"Der 'Krieg' im Cyberraum tobt nicht irgendwo 'da draußen', sondern auf dem eigenen Smartphone"

Thomas Tschersich ist Chief Security Officer der Deutschen Telekom. Er war Podiumsgast bei der zebis-Veranstaltung „Cyberwar: Ein Angriff auf Freiheit und Demokratie?“ 2018 in Köln. Zur aktuellen Ausgabe von „Ethik und Militär“ über die „Konfliktzone Cyberspace“ hat er der Redaktion einige Fragen beantwortet.

Herr Tschersich, auf der Podiumsdiskussion des zebis zum Thema Cyberwar 2018 in Köln waren Sie als einziger Panelteilnehmer der Meinung, angesichts der Vielzahl und Qualität von Cyberattacken weltweit könne man von einem „Krieg“ im Cyberraum sprechen. Sehen Sie das auch heute noch so?
Absolut. Nüchtern betrachtet hat bereits heute knapp jeder zweiter Mensch Zugang zum Internet. Hinzu kommen Milliarden von Connected Devices, die also weltweit genutzt werden – Tendenz steigend. Bereits 2020 soll die Marke von 50 Milliarden Connected Devices geknackt werden. Diese zunehmende Vernetzung (Internet of Things) und Digitalisierung führt jedoch automatisch auch zu mehr Schwachstellen. Und genau darauf haben es Cyberkriminelle abgesehen. Angriffe erfolgen heute professioneller und automatisierter als je zuvor. Ist also eine Lücke vorhanden, wird diese auch ausgenutzt. Die Frage ist weniger ob, sondern vielmehr wann ein Angriff passiert und unter welchen Bedingungen. Die Anzahl an Phishing-E-Mails mit Schadsoftware, Erpressungstrojaner & Co. nimmt ständig zu und Angriffe werden deutlich aggressiver und raffinierter. Deshalb sollten sich Unternehmen und Privatpersonen darüber bewusst werden und dementsprechend agieren. Der „Krieg“ im Cyberraum tobt nicht irgendwo „da draußen“, sondern auf dem eigenen Smartphone, dem Rechner oder auch Babyphone. Das gilt für mich trotz der Tatsache, dass Krieg völkerrechtlich anders definiert ist, aber wir müssen auch zur Kenntnis nehmen, dass es zu der Zeit der Definition auch noch keine digitale Welt gab, wie wir sie heute sehen.

Sie haben damals betont, wie sehr wir angreifbar sind – jeder Einzelne als Privatperson ebenso wie öffentliche Institutionen und Unternehmen. Hat sich seither etwas geändert beziehungsweise sehen Sie positive Ansätze?
Nein, die Situation ist immer noch dieselbe – und das wird sich in absehbarer Zeit vermutlich auch nicht ändern. Es lassen sich aber positive Entwicklungen erkennen, beispielsweise wird die Bedrohungslage von Unternehmen zunehmend ernst genommen: Wurden Datenangriffe 2018 von Unternehmen noch als viertgrößtes Geschäftsrisiko bewertet, so ist das Thema heute bereits um zwei Plätze nach oben gewandert. Unternehmen begreifen also, wenn auch langsam, dass sie hier aktiv werden müssen, und sind dementsprechend auch bereit, Investitionen für die Unternehmenssicherheit zu tätigen. Bei den Privatpersonen hat sich das Bild leider verfestigt. Während im Jahr 2018 noch knapp 8 Milliarden etwaiger digitaler Identitäten im Darknet zirkulierten, konnten wir in diesem Jahr bis Ende Mai 2019 bereits einen Anstieg auf 10 Milliarden registrieren. In den vergangenen Monaten hat das Sicherheitsteam der Telekom teilweise über 100.000 Kunden pro Monat kontaktiert und ihnen dabei geholfen, wieder die Kontrolle über ihre Zugänge zu erhalten, beispielsweise durch einen Passwortwechsel.

Um Sicherheitslücken besser zu schließen, bräuchte es nach Meinung vieler eine Art umfassende „digitale Aufklärung“. Kann das überhaupt in kurzer Zeit gelingen? Welche Verantwortung, welche Pflichten haben hierbei Ihrer Meinung nach die Bürger (welche die Wirtschaft und der Staat)? Konkret gefragt: Muss man beispielsweise das Portal „BSI für Bürger“ des Bundesamtes für Sicherheit in der Informationstechnik zur Pflichtlektüre erklären?
Ein Portal wie „BSI für Bürger“ ist sicherlich hilfreich, aber kein Allheilmittel. Um wirklich etwas zu verändern, brauchen wir mehr Sicherheitsbewusstsein und mehr digitale Kompetenzen. Und das gilt für alle Altersgruppen: von den Schülern bis zu den Senioren. Keiner soll zurückbleiben. Besonderer Schwerpunkt liegt bei den Schulen. Da müssen wir mehr tun. Das ist eine Investition in die Zukunft und die kostet auch Geld. IT-Sicherheit ist vielfältig und kann letztendlich nur durch eine starke Kooperation von Staat und Privatwirtschaft gemeinsam bewältigt werden. Nicht zu vergessen die Medien, sie
müssten das Thema anders als bisher aufgreifen und nicht nur über Gefahren berichten, sondern viel häufiger Lösungswege aufzeigen.

