Home Kontakt Standorte Hilfe German

Metzler meets Fraunhofer

Cyberkriminalität und IT-Sicherheit

Laden Sie sich das Gespräch zwischen Prof. Peter Martini und Dr. Johannes Reich als PDF-Datei herunter (pdf, 396 KB)

mehr

Metzler meets Fraunhofer

Cyberkriminalität und IT-Sicherheit

Das Internet hat sich zum Motor des gesellschaftlichen und wirtschaftlichen Fortschritts entwickelt. Die heutige IT ist vernetzt, komplex und inzwischen allgegenwärtig – und mit zunehmender Vernetzung steigt auch die Anfälligkeit für digitale Angriffe.

Professor Peter Martini, Leiter des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie, und Dr. Johannes Reich, Mitglied des Partnerkreises B. Metzler seel. Sohn & Co. Holding AG und zuständig für den Bereich Informationstechnologie des Bankhauses Metzler, sprachen anlässlich der gemeinsamen Veranstaltung „Metzler meets Fraunhofer“ im Mai 2015 über Cyberkriminalität und IT-Sicherheit.

Lässt sich Cyberkriminalität in wenigen Sätzen definieren?
Martini: Ich würde mich an der Definition des Bundeskriminalamts orientieren. Demnach umfasst Cyberkriminalität alle Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten und die mittels dieser Informationstechnik begangen werden. Insbesondere umfasst dies also auch Straftaten, deren Auswirkung über das Internet bzw. Datennetze hinausgehen.
Reich: Für mich ist Cyberkriminalität das Segment der – meist organisierten – Kriminalität in dem sich die schwer auszumachenden Täter primär vernetzter Datensysteme bedienen, um kriminelle – oft schwerstkriminelle – Ziele zu erreichen.   

Wer sind heute die Täter, wer die Opfer von Cyberkriminalität?
Martini: Insgesamt ist das Feld Cyberkriminalität sehr heterogen. Entsprechend unterschiedlich sind auch die Opfer von Cyberkriminalität. Es betrifft sowohl den einfachen Bürger, der über Massen-Malware infiziert und letztlich um sein Geld betrogen wird, als auch Unternehmen, die gezielt Spionage durch bezahlte Hacker unterliegen. Auch auf der Angreiferseite gibt es eine große Bandbreite. Zum einen in puncto Qualität der Angriffe und zum anderen hinsichtlich der Professionalität der Angreifer. Bei den professionell organisierten Banden weisen beispielsweise derzeit viele Spuren in den osteuropäischen Raum.

Wie kommt man den Kriminellen auf die Spur?
Martini: Zu Ermittlung und Ermittlungsverfahren im Cyberraum möchte ich mich lieber nicht äußern, sonst könnte das Aufspüren der Kriminellen ja noch schwieriger werden.

Gibt es Branchen oder Unternehmen, die besonders stark gefährdet sind? Werden die Cyberangriffe im Zuge der steigenden Bedeutung von „Industrie 4.0“  andere Ziele im Visier haben?
Reich: Ich kann mir vorstellen – und Statistiken scheinen dies zu belegen –, dass in Deutschland verstärkt Branchen und Unternehmen angegriffen werden, die die kriminellen Angreifer für besonders lohnende Ziele halten, zum Beispiel wegen des besonderen Know-hows, das diese Unternehmen besitzen.
Martini: Außerdem ist inzwischen fast unser gesamtes Leben von vernetzer IT durchdrungen, daher ist prinzipiell jeder gefährdet. Die professionellen Angriffe richten sich – wie bei sonstiger Kriminalität auch – auf Ziele mit besonders hohen Werten.
Reich: Ich glaube, dass sowohl die Kriminalitätsfrequenz, als auch die Kriminalitätsraten, -arten und -dimensionen in Zukunft im Zuge der weiteren unabwendbaren Vernetzung von Industrien, Wirtschafts- und Lebensbereichen erheblich wachsen werden, möglicherweise sogar exponentiell, was zu ganz neuen Bedrohungslagen führen dürfte.

