Professor Marco Gercke
"Die Behörden sind nicht in der Lage, mit der Internetkriminalität umzugehen"
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Wo die Know-How-Träger sitzen
Wie weit sind wir in der internationalen Zusammenarbeit von Politik und Wirtschaft in Bezug auf den Schutz kritischer Infrastrukturen vor Cyberattacken?
Marco Gercke: Kritische Infrastruktur hängt von Computersystemen ab und ist damit auch angreifbar. Wir müssen aber realistisch an das Thema herangehen. Ich habe mich für die NATO mit dem Thema "Angriffe auf kritische Transport-Infrastruktur" auseinandergesetzt und kann Ihnen sagen: Ein umfallender Baum ist immer noch eine größere Gefahr für den Schienenverkehr als ein Cyberangriff.
Selbstverständlich ist denkbar, dass eins zum anderen führt und deshalb müssen wir uns mit diesen Szenarien beschäftigen. Und sie passieren auch, siehe den Angriff auf Stromnetze in den USA. Ob das Ausfall eines Systems zum Ausfall des anderen führt und so weiter, ist aber fraglich. Im Einzelfall möglich, allgemein aber nicht, weil nach wie vor viele unterschiedliche Systeme im Einsatz sind. Auch andere Gegebenheiten können zu Systemausfällen führen - ich sage nur Hochwasser.
Foto: Deutsche Telekom AG / Norbert Ittermann
Die Unternehmen beschäftigen sich dennoch sehr intensiv mit den Gefahren durch Angriffe auf kritische IT-Infrastrukturen und haben hier in den vergangenen Jahren viel Zeit und Ressourcen investiert. Da die meisten kritischen Infrastrukturen nicht in den Händen des Staates, sondern in denen von Unternehmen liegt, müssen sie das aber auch - schon aus Eigeninteresse.
Die Frage ist vielmehr, wie sich das Gleichgewicht zwischen staatlicher Regulierung und Selbstregulierungsansätze der Industrie herstellen lässt. Es gibt derzeit weltweit sehr verschiedene Ansätze, es wird sich mit der Zeit auspendeln. Das Know-how befindet sich definitiv in den Reihen der Industrie, der Politik fehlt die Expertise. Dieser kommt hingegen eher die internationale Koordinierung der Aktionen zu - wie beispielsweise das EC3 in Den Haag (European Cybercrime Center) zeigt. Die Idee dahinter ist gut, lässt aber noch viel Raum für Verbesserungen. Wenn Täter und Opfer im Bereich Internetkriminalität beispielsweise aus verschienen Ländern kommen, hat immer der Täter einen Vorteil, weil sich die länderübergreifende Koordination der Ermittlungstätigkeit von Behörden immer noch sehr schwierig gestaltet. Zudem ist das Ganze noch sehr klein gedacht, die Internetkriminalität findet ja nicht nur in Europa statt, sondern weltweit.
Was soll dann das NCAZ (Nationale Cyber-Abwehrzentrum) bei uns in Deutschland, das einen noch kleineren Zugriffsbereich besitzt?
Marco Gercke: Es ist nicht seine Aufgabe, Abgriffe abzuwehren. Es geht darum, die Koordination verschiedener Behörden sicherzustellen. Ein- und derselbe Angriff wie beispielsweise ein Computervirus kann eine Straftat sein - somit wären die Strafverfolgungsbehörden zuständig. Wenn das Virus aber von einer terroristischen Organisation stammt, wären ganz andere Behörden zuständig. Gesetz den Fall, das ein Staat dahinter steckt, wieder andere. Deshalb ist die gemeinsame Betrachtung und dynamische Informationsweitergabe durch eine zentrale Stelle ganz wichtig.