Wie steht es Ihrer Meinung nach um die „Awareness“ der Unternehmen? Trotz bestehender Transparenz- und Sorgfaltspflichten heißt es immer wieder, dass beispielsweise Cyberangriffe und Datendiebstahl – etwa aus Angst vor Imageverlust – nicht gemeldet werden.
Es darf nicht sein, dass Unternehmen durch einen Angriff zwei Mal zum Opfer werden: Einerseits durch die unmittelbaren Auswirkungen des Angriffs und andererseits durch die öffentliche Stigmatisierung, wenn der Angriff bekannt wird. So kommen wir nicht weiter! Oftmals ist es nur reine Glückssache, ob ein Unternehmen Opfer eines Cyberangriffs wird oder davon verschont bleibt. Und uns allen muss klar sein, dass niemand die Komplexität von Cyber Security alleine bewältigen kann. Cyberkriminelle sind absolute Profis und haben immer den Vorteil, dass Sie nur eine Schwachstelle finden müssen, um ans Ziel zu kommen. Diesen Vorteil können wir als Unternehmen nur aufholen, wenn wir uns gegenseitig warnen und voneinander lernen. Mit dem Finger auf andere zeigen ist keine Lösung und bringt niemanden weiter. Wir brauchen eine enge Zusammenarbeit von Unternehmen und Behörden untereinander und übergreifend, wie sie zum Beispiel zwischen dem Bundesamt für Sicherheit in der Informationstechnik und der Telekom praktiziert wird. Durch einen intensiven Austausch kann sichergestellt werden, dass Sicherheitsvorkehrungen schneller getroffen werden. In diesem Zusammenhang sind auch klare Zuständigkeiten auf staatlicher Seite erforderlich, denn Cyberangriffe lassen sich nicht nach bestimmten Kriterien (kriminell/kriegerisch, Staat/Wirtschaft) trennen.

Die Autoren der neuen Ausgabe von „Ethik und Militär“ zum Thema „Konfliktzone Cyberspace“ schätzen die Folgen eines Angriffs auf sogenannte kritische Infrastrukturen sehr unterschiedlich ein. Für wie wahrscheinlich und bedrohlich halten Sie eine Attacke auf vitale Bereiche von Staat und Gesellschaft hierzulande?
Cyberangriffe auf Staaten und kritische Infrastrukturen sind längst keine Fiktion mehr – auch nicht hier. Die Hackerangriffe auf Betreiber kritischer Infrastrukturen – darunter auch auf das Stromnetz – haben zuletzt deutlich zugenommen.
In Deutschland werden zu den Betreibern kritischer Infrastrukturen Organisationen und Einrichtungen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur gezählt. Online-Angriffe, die kritische Infrastrukturen wie Kraftwerke lahmlegen, sind ein Schreckensszenario für einen Cyberkrieg. Die konkreten Auswirkungen, Schäden und Langzeitfolgen eines etwaigen erfolgreichen Angriffs sind nur schwer abzuschätzen.
Das Thema muss deshalb auf politischer Ebene noch viel stärker verankert werden, auch wenn Cybersicherheit eine gesamtstaatliche Aufgabe ist, die eine Zusammenarbeit über politische Ressortgrenzen hinweg erfordert.

Russland hat Anfang Mai ein Gesetz verabschiedet, mit dem es sich durch den Aufbau eines sogenannten RuNets gegen Attacken aus dem Internet immunisieren will; der innerrussische Datenverkehr soll dadurch jederzeit aufrechterhalten werden. Könnten Sie das technisch kurz einordnen? Welche Konsequenzen hat eine solche Lösung?
Offiziell wird mit dem Gesetzentwurf das Ziel verfolgt, das Internet innerhalb Russlands zu schützen, indem der russische Internetverkehr nur innerhalb Russlands geroutet wird. Heute läuft ein Großteil des russischen Internetverkehrs über ausländische Server. Das Gesetz würde es ermöglichen, den Internetverkehr in Russland von Servern im Ausland abzutrennen. Dazu sollen die Telekommunikationsunternehmen technische Maßnahmen ergreifen, jeglichen russischen Traffic über Austauschpunkte zu routen, die von der russischen Aufsichtsbehörde für Massenmedien, Telekommunikation und Datenschutz kontrolliert werden. Die staatlichen Internetkontrolleure sollen dann sicherstellen, dass sämtlicher Traffic zwischen russischen Internetnutzern im Land bleibt und nicht über ausländische Server läuft, wo die Informationen möglicherweise abgefangen werden können. Die technische Umsetzung ist zwar aufwendig und teuer, lässt sich aber durchaus realisieren. Für die Nutzer könnte das zur Folge haben, dass dann nur noch nationale Inhalte, Angebote und Dienste erreicht werden können, oder nur solche, die freigegeben wurden.
Grundsätzlich finde ich aber die Idee, dass Daten beim Transport durch das Internet keine Umwege durch andere Rechtsräume nehmen sollen, nicht verkehrt. Auch in Europa bräuchten wir eine Debatte dazu auf der politischen Ebene. Warum sollte beispielsweise eine E-Mail, die von Berlin nach München gesendet wird, nicht auf dem kürzesten Weg transportiert werden? Mit der Post machen wir das doch auch nicht anders. Kritisch wird ein solches System, wenn es zur Zensur und Kontrolle von Einzelnen benutzt wird.

Herr Tschersich, vielen Dank für das Interview!

Die Fragen stellte Rüdiger Frank