Petra Ensminger: In erster Lesung haben die Abgeordneten heute auch über ein neues IT-Gesetz beraten, ein Gesetz zur Sicherheit in der Informationstechnologie. Wie sollen Computersysteme wichtiger Unternehmen oder Behörden gesichert werden, wenn etwa Hacker versuchen, dort einzudringen?

Helfen diese bundesweiten Standards für Firmen in der Informationstechnik tatsächlich? Darüber habe ich vor der Sendung mit Professor Thorsten Holz gesprochen. Er leitet den Lehrstuhl Systemsicherheit an der Ruhruniversität Bochum. Der Innenminister hat es gesagt: Der technische Fortschritt hat uns auch verwundbarer gemacht. Ist die Bedrohung tatsächlich größer geworden?

Thorsten Holz: Ich denke, heutzutage erkennen wir einfach mehr solche Angriffe und es wird auch mehr über solche Angriffe berichtet.
Ich denke jetzt nicht, dass es so ist, dass wir viel mehr Angriffe jetzt beobachten. Solche Angriffe gab es früher nämlich auch. Früher wurden die einfach nur intern aufgeklärt, intern wurde das behandelt und es wurde einfach nicht damit an die Presse gegangen.
Das ist jetzt etwas, was sich ändert. Wir sind mehr sensibilisiert für das Ganze Thema und entsprechend ist es auch viel präsenter heutzutage.

Ensminger: Bekommen denn tatsächlich auch die Unternehmen immer mit, wenn sie angegriffen werden?

Holz: Studien zeigen, dass Unternehmen häufig erst nach Wochen, teilweise erst nach Monaten merken, dass ein Angriff überhaupt erfolgreich war. Teilweise merken sie das selbst, oder teilweise bekommen sie von außen eine Meldung, zum Beispiel von irgendwelchen anderen Sicherheitsteams, dass sie dann erst quasi benachrichtigt werden, dass bei ihnen ein Vorfall war, und erst dann kann natürlich die Aufklärung beginnen.

Ensminger: Wenn man das genau so betrachtet, wie Sie das gerade geschildert haben, muss man dann sagen, dass die Unternehmen zu naiv an die Sache herangehen, oder ist es womöglich auch ein Bangemachen der einschlägigen Sicherheitsbranche, die ja an der Angst vor Hackerangriffen auch verdient?

Holz: Ich denke nicht, dass die Unternehmen unbedingt naiv sind. Das technische Niveau von den Angriffen ist auch teilweise sehr hoch. Die Angreifer wollen natürlich möglichst unauffällig sich in dem Unternehmensnetz bewegen, entsprechend ist der Angriff nicht unbedingt sehr auffällig, und sobald sie dann die ersten Computer kompromittiert haben, versuchen sie, natürlich nach und nach mehr und mehr Computer unter ihre Kontrolle zu bekommen, dort Informationen zu stehlen, aber gleichzeitig natürlich möglichst unauffällig zu bleiben.
Entsprechend ist die Entdeckung von solchen Vorfällen nicht trivial und entsprechend dauert es häufig auch etwas länger, bis ein Unternehmen überhaupt etwas merkt.

Ensminger: Sie haben es schon angesprochen: Zuletzt ist der eine oder andere Fall tatsächlich auch populär bekannt geworden, wie etwa Sony. Wenn wir aber dann auch auf das schauen, was die Bundesregierung jetzt erreichen will, dass sie vor allem auf der kritischen Infrastruktur das Augenmerk jetzt setzen will, also Energienetze, Wasserversorgung, das Gesundheitswesen, die Finanzwirtschaft, aber auch der Verkehr, da sind überall ja tatsächlich verwundbare Punkte, dadurch, dass es viele computergesteuerte Möglichkeiten gibt.
Was kann denn da konkret ein Hacker anrichten, wenn er richtig böse Absichten hat, etwa bei den Energieversorgern? Wir haben ja gerade die Sonnenfinsternis erlebt, wo schon Unruhe kam, weil man Angst hatte, dass da möglicherweise Störungen entstehen. Was kann denn dann ein Hacker erst anrichten?

