerrecht digitale Angriffe auf außerstaatliche Wahlen verbietet. Welche Bedeutung hat Wahlmanipulation in unserer heutigen Zeit?

Dr. Henning Lahmann: Wie eine Reihe von Wahlen und anderer demokratischer Entscheidungsprozesse in vielen – keineswegs nur westlichen – Ländern in den vergangenen Jahren gezeigt hat, sind solche Vorgänge unter den Bedingungen der digitalen Transformation, insbesondere durch die Nutzung informationstechnischer Infrastrukturen für die Durchführung, den relativen Bedeutungsverlust etablierter Medien und den Aufstieg von Social Media als leitendem Informationsmedium in einem nicht antizipiertem Maße verwundbar gegenüber Eingriffen durch ausländische Akteur*innen. Wahlbeeinflussung hat es schon immer gegeben, aber es lässt sich nicht von der Hand weisen, dass das Problem durch die Digitalisierung eine neue Dimension angenommen hat.

Was waren Ihre Beweggründe dazu, diese Erklärung zu unterschreiben?

Ich habe mich schon länger mit den Phänomenen Cybersicherheit und Desinformation befasst und war auch an dem Workshop beteiligt, der die Erklärung ausgearbeitet hat. Das Thema wird uns in den nächsten Jahren weiter begleiten, insofern fand ich es wichtig, als Community der Völkerrechtler*innen ein Zeichen zu setzen, um zu signalisieren, dass dem Phänomen mit den Mitteln des Rechts begegnet werden muss.

Geltende Völkerrechtsbestimmungen sind in der Theorie für alle Staaten bindend. Dennoch gilt die Umsetzung vieler Bestimmungen als schwierig. In welcher Form können Staaten dazu motiviert werden, sich an diese Grundsätze zu halten?

Die Durchsetzung völkerrechtlicher Regeln war schon immer schwierig, da es keine übergeordnete Durchsetzungsinstanz gibt und sich Machtverhältnisse unmittelbar auf den Willen auswirken, sich an das Recht zu halten. Die Entwicklung digitaler Infrastrukturen hat das Problem verschärft, da Fehlverhalten im Netz nicht leicht bestimmten Akteur*innen, z.B. einem Staat, zugeordnet werden können und es deshalb oft nicht gelingt, Verantwortlichkeit zu etablieren. Aber wenn genug Staaten signalisieren, dass sie das im Statement als völkerrechtswidrig beschriebene Verhalten nicht tolerieren werden und entsprechend (kollektive oder unilaterale) Gegenmaßnahmen treffen werden, wenn es doch zu Wahlbeeinflussung von außen kommt, hat das zunächst einmal eine normstabilisierende Wirkung und kann auf diese Weise auch das Verhalten von Staaten beeinflussen.

In welcher Form können digitale Wahleingriffe von außen sanktioniert werden?

Staaten kennen eine Reihe möglicher Maßnahmen; naheliegend sind Sanktionen entweder gegen einzelne verantwortliche Personen (z.B. Regierungsmitglieder*innen, Geheimdienstoffiziere) oder ganze Staaten, wie nach 2016 gegen Russland geschehen; die EU hat in dieser Hinsicht ihre offizielle Politik verschärft (EU Cyber Diplomacy Toolbox); natürlich können laufende Cyberangriffe auch direkt im Netz unterbunden werden, mit möglicherweise empfindlichen Folgen für die Angreifer*innen – auch wenn sich Staaten in dieser Hinsicht wegen der Gefahr weiterer Eskalation zurückhalten sollten. In Betracht käme theoretisch auch eine Sanktionierung in internationalen Foren wie der UN oder dem Internationalen Gerichtshof, aber das ist aus verschiedenen Gründen (z.B. Vetorecht USA, China, Russland im UN-Sicherheitsrat, fehlende Unterwerfung unter die Rechtsprechung des IGH) eher unwahrscheinlich.

Mit welchen Methoden versuchen Staaten heute, die Wahl in anderen Staaten zu beeinflussen?

Da gibt es viele verschiedene Methoden. Bekannt geworden ist natürlich in erster Linie die gezielte Verbreitung politischer Desinformation über Social Media, unterstützt durch Bots, Micro-Targeting und anderer Technologien, um das Wahlverhalten der Zielbevölkerung zu beeinflussen. Inwieweit dies aber überhaupt eine nennenswerte Auswirkung hat, ist bislang noch gar nicht ausgemacht. Darüber hinaus sind natürlich auch Cyberangriffe direkt gegen die digitale Wahlinfrastruktur denkbar, also das Verursachen von Ausfällen der IT-Systeme oder theoretisch sogar das direkte Verändern von Wahlergebnissen. Das ist überall dort ein Risiko, wo diese Infrastruktur an die globalen Netze angeschlossen ist und es keinen sogenannten „Paper-Trail“ gibt, anhand dessen Wahlergebnisse zur Not manuell überprüft und verifiziert werden können.

Wenn man an digitale Wahlbeeinflussung denkt, fällt schnell die US-Wahl aus dem Jahr 2016 in den Blickpunkt. Der US-Auslandsgeheimdienst CIA hat im Anschluss der Wahl dazu ermittelt. Eine russische Einflussnahme wurde in dem daraus folgenden Bericht bestätigt. Auch im Zuge des Brexit-Referendums wurde gegen eine russische Einflussnahme ermittelt. Lässt sich hier eine Policy erkennen?

