Professor Marco Gercke

"Die Behörden sind nicht in der Lage, mit der Internetkriminalität umzugehen"

15.07.2013
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Weitere Artikel des Autors

Pro und Contra Meldepflicht

Warum wehrt sich die Industrie dann trotzdem gegen eine allgemeinverbindliche Meldepflicht für Datenverluste?

Geht es nach Bundesinnenminister Hans-Peter Friedrich, kommt die gesetztliche Meldepflicht für alle schon bald.
Geht es nach Bundesinnenminister Hans-Peter Friedrich, kommt die gesetztliche Meldepflicht für alle schon bald.
Foto: BMI

Marco Gercke: Die Unternehmen tauschen sich untereinander offen aus. Die diskutierten gesetzlichen Meldepflichten sehen hingegen so aus, dass eine Meldung an eine staatliche Behörde vorgeschrieben wird, ohne dass ein Austausch innerhalb der IndustrieIndustrie stattfindet. In Bezug auf personenbezogene Daten gibt es eine solche Vorschrift bereits. Die Behörden sind aber auch jetzt schon nicht in der Lage, mit dem Thema Internetkriminalität umzugehen. Machen Sie doch den Test und gehen Sie zur Polizei, um eine Straftat zu melden. Top-Firmen der Branche Industrie

Dann werden die Beamten ihre Formulare aus dem Schrank holen und fragen, worum es sich handelt. Ihre Antwort: "Ich habe ein Computervirus". Was passiert? In dem meisten Fällen werden Sie wohl nach Hause geschickt. Nach §303a Strafgesetzbuch ist das Verändern von Daten auf Ihrem Rechner jedoch eine Straftat. Deshalb müsste es eigentlich verfolgt werden. In der polizeilichen Kriminalstatistik von 2010 hatten wir 1987 Fälle von Datenmanipulation, Eurostat erzählt gleichzeitig jedoch, dass rund zwölf Millionen Deutsche ein Computervirus haben. Die Zahlen passen nicht zusammen.

Deshalb meine Frage: Was bringt es, einer staatlichen Stelle etwas zu melden? Wenn diese Stelle in der Lage wäre, mit den Informationen auch wirklich etwas zu tun, könnten wir meiner persönlichen Meinung nach darüber diskutieren. Deshalb sollten wir den Dialog untereinander fördern. Wenn Unternehmen A montags angegriffen wird und direkt die anderen Unternehmen informiert, ist Unternehmen B dienstags in der Lage, den Angriff abzuwehren. Wenn Unternehmen A es stattdessen am Montag der staatlichen Stelle meldet und die die Information zwei Wochen für sich behält, wird Unternehmen B am Dienstag erfolgreich angegriffen, Unternehmen C am Mittwoch und so weiter.

Also das gleiche Prinzip wie bei den Cloud-Intelligence-Modellen der Security-Dienstleister, die die Bedrohungsdaten der Kunden zentral einsammeln und ihre Produkte damit automatisch verbessern. Was halten Sie von diesem Ansatz?

Marco Gercke: Es ist natürlich eine Möglichkeit, die Echtzeit-Kommunikation auszunutzen und "live" zu patchen. Die Bandbreite der Angriffe zeigt jedoch, was das für einen Aktualisierungsaufwand bedeutet. Wir müssen das Thema Cybersecurity schließlich auch nicht nur für den deutschen Mittelständler betrachten, sondern beispielsweise auch für Unternehmen in Entwicklungsländern. Die Zahl der Schadsoftware, die jeden Tag entdeckt wird, ist so groß, dass es in diesen Ländern technisch gar nicht möglich ist, die Informationen darüber regelmäßig herunterzuladen. Es ist daher immer zu überlegen, was wir selbst und was wir weltweit implementieren und nutzen können.

Zur Startseite