Manfred Kloiber: Die EU-Kommission will eine Meldepflicht für Cyberattacken in Europa einführen. Letzte Woche haben die EU-Kommissarinnen Neelie Kroes und Cecilia Malmström dazu ja eine neue Richtlinie vorgestellt. Und genau diese Richtlinie hat in dieser Woche für heftige Diskussionen gesorgt. Industrieunternehmen, Branchenverbände, Sicherheitsexperten und zahlreiche Wissenschaftler lehnen sie ab. Jetzt hat sich auch die Gesellschaft für Informatik, also quasi der Berufsverband der Computerwissenschaftler in Deutschland, in diese Diskussion eingeschaltet. Und es wurde sogleich gemeldet, die GI teile die ablehnende Haltung der Industrieverbände in Sachen Meldepflicht für Cyberattacken. Was ist dran an diesen Meldungen, Peter Welchering?
Peter Welchering: In erster Linie stimmen sie so nicht. Denn tatsächlich hat sich die Gesellschaft für Informatik sehr massiv in die Diskussion eingeschaltet. Aber die Position, die die GI-Vertreter da auch vertreten haben, heißt, die Meldepflicht für Cyber-Attacken greift viel zu kurz. Es muss eine Meldepflicht für Sicherheitslücken geben. Ansonsten kann keine Sicherheit gewährleisten. Und diese Sicherheitslücken müssen eben veröffentlicht und dann auch geschlossen werden. Und das unterscheidet sich natürlich ganz deutlich von der Position der Industrieverbände. Denn die lehnen ja eine Meldepflicht als solche ab, also generell. Die Computerwissenschaftler der GI wiesen fiel mehr darauf hin: So, wie diese Meldepflicht von der EU-Kommission konzipiert ist, so bringt sie überhaupt nichts. Sie täuscht Sicherheit nur vor und schafft ein EU-Bürokratiemonster zur Verwaltung von völlig unnötigen Meldedaten, mit denen dann kein Mensch mehr in Sachen Netz- oder Computersicherheit irgendetwas anfangen kann.
Kloiber: Angenommen, diese EU-weite Meldepflicht für Cyber-Attacken würde tatsächlich verabschiedet: Mit wie vielen Meldungen pro Tag muss man denn da überhaupt rechnen?
Welchering: Mit Millionen. Das hat Professor Hartmut Pohl, der Sprecher des Arbeitskreises "Datenschutz und IT-Sicherheit" der GI gestern einmal für uns durchgerechnet. Er kommt tatsächlich auf zwei Millionen Datensätze pro Tag und meint, das sei noch eine zurückhaltende Berechnung. Er geht von 40.000 relevanten Unternehmen in Europa aus, die melden müssten – Krankenhäuser, App-Stores, Verkehrsunternehmen, soziale Netze, auch alle Internetprovider. Und die durchschnittliche Angriffsfrequenz von größeren Unternehmen liegt erfahrungsgemäß, wenn man das mal in den vergangenen drei Jahre so ansieht, bei 100.000 Netzattacken pro Tag. Das macht eben zwei Millionen Datensätze. Und die kann natürlich niemand zeitnah auswerten. Das würde einfach nur eine immens teure und riesige ungenutzte Datenbank sein. Und diese Datenbank, die da geschaffen würde, würde eben auch keinen Fortschritt in Sachen Sicherheit biete, weil daraus eben keine Konsequenzen gezogen werden.
Kloiber: Die GI selbst fordert ja statt einer Meldepflicht für sicherheitsrelevante Angriffe eine Meldepflicht für Sicherheitslücken. Wie soll die denn aussehen?
Welchering: Diese Meldepflicht für die Sicherheitslücken soll ebenfalls europaweit stattfinden. Aber dann soll eben nicht einfach gemeldet werden, ich hatte hier eine Attacke und vermutlich steckt folgendes Angriffsprogramm dahinter, sondern es soll dann tiefer gegriffen werden. Denn jeder Angriff setzt ja eine Sicherheitslücke voraus, die ausgenutzt werden kann. Und genau auf solche Sicherheitslücken bauen ja eben Angriffsprogramme, sogenannte Exploits ja auch auf. Und deshalb lautet die Forderung der GI: Wann immer eine Sicherheitslücke entdeckt wird, müsse sie eben EU-weit gemeldet werden, möglichst genau beschrieben werden, damit öffentlich gemacht werden. Und nur damit können dann diese Sicherheitslücken natürlich auch zeitnah geschlossen werden. Denn in der Vergangenheit haben vor allen Dingen die Hersteller von Software solche Sicherheitslücken zwar zur Kenntnis genommen, aber außer dass sie gesagt haben 'schön, dass Sie uns das gemeldet haben' ist da nicht viel passiert. Und da wollen die Informatiker Druck ausüben, dass diese Sicherheitslücken dann eben auch wirklich von den Herstellern, von den Vertriebshäusern von Software, von den Programmieren geschlossen werden.