Russland verfolgt seit einigen Jahren im Rahmen seiner hybriden Konfliktführung eine Strategie der Informationsbeeinflussung. Dabei geht es weniger darum, bestimmte Kandidat*innen in westlichen Ländern an die Macht zu verhelfen, auch wenn das ein gewünschter Nebeneffekt sein kann. Wichtiger ist es dem Kreml, allgemein Verwirrung und Chaos zu stiften und dadurch das Vertrauen westlicher Bevölkerungen in die Institution der Demokratie zu unterminieren. Hierdurch erhofft man sich eine Schwächung des Westens insgesamt, insbesondere im Verhältnis zu strategischen Interessen Russlands.

Blickt man auf Belarus, sieht man ein Land in bürgerkriegsähnlichen Zuständen. Die Wahl im August 2020 gilt als sicher manipuliert. Hier fand die Manipulation jedoch nicht von außen, sondern von innen durch die amtierende Regierung Aljaksandr Lukaschenkos statt. Befindet sich die Demokratie in einer Krise?

Belarus ist vielleicht nicht das beste Beispiel, um die Krise der Demokratie zu diagnostizieren, da die Wahlen in diesem Land noch nie frei oder fair waren und es immer zu Manipulationen durch das diktatorische Regime gekommen ist. Davon abgesehen lässt sich aber schon beobachten, dass das Vertrauen in die Demokratie in den letzten Jahren in vielen Ländern gelitten hat. Umfragen legen das recht konsistent nahe. Daran ist aber kaum die Beeinflussung von außen schuld – es ist wahrscheinlicher, dass ausländische Akteur*innen einfach Wege gefunden haben, diese Vertrauenskrise für ihre eigenen Zwecke auszunutzen und auf diese Weise zu verschärfen.

Wie gefährdet sehen Sie die deutsche Demokratie hinsichtlich einer möglichen Wahlmanipulation?

Durch das Verhältniswahlsystem ist die Bundesrepublik grundsätzlich weniger anfällig für Manipulation von außen als das in Ländern mit Mehrheitswahlrecht (USA, UK, Präsidentschaftswahl in Frankreich) der Fall ist. Trotzdem ist natürlich frühzeitige Aufmerksamkeit geboten. Deutschland hat noch einen weiteren Vorteil, nämlich ein im Vergleich zu anderen westlichen Ländern relativ stabiles, weiterhin einflussreiches Mediensystem, das journalistischen Grundsätzen verpflichtet ist; dazu gehören die öffentlich-rechtlichen Rundfunkanstalten, aber auch die großen Printmedien. Trotzdem hat die Polarisierung auch in Deutschland stark zugenommen, nicht zuletzt im Zuge der Pandemie, und Stimmen vom Rand gewinnen an Einfluss. Hier können ausländische Akteur*innen Anknüpfungspunkte für Desinformation und andere destabilisierende Operationen finden.

Im kommenden Jahr findet die Bundestagswahl 2021 statt. Mit den Erfahrungen der jüngeren Vergangenheit sind Eingriffe von außen zu erwarten. Was kann die Bundesregierung vorab tun, um eine transparente Wahl zu gewährleisten und sich gegen Angriffe von außen zu schützen?

Die Bundesregierung muss mithilfe der zuständigen Behörden (Polizei, BfV, BND) schadhafte Operationen früh erkennen und diese vor allem zum frühestmöglichen Zeitpunkt gegenüber der Bevölkerung publik machen, um Transparenz und Vertrauen herzustellen. Was Cyberangriffe gegen Wahlinfrastrukturen angeht, mache ich mir weniger Sorgen, weil in Deutschland das meiste noch immer im Kern analog stattfindet. Darüber hinaus muss möglichen ausländischen Akteur*innen frühzeitig unmissverständlich signalisiert werden, dass Versuche der Beeinflussung sanktioniert werden.

Die vollständige Oxford-Erklärung zum völkerrechtlichen Schutz vor ausländischen Wahlbeeinträchtigungen durch digitale Mittel finden Sie hier.

Photo by Markus Winkler on Unsplash

Dr. Henning Lahmann Photo by privat/ESMT

Text: CC-BY-SA 3.0

Digitale Selbstverteidigung – Sichere Daten im Homeoffice und unterwegs

Marvin Neukirch — Mon, 02 Nov 2020 09:39:54 +0000

Die „digitalen Big 5“ Google, Apple, Facebook, Amazon und Microsoft dominieren die weltweite Technikbranche. Heute gibt es kaum Anwendungen auf dem Computer oder Smartphone, die nicht aus der Schmiede einer dieser Riesen stammen. Während sie auf den weltweiten Märkten in Konkurrenz stehen, gleichen sie sich in einer Eigenschaft: Sie alle speichern unzählbare Mengen an Daten über ihre Nutzer*innen ab. Welche genauen Informationen abgespeichert werden oder wer Zugriff auf diese erhält weiß niemand. „Eine Ballung von Daten bedeutet eine Ballung von Macht“, sagt Stefan Mey. Er ist freier Technologiejournalist in Berlin, schreibt Bücher, hält Vorträge und gibt Workshops zu digitaler Selbstverteidigung. In seiner Beilage „Digitale Selbstverteidigung“ der Reihe „Journalisten_Werkstatt“ zeigt er, wie man sich gegen die Datensammlung schützen kann. Im Interview spreche ich mit Ihm über Datenschutz, Homeoffice und den technologischen Fortschritt.

