Professor Marco Gercke

"Die Behörden sind nicht in der Lage, mit der Internetkriminalität umzugehen"

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Warum wehrt sich die Wirtschaft so gegen eine allgemeinverbindliche Meldepflicht bei Datenverlusten? Und wie lassen sich Manager in IT-Security trainieren? Darüber haben wir mit Strafrechtsprofessor Marco Gercke gesprochen.

Wo stehen die deutschen Unternehmen beim Thema IT- und Cyber-Sicherheit?

Marco Gercke setzt auf verbesserte sichere Arbeitsabläufe in den Unternehmen.
Marco Gercke setzt auf verbesserte sichere Arbeitsabläufe in den Unternehmen.
Foto: privat

Marco Gercke : In technischer Hinsicht haben die meisten Unternehmen - Großunternehmen wie Mittelständler - die Zeichen der Zeit erkannt. In den Großunternehmen finden wir dezidierte Cyber-Security-Abteilungen, einige haben ihre eigenen Computer Emergency Response Teams (CERTs). Da sind die meisten gut aufgestellt. Was mitunter noch fehlt, ist die Erkenntnis, dass organisatorische Strukturen notwendig sind und bestimmte Prozesse eingehalten werden. Ein Beispiel: Ein Unternehmen hat ein geschlossenes IT-System für die Nutzung von Mobiltelefonen implementiert.

Nun kommt aber der Vorstand daher und möchte ein anderes Gerät haben, was nicht unterstützt wird. Dieser Wunsch zeigt, dass da häufig noch die Erkenntnis fehlt, dass es nicht nur rein technische Lösungen sind, sondern diese in ein Gesamtsystem eingebettet sein müssen. Das ist besonders im deutschen Mittelstand noch nicht komplett verankert. Das Bewusstsein ist da, es fehlt aber noch an den Leitlinien, wie eine Organisation ausgerichtet werden muss, damit eine Absicherung gegen Cyberangriffe besser gewährleistet ist.

Solche Wünsche kommen ja nicht von ungefähr, Stichwort Bedienkomfort der Geräte. Ist es nicht die IT, die hier zu unflexibel ist?

Marco Gercke: Ich möchte darauf hinaus, dass nicht mehr das Gerät der schwächste Punkt ist, den sich die Angreifer suchen. Früher war das so, weil es keine vorinstallierten Sicherheitslösungen gab, sondern diese erst nachträglich eingebaut werden mussten. Heute ist der Benutzer die große Schwachstelle. Schauen Sie sich die gehackten Twitter-Accounts der Associated Press und anderen an. Hier ging es in erster Linie um Phishing-Attacken, die mit der Unwissenheit des Nutzers spielen. Wir brauchen ein neues Bewusstsein und eine neue Art des Umgangs mit solchen Vorfällen.

In den vergangenen zwei Jahren haben wir hier einen Paradigmenwechsel feststellen können, sowohl in den USA als auch hier in Deutschland. Früher hat kein Unternehmen offen zugegeben, dass etwas geschehen ist, heute ist das anders. Die Telekom hat öffentlich gemacht, wie oft ihre Systeme angegriffen wurden, Thyssen ist zur Bundesregierung gegangen, auch andere. So entsteht ein Dialog, der sich auch um die menschlichen Schwachstellen dreht.