Dr. Thomas de Maizière, Bundesminister des Inneren, wies mehrfach darauf hin, wie dringend notwendig Maßnahmen sind, die die IT sicherer machen. Für viele Unternehmen ist es aber schwer, mit vertretbarem Aufwand einen Cyberangriff zu verhindern. Was muss ein Unternehmen für IT-Sicherheit aufwenden? Welche Möglichkeiten gibt es, wirkungsvolle IT-Sicherheitslösungen bezahlbar zu machen?
Martini: Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, stellt mit den IT-Grundschutz-Katalogen umfassendes Material zur Verfügung, was für IT-Sicherheit getan werden sollte. Dies bringt mich aber direkt zur zweiten Frage. In meinen Augen gibt es vier Richtungen die wir da verfolgen sollten: Als erstes ist da die Sicherheit mit Augenmaß. Nicht alles muss geschützt werden wie Fort Knox; wer den Speiseplan der Kantine, Konstruktionspläne und sensible Kundendaten in gleicher Weise schützt, der hat in Wahrheit keinen wirksamen Schutz. Zweitens müssen Zusammenarbeit und Informationsaustausch intensiviert werden: Hier geht das neue IT-Sicherheitsgesetz mit Meldepflichten für den Bereich der kritischen Infrastrukturen  einen wichtigen Schritt in die richtige Richtung. Für die weniger sensiblen Bereiche bleibt zu hoffen, dass sich eine Kultur einwickelt, bei der Betroffene und potenziell Betroffene sich im Sinne von Neighbourhood-Watch-Areas gegenseitig informieren und warnen. Drittens sollten wir noch deutlich stärker die Automatisierung von Standardaufgaben der Gefahrenabwehr erforschen, um immer wiederkehrende Prozesse beschleunigen zu können. Beispiele hierfür wären Logdatenauswertungen, Patch-Management oder Schadsoftware-Analysen. Und zu guter Letzt darf man vor lauter IT den Menschen nicht vergessen. Aktuelle Sicherheitssysteme sind häufig viel zu kompliziert für die Menschen, die damit umgehen sollen.
Reich: Es wird auf jeden Fall in Zukunft teurer werden.

Gibt es überhaupt eine absolute Sicherheit vor Cyberkriminalität?
Martini: Eine absolute Sicherheit vor Cyberkriminalität wird es nicht geben. Es gibt ja auch keinen absoluten Schutz vor konventionellen Einbrüchen. Von den klassischen Wohnungseinbrüchen ist aber hinlänglich bekannt, dass Prävention zum Beispiel über Zugangssicherungen und Detektion beispielsweise über Alarmanlagen zur Bekämpfung alleine nicht ausreichen. Hier muss die Repression hinzukommen, also die polizeiliche Arbeit. Dies ist bei Cyberkriminalität nicht anders. 

Ungeachtet der gestiegenen Sensibilisierung für Gefährdungen im Cyberraum herrscht vielfach digitale Sorglosigkeit – nicht nur bei Privatnutzern, auch bei kleineren und mittleren Unternehmen. Wo liegen Ihres Erachtens die Gründe dafür? Halten Sie es für möglich, dass als Folge strengere staatliche Vorgaben und Auflagen für die IT-Sicherheit insbesondere in Unternehmen gemacht werden könnten? 
Reich: Sorglosigkeit hat in vielen Fällen mit einem Mangel an Vorstellungsvermögen zu tun oder mit einem Mangel an Schadenserfahrung.
Martini: Ich denke, dass nicht immer gleich nach dem Staat gerufen werden muss. Abgesehen vom Bereich der kritischen Infrastrukturen, wo entsprechende Maßnahmen ja bereits ergriffen werden, sehe ich weniger ein Defizit an Gesetzen als ein Umsetzungsdefizit.
Reich: Meines Erachtens wird es noch weitere Gesetze geben für die IT-Sicherheit von sensiblen Unternehmensbereichen.