Herr Mey, wenn man sich die öffentliche Meinung zum Thema Datenschutz anschaut, stößt man auf unterschiedlichste Ansichten. Häufig fällt der Satz „Ich habe ja nichts zu verbergen“. Wie ist Ihre Haltung zu solchen Aussagen?

Stefan Mey: Natürlich sind die meisten Menschen nicht Ziel von individueller Überwachung. Sie sind zusammen mit Milliarden anderen Nutzer*innen Objekt von Massenüberwachung. Auch das ist politisch gefährlich. Macht über Daten ist Macht über Menschen, und Macht kann missbraucht werden. Insofern denke ich, dass Massenüberwachung dann doch jeden etwas angeht. Mithilfe der Daten, die bei großen IT-Konzernen anfallen und auf die Geheimdienste Zugriff haben, ist es möglich, sich potenziell in jede Einzelperson und Menschengruppe reinzuzoomen. Außerdem glaube ich nicht so richtig, dass irgendjemand nichts zu verbergen hat. Jeder hat Dinge, die er gern mit der Welt teilt, und Dinge, die er lieber für sich behält. Das Problem ist: aus den Daten, die durch Klicks, Freundschaftsanfragen, Online-Käufe und Suchanfragen entstehen, lassen sich so gut wie alle Aspekte eines Lebens rekonstruieren. Das gilt für Banales, aber auch für private und besonders schutzwürdige Informationen. Das kann etwa die politische Ausrichtung eines Menschen sein, die sexuelle Orientierung, die Religion, die individuelle wirtschaftliche Situation oder der körperliche oder mentale Gesundheitszustand.

Warum herrscht innerhalb der Bevölkerung ein vermeintlich geringer Widerstand gegen die offensichtliche Datenspeicherung der „Big 5“?

Das Problem der Datenballungen ist individuell schwer greifbar, sondern überwiegend ein abstraktes gesellschaftspolitisches Phänomen. Menschen tun sich allgemein schwer, auf abstrakte Probleme individuell zu reagieren. In der Bundesrepublik hat Datenschutz einen viel größeren Stellenwert als in anderen Ländern, aber auch hier ist digitale Selbstverteidigung überwiegend noch ein Nischenphänomen. Das ist leider so.

In Ihrem Werk nennen Sie diverse Möglichkeiten, sich dem Datenklau und der Überwachung zu entziehen. Von gängigen Themen wie der Passwortsicherheit, über die Verschlüsselung von E-Mails, bis hin zum Surfen im Darknet. Glauben Sie, dass einige Maßnahmen die Bürger*innen nicht technisch überfordern?

Viele Maßnahmen der digitalen Selbstverteidigung sind gar nicht so kompliziert umzusetzen, wie manche vielleicht denken. Mithilfe des populären Mail-Programms Thunderbird kann man beispielsweise in weniger als einer Minute E-Mail-Verschlüsselung auf dem PC einrichten. Und selbst der Umstieg von Windows oder MacOS hin zu einem alternativen PC-Betriebssystem wie Linux Ubuntu oder Linux Mint ist längst keine Raketenwissenschaft mehr. Im Internet finden sich für alle Spielarten digitaler Selbstverteidigung gute und allgemein verständliche Anleitungen, die auch Laien ansprechen.

Wenn ich mich also sicher im World Wide Web bewegen möchte, muss ich gänzlich auf Facebook, WhatsApp, Amazon und co. verzichten oder ist ein Spagat zwischen digitaler Selbstverteidigung und alltäglichem Konsum möglich?

Es ist eine individuelle Entscheidung, wie sehr einen die Datensammelei und die Überwachung im Netz stören. Und man muss sich fragen, inwiefern man vielleicht besonders interessant für Überwachung ist, weil man etwa im journalistischen Bereich arbeitet oder im Politik-Betrieb. Insofern sollte jeder selbst entscheiden, wie viel digitale Souveränität man will. Ein nahezu hundertprozentiger Schutz vor Überwachung und Cyberattacken ist nur mit extrem hohem Aufwand möglich. Wenn man sich tatsächlich mal in der Situation eines Edward Snowdens befindet, muss man sich über Dutzende Dinge Gedanken machen: nicht nur über die Software, die man verwendet, sondern auch über das Betriebssystem, die verwendete Hardware, die gewählten Netz-Zugänge usw. Für die meisten Menschen stellt es aber schon einen großen Sprung dar, wenn sie ein paar grundlegende Maßnahmen in ihr digitales Leben einbauen: wenn sie beispielsweise anfangen, ihre E-Mails zu verschlüsseln, wenn sie sichere Passwörter für wichtige Profile und Geräte wählen und wenn Sie Open-Source-Programme nutzen, etwa den nicht-kommerziellen Firefox-Browser oder das freie Office-Paket LibreOffice.