Kloiber: Die Forderung nach einer Veröffentlichungspflicht für diese Sicherheitslücken ist ja nicht neu. Schon 2009 hat die GI das vom Gesetzgeber in Deutschland gefordert. Ist eigentlich in der Zwischenzeit irgendetwas passiert?
Welchering: Also in Sachen Umsetzung eines solchen Gesetzesvorhabens ist gar nichts passiert. Allerdings wird jetzt auch gesagt: Innenminister Friedrich habe wohl auch, weil er auf der Münchner Sicherheitskonferenz eine solche Meldepflicht für Cyberattacken eingeführt hat, tatsächlich die EU-Kommission veranlasst, jetzt diese Richtlinie auch vorzulegen. Und Friedrich selbst stellt sich auch für eine Meldepflicht für Cyberattacken natürlich sehr stark in die Bresche. Aber er sagt auch gleichzeitig: Sicherheitslücken – da muss man genau hingucken, ob das überhaupt funktioniert. Es gab aber damals, 2009, eine sehr heftige Reaktion von Sicherheitsbehörden und Geheimdiensten. Und die ging so ungefähr in die Richtung, dass die sagten, um Gotteswillen, wie sollen wir denn als Sicherheitsbehörde oder als Geheimdienst die Systeme auskundschaften und beobachten, wenn es denn eine Pflicht zur Veröffentlichung von solchen Sicherheitslücken gibt. Denn diese Sicherheitslücken werden dann ja unter Umständen geschlossen. Und unserer Programme, unserer Spionageprogramme, nutzen ja gerade diese Lücken aus. Und die könnten wir dann vergessen. Wir müssten neue programmieren und in Auftrag geben. Und zur Erinnerung: Die bisher schon mal eingesetzten Staatstrojaner nutzten ja auch Sicherheitslücken, die teilweise sogar bis zu sieben Jahre alt waren. Und die waren alle in den Fachkreisen bekannt, aber eben nicht veröffentlicht und deshalb auch nicht geschlossen. Deshalb sind auch Sicherheitsbehörden, Sicherheitskreise sehr zurückhaltend, wenn es um die Meldepflicht für Sicherheitslücken geht, weil sie damit einen Teil ihrer Geschäftstätigkeit einfach gefährdet sehen.
Zum Themenportal "Risiko Internet"
Peter Welchering: In erster Linie stimmen sie so nicht. Denn tatsächlich hat sich die Gesellschaft für Informatik sehr massiv in die Diskussion eingeschaltet. Aber die Position, die die GI-Vertreter da auch vertreten haben, heißt, die Meldepflicht für Cyber-Attacken greift viel zu kurz. Es muss eine Meldepflicht für Sicherheitslücken geben. Ansonsten kann keine Sicherheit gewährleisten. Und diese Sicherheitslücken müssen eben veröffentlicht und dann auch geschlossen werden. Und das unterscheidet sich natürlich ganz deutlich von der Position der Industrieverbände. Denn die lehnen ja eine Meldepflicht als solche ab, also generell. Die Computerwissenschaftler der GI wiesen fiel mehr darauf hin: So, wie diese Meldepflicht von der EU-Kommission konzipiert ist, so bringt sie überhaupt nichts. Sie täuscht Sicherheit nur vor und schafft ein EU-Bürokratiemonster zur Verwaltung von völlig unnötigen Meldedaten, mit denen dann kein Mensch mehr in Sachen Netz- oder Computersicherheit irgendetwas anfangen kann.
Kloiber: Angenommen, diese EU-weite Meldepflicht für Cyber-Attacken würde tatsächlich verabschiedet: Mit wie vielen Meldungen pro Tag muss man denn da überhaupt rechnen?