Die Bundesregierung bereitet ein IT-Sicherheitsgesetz vor, das ein Mindestniveau an IT-Sicherheit für kritische Infrastrukturen gesetzlich verankern soll. Wie wirksam kann ein solches Gesetz sein?
Martini: Wie ich vorhin schon erwähnte, halte ich das neue IT-Sicherheitsgesetz für einen Schritt in die richtige Richtung. Ein hoher Prozentsatz von aktuell erfolgreichen Standardangriffen ließe sich schon über einfache Sicherheitsmaßnahmen verhindern. Wenn es durch das IT-Sicherheitsgesetz gelänge, nur gegen diese Angriffe einen wirksamen Schutz zu etablieren, so wäre das Gesetz schon ein großer Erfolg.
Reich: Allerdings gilt: Auch ein gut gemachtes Gesetz kann immer nur so wirksam sein wie seine Einhaltung.

Nur wenige Unternehmen melden es, wenn sie Ziel einer (erfolgreichen) Cyberattacke geworden sind. Was würden Sie einem Unternehmen raten, das Ziel eines Cyberangriffs geworden ist? Wie bewerten Sie die Idee der Regierung, eine Meldepflicht einzuführen?
Martini: Dem betroffenen Unternehmen würde ich dringend empfehlen, den Vorfall zu analysieren und die zuständigen Behörden zu informieren. Im Zweifel kann der Vorfall bzw. die Merkmale des Vorfalls auch anonym gemeldet werden, falls Reputationsverluste vom Unternehmen durch eine Meldung befürchtet werden. Aus strategischer Sicht ist diese Meldung aber von eminenter Wichtigkeit, da es über den Austausch von Informationen zu aktuellen Angriffen möglich ist, potenziell künftig Betroffene zu warnen und das Zeitfenster für erfolgreiche Angriffe mit den gleichen Tatwerkzeugen zu minimieren.
Reich: Das Wichtigste aus meiner Sicht ist hierbei permanenter Erkenntnisgewinn, dauernder Lernfortschritt – und das geht nur im Austausch mit anderen.
Martini: Genau, und für den Austausch können offene Quellen wie RSS-Feeds und Twitter wertvolle Dienste leisten, aber kein Mensch kann das alles lesen. Nachrichten, die sich auf die Sicherheit der eigenen IT-Infrastruktur beziehen, müssen hier automatisch ausgewertet und aufbereitet werden. Mit der Deutschen Telekom arbeiten wir gerade an einem solchen „Cyber Threat Radar“ – die Betatest-Phase läuft bereits. Für den Bereich der kritischen Infrastrukturen halte ich eine Meldepflicht für dringend geboten.

Gibt es im Bereich IT-Sicherheit einen Austausch zwischen Forschung und Praxis – etwa über eine Plattform für den Wissenstransfer?
Martini: Die Brücke zwischen Forschung und Praxis herzustellen, ist gerade eines der Hauptziele der Fraunhofer-Gesellschaft. Gerade deshalb widmen wir uns intensiv der angewandten Forschung. Dies kann bilateral mit Industrieunternehmen oder Behörden aber auch in Konsortien oder Verbünden geschehen.
Reich: Unser gemeinsames Fraunhofer-Metzler-Forum ist eine Form und ein Angebot für den Austausch zwischen Forschung und Praxis. Es soll Einblicke ermöglichen in gesellschaftlich wie wirtschaftlich bedeutsame und rasantem Wandel unterworfene technologische Prozesse, wozu selbstverständlich auch IT-Sicherheit und Cyberkriminalität zählen. 