Einige Ihrer Handlungsempfehlungen richten sich vor allem an Journalist*innen oder Menschen, die im Allgemeinen im Homeoffice tätig sind. Wie ist Ihre persönliche Erfahrung im Umgang mit Ihren Kolleg*innen, sind sie sich der eigenen Gefahr der Überwachung bewusst?

Journalist*innen sind in puncto Datenschutz und IT-Sicherheit nicht Avantgarde. Ihre Herangehensweise ähnelt dem der meisten Menschen: Im Hinterkopf weiß man, dass es das Problem der Massenüberwachbarkeit gibt, dass das ziemlich unschön ist und dass man sich irgendwann einmal um den Schutz der eigenen Daten und Geräte kümmern sollte. Aber getan hat man bisher meist noch nicht viel.

Gerade in Zeiten von Corona arbeiten immer mehr Menschen aus dem Homeoffice. Müssen die einzelnen Unternehmen, oder gar der Staat, aktiv werden, um diese Menschen hinsichtlich des Datenschutzes zu sensibilisieren?

Wenn Unternehmen ihre Mitarbeiter*innen ins Home Office schicken, bedeutet das oft, dass diese nicht mehr im gesicherten Unternehmens-IT-System und nicht mehr auf abgesicherten Unternehmensgeräten arbeiten. Stattdessen nutzen sie eigene, potenziell unsichere Hardware und Software. Insofern ist es eigentlich im Interesse der Unternehmen, dass sie Ihre Mitarbeiter*innen im sicheren Umgang mit IT schulen und ihnen vielleicht auch besonders sichere Hard- und Software zur Verfügung stellen. Der Staat sollte das Thema Datenschutz insgesamt ernster nehmen. Zum Beispiel könnte er mehr Fördermittel für datensparsame Open-Source-Projekte bereitstellen und Datenschutzverstöße der großen IT-Konzerne konsequenter verfolgen. Gut wäre es, wenn Behörden und Ministerien mit gutem Beispiel vorangehen und ihre eigene IT auf Open Source umstellen. Dass die öffentliche Verwaltung fast ausschließlich das Microsoft-Betriebssystem Windows nutzt, halte ich für ziemlich fahrlässig.

Durch den technologischen Fortschritt haben sich unzählige neue Möglichkeiten für uns ergeben. Online-Banking, Online-Shopping, Telemedizin in Form von Online-Rezepten und Videosprechstunden viele (sensible) Dinge können heute einfach von zu Hause erledigt werden. Sehen Sie die Gesamtentwicklung als Chance oder Gefahr?

Technologie ist immer beides: Gefahr und Chance. Die Entwicklungen des Internets haben viele großartige Dinge ermöglicht. Aber es ist leider so, dass mit jedem neuen Digitalisierungsschub mehr Daten entstehen, die für Überwachung missbraucht werden können. Für dieses Dilemma gibt es keine Lösung. Das Schöne an digitaler Selbstverteidigung ist, dass man in Eigenregie den Missbrauch der eigenen Daten begrenzen kann. Die Idee ist, dass man mit technischen Mitteln dafür sorgt, dass Daten gar nicht erst unnötigerweise entstehen oder übermitteln werden können. Dann kommen Unternehmen und Regierungen nicht in die Versuchung, sie für eigene Zwecke zu sammeln und auszuwerten.

Photo by NeONBRAND on Unsplash

Text: CC-BY-SA 3.0

Wie steht es um die deutsche Cybersicherheitspolitik?

René Neumann — Thu, 18 Jun 2015 09:12:14 +0000

Als im April 2015 der französische Sender TV5-Monde gehackt wurde, war die Sorge um das Ausmaß groß, auch in Deutschland. Was können die Folgen derartiger Angriffe sein und wie können Schäden verhindert werden? Diese Fragen wurden für die deutschen Sicherheitsbehörden hierzulande umso relevanter, als einem Monat später das Netzwerk des Deutschen Bundestages durch einen schweren Hackerangriff beeinträchtigt wurde. Ein kritischer Blick auf die Rahmenbedingungen der deutschen Cybersicherheit.

Die Diskussionen um den Hackerangriff auf den Bundestag kochen weiter, das kürzlich verabschiedete IT-Sicherheitsgesetz tut sein Übriges dazu. Während man mit Hilfe der Gesetzesinitiative versucht, die Unternehmen in die Pflicht zu nehmen, geben Behörden und Verwaltung hinsichtlich ihrer eigenen Netzsicherheit kein gutes Bild ab.

Eine gründliche Analyse zur deutschen Cybersicherheitspolitik legte der Politikwissenschaftler Jakob Kullik mit seiner vielsagenden Studie Vernetzte (Un-)Sicherheit? im Jahr 2014 vor. Das Ergebnis war ernüchternd. „Cybersicherheitspolitik mit großen Defiziten“, so titelte der Deutschlandfunk vor einem Jahr, unter Berufung auf den Forscher. Doch wo liegen die konkreten Mängel? Zwar besitzt Deutschland bereits eine eigene Cybersicherheitspolitik, dieser fehle es aber an Konsistenz, so der Experte. Kullik schlüsselt nach strategischen, politisch-institutionellen und operativen Defiziten auf.