Holz: Letztes Jahr im April hat eine Berliner Firma demonstriert, wie ein erfolgreicher Angriff aussehen kann. Im Rahmen eines sogenannten Penetrationstests haben sie die Stadtwerke in Ettlingen angegriffen, dort simuliert, was ein richtiger Angreifer auch tun könnte, und sie konnten wirklich die Versorgung abschalten.

Ensminger: Das heißt, man muss damit rechnen, dass es tatsächlich einen Stromausfall gibt, oder die Versorgung regional zumindest zusammenbrechen kann?

Holz: Theoretisch ist vieles denkbar.

Ensminger: Nun also dieser Entwurf zu einem IT-Sicherheitsgesetz, der heute zum ersten Mal im Bundestag dann auch Thema war. Er sieht ja vor, dass Betreiber wichtiger Infrastruktureinrichtungen einen Mindeststandard an IT-Sicherheit einhalten und erhebliche Sicherheitsvorfälle sollen dann an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden. Das klingt dennoch vage. Da ist von Mindeststandard die Rede und von erheblichen Sicherheitsvorfällen. Ist das zu vage?

Holz: Der Gesetzentwurf ist auf jeden Fall sehr vage gehalten. Es ist ja so, dass die einzelnen Branchen sich selber Pflichten auferlegen sollen, welche Standards erfüllt werden sollen, und welche Vorfälle genau gemeldet werden sollen, ist auch noch nicht spezifiziert. Und das ist etwas, wo der erste Entwurf doch deutlich weitergegangen ist. Im ersten Entwurf waren die Vorgaben deutlich stärker. Das ist jetzt auf jeden Fall sehr stark aufgeweicht. Wie dann die praktische Umsetzung aussieht, werden später erst irgendwelche Verordnungen regeln.

Ensminger: Also würden Sie sagen, dass das, was jetzt vorliegt, noch nicht ausreichend ist?

Holz: Ich denke, es sollte mehr getan werden, weil gerade diese Offenlegung von Vorfällen sorgt erst mal für eine Sensibilisierung, und vielleicht sollte man auch nicht nur die kritischen Infrastrukturen mit einbeziehen, sondern auch die Behörden selber, weil das natürlich eigentlich auch Teil der kritischen Infrastruktur von Deutschland ist. Und es gibt sicherlich auch viele weitere Bereiche, wo es sinnvoll wäre, solche Vorfälle zu melden, um einfach das Bewusstsein für Angriffe zu verbessern.

Ensminger: Müsste der Staat zumindest, was das Informieren von Vorfällen angeht, als gutes Beispiel vorangehen?

Holz: Genau.

Ensminger: Es gibt Kritiker, die sagen, das Ganze ist nicht mehr als ein Placebo. Würden Sie so weit gehen?

Holz: Nein. Ich denke, es ist schon ein guter erster Schritt. Ich denke, es ist einfach viel besser als das, was wir jetzt gerade haben. Wir haben Regeln, die zwar noch etwas lax sind, aber wenigstens haben wir Regeln. Ich denke, man muss noch nachbessern, um diese Regeln deutlicher zu machen, vermutlich die Regeln auch noch in späteren Schritten anheben. Aber ich glaube, das ist ein guter Schritt in die richtige Richtung.

Ensminger: Ein weiterer Kritikpunkt ist die Rolle des Bundesamtes für Sicherheit in der Informationstechnik, das ja eine Art Schaltstelle sein soll, eine zentrale Rolle spielen soll als Informations-Sammelstelle. Aber der Staat werde hier zum Datensammler, weil große Datenmengen ja immer Begehrlichkeiten wecken. Das haben wir gelernt. Also auch hier wieder Datensicherheit gegen Datenschutz?

Holz: Nein, ich glaube nicht. Ich glaube, man braucht eine zentrale Stelle, wo diese Daten gesammelt werden und aufbereitet sind, weil man braucht quasi einen zentralen Punkt, wo man dann Analysen durchführen kann, wo man bestimmte Muster sieht, wo man sieht, wie welche Branchen angegriffen werden, um so entsprechend auch Schutzmechanismen besser entwickeln zu können.

Ensminger: Professor Thorsten Holz von der Ruhruniversität Bochum über das geplante IT-Sicherheitsgesetz.