"Erpressung ist als Geschäftsmodell im Internet angekommen"
Internet-Kriminalität ist Alltag, die Zahl der Angriffe auf IT-Systeme steigt beinahe täglich. In der öffentlichen Wahrnehmung spielt das Thema mittlerweile zunehmend eine Rolle.
Doch ergreifen wir auch die richtigen Maßnahmen, um unsere Infrastrukturen zu schützen? Und wie könnten solche Maßnahmen aussehen? Um diese Fragen ging es in unserer telegraphen_lounge in Berlin zum Thema "Safety first - Herausforderung IT-Sicherheit".
Die Bundesregierung hat im Sommer den Entwurf eines IT-Sicherheitsgesetzes vorgelegt. Das Gesetz will unter anderem die Betreiber kritischer Infrastrukturen verpflichten, Cyber-Attacken auf ihre IT-Infrastruktur zu melden. Bundesinnenminister Thomas de Maizière vergleicht dieses nicht unumstrittene Vorhaben mit der Einführung der Sicherheitsgurte im Auto in den 70-er Jahren.
"Doch wozu brauchen wir dieses Gesetz?", fragte Moderator Wolf-Christian Ulrich. Dirk Häger vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sagte, ein Ziel des Gesetzes sei es, Prävention einzuführen. Denn: "Prävention ist nötig", so Häger. Nach offiziellen Aussagen der Wirtschaft liege der Schaden durch Internetkriminalität gerade mal im zweistelligen Millionenbereich pro Jahr. Doch Häger vermutet tatsächlich Schäden in Milliardenhöhe. "Erpressung ist als Geschäftsmodell im Internet angekommen", berichtete der IT-Experte. Dabei würden Kriminelle Rechner oder IT-Systeme kapern und anbieten, sie gegen Zahlung einer bestimmten Summe wieder freizugeben. "Das ist ähnlich wie Schutzgelderpressung durch die Mafia", so Häger.
"Es finden deutlich mehr Angriffe statt als gemeldet werden", sagte die Bundestagsabgeordnete Christina Kampmann (SPD). Sie befürwortet die Einführung einer Meldepflicht. Unternehmen, die Opfer eines Cyberangriffs geworden sind, sollen dies melden müssen. Sie sieht eine wichtige Rolle des Staates darin, Aufklärung zu betreiben. Denn: "In vielen kleinen und mittleren Unternehmen sieht es bei der IT-Sicherheit düster aus."
Felix FX Lindner, Chef des Recurity Labs, sieht strukturelle Ursachen als Grund für mangelnde IT-Sicherheit. Er stichelte: "Nur Softwarehersteller und Drogendealer nennen ihre Kunden User." Kaputte Software sei ein besseres Geschäftsmodell als funktionierende, denn die könne man immer wieder verkaufen. "Erst wenn funktionierende Software das bessere Geschäftsmodell ist, wird es Security geben", sagte Lindner. Er forderte, eine Produkthaftung für Software-Hersteller und Cloud-Anbieter einzuführen. Ein absoluter Haftungsausschluss, wie ihn die meisten Anbieter in ihren Geschäftsbedingungen vorsähen, sei unzumutbar.
Felix "FX" Lindner fordert eine Produkthaftung der Software-Industrie. #tlounge
— Sven Scharioth (@scharioth) 2. Dezember 2014
Während sich Chrstina Kampmann dafür aussprach, Produkthaftung gesetzlich zu verankern, warnte Dirk Häger vor einer pauschalen Einführung. "Die Angreifer im Internet sind nicht sichtbar", sagte er. Für die Anbieter von Software und Clouddiensten sei das Haftungsrisiko darum nicht abschätzbar. Wenn bei einem fahrenden Auto auf den Reifen geschossen werde, nehme man den Autohersteller auch nicht in Haftung, so Häger. "Die Angreifer werden immer besser." Trotz steigender Sicherheitsbemühungen bleibe die Anzahl kritischer Schwachstellen pro Jahr konstant.
Alle Redner plädierten für mehr Transparenz im Falle von Cyberattacken. So werde es für die Angreifer schwerer, ihr Ziel zu erreichen. Dazu Dirk Häger: "Die bösen Jungs tauschen Daten aus. Wir tun es teilweise aus falschen Gründen nicht." Das wolle das IT-Sicherheitsgesetz ändern.
Eindrücke von der Diskussion gibt unser YouTube-Video wieder.