Ein kritischer Blick: Strategien, Institutionen und Operationen

Strategisch gibt es tatsächlich einige Initiativen, die den Schutz kritischer Infrastrukturen gewährleisten und das Sicherheitsniveau anheben sollen, einige dieser Schritte greifen jedoch zu kurz. So verfolgt die deutsche Cybersicherheitspolitik vor allem zivile Strategieansätze und vernachlässigt die strategische Relevanz informationstechnischer Kapazitäten in militärischen Auseinandersetzungen . Passivität und lediglich reaktive Handlungspotentiale können angesichts neuer dynamischer Konfliktfelder im Cyberspace einen klaren sicherheitsstrategischen Nachteil bedeuten.

Politisch-institutionell gibt es sowohl bereits existierende Organisationseinheiten als auch im Aufbau befindliche neue Strukturen. Die hauptverantwortliche Bundesbehörde ist das Bundesministerium des Inneren (BMI) mit seinen nachgeordneten Behörden: dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bundeskriminalamt (BKA) und dem Bundesamt für Verfassungsschutz (BfV). Weiteren Einfluss nehmen – je nach Ressort – auch das Bundesministerium für Wirtschaft und Energie (BMWi), Bundesministerium der Verteidigung (BMVg), das Auswärtige Amt, das Bundesministerium für Bildung und Forschung (BMBF) sowie die Länder. Schlussendlich sind noch das Nationale Cyberabwehrzentrum und der Nationale Cybersicherheitsrat eingebunden.

Probleme entstehen auf der Ebene der Koordination zwischen den Ministerien und Einrichtungen, der Hauptgrund hierfür sind die unklaren Regelungen, welche Institutionen welche Zuständigkeiten bezüglich der Cybersicherheit haben. Kritisch sieht der Wissenschaftler auch die bisherige Dominanz des BMI, da andere Ministerien wie beispielsweise das BMVg, gemessen an ihrer sicherheitspolitischen Bedeutung, nur sehr wenige Akzente in der Cybersicherheit setzen.

Operativ agieren die Behörden in den Bereichen Kriminalitätsbekämpfung (BKA), der Spionageabwehr (BND, BfV), der Abschirmung von Regierungsnetzwerken (BSI) und der militärischen Arbeitsfelder („Kommando Strategische Aufklärung“ der Bundeswehr). Ein Hauptdefizit für die Arbeit dieser Einrichtungen ist der Mangel an qualifizierten IT-Fachkräften, was sich langfristig verheerend auf die operativen Fähigkeiten der Behörden entwickeln könnte. Imageprobleme und der herrschende Fachkräftemangel, auf den die freie Wirtschaft flexibler reagieren kann, verschärfen das Nachwuchsproblem, daher sind Investitionen in den personellen und technischen Ausstattungen unabdingbar.

Das Nationale Cyberabwehrzentrum (NCAZ)

Das NCAZ, gegründet im Jahr 2011, wurde als Beratungsgremium zur Erfassung und Analyse von Angriffen aus dem Cyberspace konzipiert. “Ziel ist es, die operative Zusammenarbeit der relevanten staatlichen Stellen zu optimieren und die Schutz- und Abwehrmaßnahmen gegen IT-Vorfälle besser zu koordinieren”, so das Bundesinnenministerium. Das NCAZ bündelt die Informationen zu Angriffen, die nach den jeweiligen Zuständigkeiten dann bewertet werden. Das BSI analysiert die technischen Aspekte des Angriffs, der BND überprüft die Herkunft und ob ausländische Nachrichtendienste den Angriff koordinierten und schließlich beurteilt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK), inwiefern eine Gefährdung für diverse kritische Infrastrukturen vorliegt.

Das ambitionierte Projekt lässt nach Expertenmeinung jedoch Wünsche offen. Der Bundesrechnungshof rügt das Gremium als „nicht gerechtfertigt“. Recherchen verschiedener Medienhäuser zufolge kamen die Rechnungsprüfer zum Ergebnis, dass die Konzeption „nicht geeignet [sei], die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln“. Auch stellen sich Fragen nach der Effektivität, da die Einrichtung lediglich zehn feste Mitarbeiter beschäftigt. Experten forderten mindestens das Zehnfache an Mitarbeitern. Das BMI spricht von 900 IT-Sicherheitsvorfällen, die im Zeitraum zwischen April 2011 und März 2013 bewertet wurden, doch scheint diese Zahl angesichts von sieben ernsten Hackerangriffen pro Tag allein auf die Bundesregierung nicht effektiv.

Auf Anfrage von politik-digital, bezüglich möglicher Konsequenzen in der Organisation des NCAZ teilt das Bundesministerium des Inneren mit: „Erste Maßnahmen zur Verbesserung der Organisation und der Aufgabenwahrnehmung wurden zusammen mit den im Cyber-Abwehrzentrum vertretenen Behörden unternommen. Auch wurde die Evaluierung und Weiterentwicklung des Cyber-Abwehrzentrums zwischenzeitlich intensiviert.“ Außerdem sei die Fortentwicklung des Abwehrzentrums ein kontinuierlicher Prozess, „bei dem neue Bedrohungen aber auch veränderte Rahmenbedingungen wie das IT-Sicherheitsgesetz berücksichtigt werden müssen“. Die einzelnen Vorgänge und Maßnahmen wurden nicht konkretisiert.