Welchering: Mit Millionen. Das hat Professor Hartmut Pohl, der Sprecher des Arbeitskreises "Datenschutz und IT-Sicherheit" der GI gestern einmal für uns durchgerechnet. Er kommt tatsächlich auf zwei Millionen Datensätze pro Tag und meint, das sei noch eine zurückhaltende Berechnung. Er geht von 40.000 relevanten Unternehmen in Europa aus, die melden müssten – Krankenhäuser, App-Stores, Verkehrsunternehmen, soziale Netze, auch alle Internetprovider. Und die durchschnittliche Angriffsfrequenz von größeren Unternehmen liegt erfahrungsgemäß, wenn man das mal in den vergangenen drei Jahre so ansieht, bei 100.000 Netzattacken pro Tag. Das macht eben zwei Millionen Datensätze. Und die kann natürlich niemand zeitnah auswerten. Das würde einfach nur eine immens teure und riesige ungenutzte Datenbank sein. Und diese Datenbank, die da geschaffen würde, würde eben auch keinen Fortschritt in Sachen Sicherheit biete, weil daraus eben keine Konsequenzen gezogen werden.
Kloiber: Die GI selbst fordert ja statt einer Meldepflicht für sicherheitsrelevante Angriffe eine Meldepflicht für Sicherheitslücken. Wie soll die denn aussehen?
Welchering: Diese Meldepflicht für die Sicherheitslücken soll ebenfalls europaweit stattfinden. Aber dann soll eben nicht einfach gemeldet werden, ich hatte hier eine Attacke und vermutlich steckt folgendes Angriffsprogramm dahinter, sondern es soll dann tiefer gegriffen werden. Denn jeder Angriff setzt ja eine Sicherheitslücke voraus, die ausgenutzt werden kann. Und genau auf solche Sicherheitslücken bauen ja eben Angriffsprogramme, sogenannte Exploits ja auch auf. Und deshalb lautet die Forderung der GI: Wann immer eine Sicherheitslücke entdeckt wird, müsse sie eben EU-weit gemeldet werden, möglichst genau beschrieben werden, damit öffentlich gemacht werden. Und nur damit können dann diese Sicherheitslücken natürlich auch zeitnah geschlossen werden. Denn in der Vergangenheit haben vor allen Dingen die Hersteller von Software solche Sicherheitslücken zwar zur Kenntnis genommen, aber außer dass sie gesagt haben 'schön, dass Sie uns das gemeldet haben' ist da nicht viel passiert. Und da wollen die Informatiker Druck ausüben, dass diese Sicherheitslücken dann eben auch wirklich von den Herstellern, von den Vertriebshäusern von Software, von den Programmieren geschlossen werden.
Kloiber: Die Forderung nach einer Veröffentlichungspflicht für diese Sicherheitslücken ist ja nicht neu. Schon 2009 hat die GI das vom Gesetzgeber in Deutschland gefordert. Ist eigentlich in der Zwischenzeit irgendetwas passiert?
Welchering: Also in Sachen Umsetzung eines solchen Gesetzesvorhabens ist gar nichts passiert. Allerdings wird jetzt auch gesagt: Innenminister Friedrich habe wohl auch, weil er auf der Münchner Sicherheitskonferenz eine solche Meldepflicht für Cyberattacken eingeführt hat, tatsächlich die EU-Kommission veranlasst, jetzt diese Richtlinie auch vorzulegen. Und Friedrich selbst stellt sich auch für eine Meldepflicht für Cyberattacken natürlich sehr stark in die Bresche. Aber er sagt auch gleichzeitig: Sicherheitslücken – da muss man genau hingucken, ob das überhaupt funktioniert. Es gab aber damals, 2009, eine sehr heftige Reaktion von Sicherheitsbehörden und Geheimdiensten. Und die ging so ungefähr in die Richtung, dass die sagten, um Gotteswillen, wie sollen wir denn als Sicherheitsbehörde oder als Geheimdienst die Systeme auskundschaften und beobachten, wenn es denn eine Pflicht zur Veröffentlichung von solchen Sicherheitslücken gibt. Denn diese Sicherheitslücken werden dann ja unter Umständen geschlossen. Und unserer Programme, unserer Spionageprogramme, nutzen ja gerade diese Lücken aus. Und die könnten wir dann vergessen. Wir müssten neue programmieren und in Auftrag geben. Und zur Erinnerung: Die bisher schon mal eingesetzten Staatstrojaner nutzten ja auch Sicherheitslücken, die teilweise sogar bis zu sieben Jahre alt waren. Und die waren alle in den Fachkreisen bekannt, aber eben nicht veröffentlicht und deshalb auch nicht geschlossen. Deshalb sind auch Sicherheitsbehörden, Sicherheitskreise sehr zurückhaltend, wenn es um die Meldepflicht für Sicherheitslücken geht, weil sie damit einen Teil ihrer Geschäftstätigkeit einfach gefährdet sehen.
Zum Themenportal "Risiko Internet"