Estland versteht sich als Vorreiter der digitalen Gesellschaft: Inzwischen geben 95 % der Esten ihre Steuererklärung elektronisch ab, 98 % nutzen die Gesundheitsdatenbank, und 99 % wickeln ihre Bankgeschäfte online ab (Quelle: F.A.Z. vom 4. Mai 2015). Was halten Sie vom Modell „E-Estland“ vor dem Hintergrund von Cyberkriminalität und IT-Sicherheit
Reich: Estland hat in seiner jüngeren Geschichte einen imponierenden und in Teilbereichen vorbildlichen Weg mit viel Mut, Zuversicht und Konsequenz zurückgelegt. Doch Estland war vor einigen Jahren Ziel von Cyberattacken, die diesen Mut strafen wollten. Wir sollten – aus vielen Gründen – verstehen, warum es geboten ist, auch solche Angriffe, die sich durchaus mit einem Cyberwar vergleichen lassen, völkerrechtlich zu betrachten, zu ächten und konsequent zu verfolgen. 
Martini: Ich finde das Estland-Modell großartig! Und ich rate dringend davon ab, aus Angst den Fortschritt zu blockieren: Entnetzung im Sinne eines digitalen Morgenthau-Plans bringt uns nicht weiter! Ziel muss es vielmehr sein, die Risiken beherrschbar zu machen und die Chancen zu nutzen. Da sehe ich mit Blick auf die Cyberkriminalität noch eine Menge Forschungsbedarf, aber auch ein steigendes Bewusstsein aller Beteiligten für die Gefahr, sodass ich hier optimistisch in die Zukunft blicke.

Lassen sich die Folgen von Cyberkriminalität auf die betroffenen Unternehmen begrenzen? Wie hoch ist die Gefahr, dass die Auswirkungen auf andere Bereiche der Gesellschaft übergreifen?
Martini: Die Folgen lassen sich in der Tat begrenzen. Und zwar dadurch, dass sich Unternehmen frühzeitig nicht nur um die Detektion von Angriffen kümmern, sondern auch festlegen, wie sie die so genannte Incident-Response, also die Reaktion auf einen erfolgreichen Angriff, angehen wollen.
Reich: Wenn ein Unternehmen eine funktionierende IT-Governance aufweist mit entsprechender IT-Sicherheitsplanung sowie einem eingespielten Business-Continuity-Management, dann dürften sich die Folgen von Cyberkriminalität wirksam begrenzen lassen.
Martini: Die Gefahr ist längst Realität. Cyberkriminalität ist kein Thema, dass nur Privatpersonen, nur Behörden oder nur Unternehmen angeht. Wir sehen längst Angriffe auf alle Bereiche. Deshalb ist es nicht die Zeit, die Augen zu schließen, sondern die Zeit zu handeln!
Reich: Alle Bereiche der Gesellschaft sind bereits mehrfach betroffen. Jeder Bürger, jedes Unternehmen, jede Institution, jede Nation, die Weltgesellschaft als Ganzes. Die gesellschaftlichen Rahmendaten und Parameter werden gerade überschrieben und neu formuliert.


Prof. Peter Martini leitet seit 1996 die Abteilung 4 (Kommunikation und Vernetzte Systeme) des Instituts für Informatik an der Universität Bonn. 2010 übernahm er zusätzlich die Leitung des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE), das sich seither als eines der weltweit führenden Institute für Cyber Security und Cyber Defense etabliert hat.

Prof. Martini schloss das Informatikstudium 1986 an der Rheinisch-Westfälischen Technischen Hochschule Aachen ab, wo er 1988 promoviert wurde. Von 1990 bis 1996 war er als Professor für Praktische Informatik an der Universität Paderborn tätig.


Dr. Johannes Reich ist persönlich haftender Gesellschafter des Bankhauses Metzler und Mitglied des Vorstands der Metzler-Holding. Er verantwortet als zuständiger Partner das Geschäftsfeld Corporate Finance sowie die Unternehmenskommunikation, die Rechtsabteilung und den Bereich Informationssysteme. Seine bankberufliche Tätigkeit begann er beim Hamburger Bankhaus M.M. Warburg & Co., danach arbeitete er beiMorgan Stanley in London und Frankfurt am Main.

Dr. Reich ist studierter Wirtschaftsingenieur mit einem Diplom der Universität Karlsruhe und war an der Universität Bamberg, wo er auch promoviert wurde, sowie an der Rheinisch-Westfälischen Technischen Hochschule Aachen als wissenschaftlicher Assistent tätig.