Zusätzliche finanzielle und personelle Mittel für das BKA, das BfV und den BND sollen den wachsenden Aufgabenbereich abfedern, inwieweit das strukturelle Mängel beseitigen kann bleibt abzusehen, die Opposition steht diesen Regelungen mit großen Vorbehalten gegenüber.

Cyber-Mittelmacht Deutschland

Der Angriff auf das IT-Netz des Deutschen Bundestags legt die Wunden erneut offen. Die Regierung habe die Probleme „verschnarcht“ kommentiert der netzpolitische Sprecher der Grünen Konstantin von Notz. Die Zuständigkeiten der Behörden erschweren eine Löung, denn bei der Sicherung des Bundestagsnetzwerks beharrt der Bundestag auf seinen Zuständigkeitsbereich. Die Parlamentarier stehen einereiner Mithilfe durch das Bundesamt für Verfassungsschutz skeptisch gegenüber, weil sich dann die Legislative in einem sensiblen Punkt in die Hände einer exekutiven Behörde begibt.

Ein Fazit zur Cybersicherheitspolitik mit den Worten des Forschers Kullik: „Deutschland kann […] bestenfalls als eine sich entwickelnde Cyber-Mittelmacht bezeichnet werden, dessen vorhandene Cyberfähigkeit momentan weit hinter den Möglichkeiten der USA, Chinas, Russlands, Großbritanniens und vermutlich auch Frankreichs und Israels zurückstehen.“

Bild: Tom Raftery (CC BY-NC-SA 2.0)

Wanka will IT-Sicherheit stärken

Pia Thiele — Mon, 20 Oct 2014 16:28:53 +0000

Das Bundesministerium für Bildung und Forschung (BMBF) startete heute ein Forschungsforum zu Privatheit und selbstbestimmtem Leben in der digitalen Welt. Bildungsministerin Wanka will den Schutz der Privatsphäre in der digitalen Welt zur Selbstverständlichkeit werden lassen.
Laut Ministerium ist Cybersicherheit für alle Bürgerinnen und Bürger relevant und stellt zugleich einen wichtigen Wirtschaftsfaktor für den Standort Deutschland dar. Das Ministerium nennt vier Arbeitsbereiche, zu denen weiterhin geforscht werden muss, um den Datenschutz und die Privatsphäre von Bürgern im Netz zu gewährleisten.
Der Wandel hin zur „Industrie 4.0“ bedeutet, dass durch bessere Vernetzung der Fertigungsprozesse Produkte hergestellt werden können, die individuell an den Endverbraucher angepasst sind. Kommunikation ist einerseits die technische Voraussetzung für diesen Prozess und ermöglicht es andererseits, autonom zu optimieren und umzuplanen. Weil „schlaue“ Maschinen und Geräte intensiv untereinander Daten austauschen, muss Datensicherheit laut Ministerium einen größeren Stellenwert einnehmen, damit Firmen angemessen vor Industriespionage geschützt sind.
Die Digitalisierung erfasst nicht nur den Industriesektor, sondern unsere komplette Lebensumwelt. Nie zuvor war es möglich, so viele Daten über die Lebensgewohnheiten von Menschen zu sammeln. Doch bleibt die Privatsphäre auch im digitalen Zeitalter ein hohes Gut. Hierfür sollen Verfahren entwickelt werden, die es jedem Bürger ermöglichen, selbst zu bestimmen, wie öffentlich sie im Netz sein wollen.
Nicht nur Industriemaschinen sind schlau. Auch Versorgungsinfrastrukturen wie Strom oder Wasser und Kommunikationsnetze, sogenannte „kritische Infrastrukturen“, werden immer intelligenter und können sich zunehmend selbst regulieren. Während in die Weiterentwicklung von intelligenter Technologie bereits investiert wird, will man auch den Schutz dieser Systeme nicht vernachlässigen, um Angriffe und Störungen auf die Infrastruktur zu vermeiden.
Ein anderer Bereich, den das Ministerium als schützenswert betrachtet, ist Cloud Computing. Die Technologie ermöglicht es, Daten von überall auf der Welt mit Endgeräten abzurufen. Derzeit problematisch ist, dass konventionelle Sicherheitstechnologien auf das Cloud Computing nicht anwendbar sind und so Sicherheitslücken entstehen können. Vor dem Hintergrund des letzten Skandals um geleakte Nacktfotos von Prominenten haben viele Nutzer seit Kurzem immer mehr Zweifel an der Anwendung dieser Technologie. Mit der Förderung neuer Sicherheitskonzepte will man dazu beitragen, das Vertrauen der User zurückzugewinnen.
Das BMBF arbeitet in IT-Sicherheitsfragen schon seit 2009 mit dem Bundesministerium des Innern (BMI) und dem Wirtschaftsministerium (BMWi) zusammen. Seit 2011 unterhält es Kompetenzzentren in Saarbrücken, Darmstadt und Karlsruhe, in denen universitäre und externe Einrichtungen zusammen zum Thema Cybersicherheit forschen. Auch unterstützt es seit Längerem Projekte, die Themenfelder wie „Privatsphäre im Internetzeitalter“ und „Verschlüsselte Kommunikation“ erforschen. Dass das Ministerium die Erforschung der IT-Sicherheit nun endlich verstärkt fördern will, ist zwar ein wichtiger Schritt, er kommt aber reichlich spät. Es ist zu hoffen, dass die geförderten Maßnahmen sich als hilfreich und nachhaltig herausstellen.
Bild: Christian Schnettelker

Wanka will IT-Sicherheit stärken

admin — Mon, 20 Oct 2014 16:28:53 +0000

Europäische Cybersicherheitspolitik auf undemokratischen Wegen

Ralf Pauli — Mon, 30 Jul 2012 10:29:52 +0000

Die Stiftung Wissenschaft und Politik (SWP) aus Berlin stellt der EU in Sachen Cybersicherheit ein schlechtes Zeugnis aus. Der Experte und Regierungsberater Dr. Sandro Gaycken räumt ebenfalls Mängel ein. Im Gespräch mit politik-digital fordert er mehr Investitionen in passive Sicherheit anstatt in die Überwachung der Bürger.

ACTA, Vorratsdatenspeicherung, Export von Überwachungstechnik an Diktatoren – dies sind einige herausragende Beispiele europäischer Cyberpolitik, an denen sich zuletzt massive Kritik entzündet hat. EU und Länderregierungen nähmen im Namen der Sicherheit bewusst die Beschneidung bürgerlicher Freiheitsrechte in Kauf, empörten sich Bürger, Journalisten und Oppositionspolitiker. Widerstand formierte sich vor allem gegen die Art und Weise, wie innerhalb der EU sicherheitspolitische Richtlinien umgesetzt werden. Annegret Bendiek von der Stiftung Wissenschaft und Politik urteilt: „Transparenz und Rechenschaftspflicht lassen in fast allen beschriebenen Bereichen sehr zu wünschen übrig“.

Die Politikwissenschaftlerin Bendiek untersuchte für die aktuelle SWP-Studie die vier Kernpunkte der europäischen Sicherheitsstrategie, die EU-Innenkommissarin Cecilia Malström auf dem transatlantischen Forum in Washington Anfang Mai 2012 vorgestellt hatte: Prävention, Widerstandsfähigkeit und Reaktionsfähigkeiten, öffentlich-private Partnerschaften sowie globale Zusammenarbeit mit Partnern.

Bendiek kommt in ihrer Analyse zu dem Schluss, dass die EU ihren demokratischen Ansprüchen nicht Rechnung trägt. Erstens stellt sie eine zunehmende Verschmelzung von Innen- und Außenpolitik fest, die zu Kompetenzüberschneidung und unklaren Zuständigkeiten führe.

Zum Zweiten warnt sie vor einer „Versicherheitlichung“ europäischer Politik. Aufgrund der Bedrohungswahrnehmung durch Cyberverbrechen würden EU-Kommission und Mitgliedsstaaten in ihrem Ziel, einen „Raum der Freiheit, der Sicherheit und des Rechts“ zu schaffen, „zunehmend einseitig zugunsten sicherheitspolitischer Maßnahmen“ handeln.

Als dritten Kritikpunkt führt Bendiek die Privatisierung des Regierens an. Ohne den technologischen Wissensvorsprung privater Unternehmen könne heute weder Staat noch Staatenverbund für umfassenden Cyberschutz sorgen. Dadurch sei die Einflussnahme nichtstaatlicher Akteure auf die Agendasetzung im sicherheitspolitischem Bereich sehr ausgeprägt.

Damit die europäische Cybersicherheitspolitik künftig nicht weiter der Grundlage der Rechtsstaatlichkeit (wie bei der Vorratsdatenspeicherung), mangelnder demokratischer Transparenz (wie bei ACTA) sowie Glaubwürdigkeit (wie bei dem Export von Überwachungstechnik) entbehrt, gibt die stellvertretende Leiterin der SWP- Forschungsgruppe EU-Außenbeziehungen mehrere Empfehlungen ab. Unter anderem fordert Bendiek von Bürgern und privaten Unternehmen die Weiterleitung von Cyberangriffen an staatliche Stellen oder die Aufdeckung der Anzahl und Qualität dieser Attacken. Damit soll das öffentliche Bewusstsein über die Bedrohungslage geschärft werden. Über diese und weitere Empfehlungen sowie ihre Kritik an der europäischen Cybersicherheitspolitik spricht politik-digital mit dem Cybersicherheitsexperten Dr. Sandro Gaycken.

politik-digital: Herr Gaycken, die Politikwissenschaftlerin Annegret Bendiek stellt in ihrer Studie erhebliche Mängel im demokratischen Verfahren der europäischen Cybersicherheitspolitik fest. Wo sehen Sie die größten Defizite?

Dr. Sandro Gaycken: Es gibt dort tatsächlich viele Inkonsistenzen und andere Probleme. Es gibt keine klaren Zuständigkeiten – das wird gerade noch ausgefochten. Und es herrscht wenig Transparenz in vielen Verfahren. Alles in allem eine chaotische Situation, zumindest im Moment noch. Einige Vorstöße sind dann tatsächlich sogar menschenrechtsfeindlich wie der Export von Überwachungstechnik an Regime. Es gibt aber auch immer wieder gute Einzelprojekte – das muss auch gesagt werden. Zum Teil haben einige Bereiche in der EU gute Arbeitsebenen, die vernünftige Dinge tun. Die kommen nur eben leider nicht immer zum Zug in diesen Fragen.

politik-digital: Bendiek postuliert, dass Parlamente – nationale wie supranationale – bei der Cybersicherheitspolitik marginalisiert werden. Versuchen Regierungen Ihrer Einschätzung nach, ihre Kenntnisse bewusst unter Verschluss zu halten?

Gaycken: Das ist nur zum Teil so, viel passiert auch recht transparent. Die deutsche Cybersicherheitspolitik etwa hat eine explizite Strategie und viele öffentlich bekannte Projekte und Stoßrichtungen. Wenn Dinge unter Verschluss gehalten werden, dann meist aus Sicherheitsgründen, wobei aber viele Berater und Forscher die Sicherheitsbedenken überzogen finden und für eine stärkere Veröffentlichung plädieren. Unter anderem weil dann ein ganz anderes Problembewusstsein entstünde. Ein anderer Grund für Zurückhaltung ist Inkompetenz. Viele Politiker, die das Thema nicht verstehen und keine sachkundigen Berater haben, halten sich dann lieber mit Äußerungen zurück, bevor sie auf irgendwelche Lobbyisten hereinfallen, und überlassen das Feld anderen.

politik-digital: Bendiek empfiehlt unter anderem eine globale Harmonisierung des Strafrechts, um rechtsfreie Räume bei Cyberkriminalität zu minimieren. Wäre dies eine effiziente Maßnahme zur Eindämmung anonymer Cyberattacken?

Gaycken: Eine globale Harmonisierung ist nur sehr schwer umzusetzen, außerdem müssen sie die rechtlichen Möglichkeiten auch mit organisatorischen und technischen Mitteln unterfüttern, also IT-Forensik und Cybercrime-Abteilungen weltweit aufbauen. Das wäre zwar wünschenswert, ist aber im Moment nicht realistisch. Abgesehen davon hat eine Harmonisierung des Strafrechts nichts mit Anonymität zu tun. Das sind zwei unterschiedliche Baustellen. Gegen Anonymität möglicher Täter hilft in geringem Maße rigorose Überwachung und in etwas höherem Maße konventionelle polizeiliche Ermittlungsarbeit von Fachabteilungen. Wie gesagt: Ermittler dazu aufbauen wäre dringend geraten. Bei Überwachung dagegen ist die Verhältnismäßigkeit meiner Meinung nach nicht gegeben, da man da nur die dümmsten Angreifer erwischt. Die sind aber gerade nicht so gefährlich, dass man dafür Privatheit im Netz aufgeben müsste.

politik-digital: Wie weit ist die europäische Cybersicherheitspolitik Ihrer Meinung nach im Vergleich zu den Großmächten USA oder China?

Gaycken: In den Kinderschuhen, mindestens fünf Jahre hinterher. Allerdings könnte Europa schnell aufholen und letztlich besser dastehen als die Großmächte, wenn es um passive Sicherheit geht. Wir haben gute Techniker, die passende Industrie und keine so hohen Widerstände in dieser Richtung.

politik-digital: Der enorme Widerstand der Bürger gegen die mangelnde demokratische Transparenz des EU-Parlaments hat ACTA erst auf nationaler und schließlich auf europäischer Ebene gekippt. Dürfen die Bürger in Zukunft mit mehr Einbindung rechnen?

Gaycken: Das ist sehr zu hoffen. Es ist natürlich in keiner Weise akzeptabel, dass Entscheidungen, bloß weil man Widerstände fürchtet, einfach still und heimlich durchgeschummelt werden. Das darf nicht noch einmal passieren.

politik-digital: Sie beraten die Bundesregierung in Fragen Cybersicherheitspolitik. Was sind Ihre wichtigsten Empfehlungen?

Gaycken: Meine Empfehlungen gehen konsequent dahin, objektiv risikoorientiert zu arbeiten und die passive Sicherheit radikal zu erhöhen, statt zu viel auf Überwachung zu setzen. Arbeitet man risikoorientiert, kann man sich Fehlinvestitionen in unsinnige “Lösungen” an falschen Stellen sparen und dann kann man eben im Bereich passiver Sicherheit noch unendlich viel tun. Da haben die Bemühungen noch nicht einmal richtig angefangen, weil viele das utopisch finden – vor allem natürlich die Lobbyisten derjenigen Firmen, die von einem konsequenten Abbau unsicherer IT monetär betroffen wären. Aber dieser Ansatz wäre aus Sicherheitsperspektive garantiert effektiver, er wäre 100 Prozent Privacy-verträglich, weil man sich dann die ohnehin ineffiziente Überwachung sparen kann. Und ein vollkommen neuer technologischer Ansatz, eine Reform der Computer nach Sicherheit wenn man so will, wäre auch ein unheimlicher Gewinn für Wissenschaft und Wirtschaft. Eine Win-Win-Win-Situation quasi. Aber eben gegen den Willen vieler Lobbyisten und auch einiger Nationen. Daher ist das schwierig durchzusetzen, wenn auch nicht unmöglich. Es gibt auch viel Zuspruch und wachsendes Verständnis. Über Details kann ich sonst natürlich nicht sprechen.