Wie steht es um die deutsche Cybersicherheit? Welche Faktoren begünstigen Cyberkriminalität und wie kann der Mensch selbst cyber-sicherer werden? Damit beschäftigten sich Expert*innen aus Politik, Wirtschaft und Forschung beim 17. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Arne Schönbohm, Präsident des BSI, eröffnet den erstmals ausschließlich online stattfindenden IT-Sicherheitskongress am 2. Februar: „Digitalisierung und Informationssicherheit gehören wie zwei Seiten einer Medaille untrennbar zusammen“. Der Digitalisierungsschub der vergangenen Monate bringe Deutschland voran, freut er sich. Die Gesellschaft profitiere von der zunehmenden Vernetzung, einfach zu handhabenden Lösungen und Endgeräten. Gleichzeitig steige aber auch die Cyberkriminalität. Der Mensch rücke vermehrt ins Zentrum von Cyberangriffen. Besonders kritische Infrastrukturen seien bedroht, so Schönbohm weiter. Vizeadmiral Dr. Thomas Daum, Inspekteur des Cyber- und Informationsraums, ergänzt: „Für die Cybersicherheit bedarf es pragmatischer, methodischer und stets aktueller Sicherheitslösungen, um gegen die immer komplexer werdenden Bedrohungen im Cyber- und Informationsraum gewappnet zu sein.“
„Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung.“
Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der InformationstechnikBundeskanzlerin Angela Merkel greift das in ihrer Grußbotschaft auf: Man müsse Lehren aus den steigenden Cyberangriffen ziehen. Dazu müsse man in beidem, Digitalisierung und Informationssicherheit, stark sein. „Das entscheidet wesentlich darüber, wie erfolgreich Deutschland in Zukunft sein wird“, mahnt sie. Das geplante IT-Sicherheitsgesetz 2.0 schaffe dafür den rechtlichen Rahmen, so Merkel. Der Gesetzesentwurf sieht vor, den Funktionsbereich des BSI zu vergrößern, kritische Infrastrukturen zu stärken und den Verbraucherschutz auszubauen.
Digitale Identitäten schützen
Während personenbezogene Daten einerseits durch Hacks und schlecht gesicherte Datenbanksysteme in falsche Hände gelangten, seien andererseits Passwörter ein großes Problem, erklärt Pascua Theus, wissenschaftlicher Mitarbeiter an der Rheinischen Friedrich-Wilhelms-Universität Bonn. Lang, komplex und schwierig zu merken – der Einfachheit halber würden sie meist so einfach und kurz wie möglich gewählt und zudem mehrfach benutzt werden. Einmal gehackt, versuchten Cyberkriminelle sich damit Zugang zu diversen Benutzerkonten zu verschaffen – meist mit großem Erfolg und enormem wirtschaftlichem Schaden, so Theus weiter. Abhilfe könnten seiner Meinung nach Passwortmanager schaffen. Nutzer*innen können mit entsprechenden Anwendungen ihre Passwörter generieren und organisieren. Letztlich merken müssen sie sich dann nur das Passwort zum Manager. Aber auch „proaktive Warndienste“ wie das Forschungsprojekt Effektive Information nach digitalem Identitätsdiebstahl (EI DI) empfiehlt Theus. Dabei werden Daten aus Leaks gesammelt, aufbereitet und Unternehmen zur Verfügung gestellt, sodass diese wiederum ihre Kund*innen und Mitarbeitenden warnen können.
Um digitale Identitäten besser schützen zu können, gibt es in Deutschland seit dem 1. November 2010 die Online-Ausweisfunktion. Dabei werde die Möglichkeit der eindeutigen Identifikation aus der realen in die digitale Welt übertragen, erklärt Hanno Koop, Referent im BSI. Dokumente wie der Personalausweis können dadurch auch online eingesetzt werden. Das BSI habe ein Projekt zur elektronischen Identifizierung beauftragt, berichtet Koop. Ziel dessen sei es, die Online-Ausweisfunktion vermehrt in gängige Webanwendungen einzubinden.
Über Künstliche Intelligenz (KI) als weiteren Baustein der IT-Sicherheit spricht Arnold Krille, Abteilungsleiter Product Development Cognitix bei der genua GmbH. Cyberkriminelle nutzten die Fähigkeiten der automatischen Texterkennung und ‑generierung und setzten sogenannte Deepfakes ein, erzählt er. Letztere erzeugen realistisch erscheinende visuelle und akustische Medieninhalte. Cyberkriminelle geben dadurch vor, jemand anderes zu sein und täuschen mittels E-Mails, Anrufen oder Videos die Empfänger*innen. Diese Funktionen der KI könnten sich aber auch beispielsweise Netzwerkadministrierende zu Nutze machen. Denn ebenso wie sie Texte und Deepfakes erzeugen kann, könne die KI sie auch erkennen, erklärt Krille. Automatisiert könne man so potenzielle Sicherheitslücken aufdecken.
Auch die BWI GmbH hat sich schon vor einiger Zeit dem Ziel verschrieben, mit neuen Technologien für sichere Informationstechnik zu sorgen. So setzt sie etwa als Teil eines Konsortiums das Projekt IDunion um. Mittels Blockchain soll ein offenes Identitätsökosystem für Nutzer*innen und Organisationen in ganz Europa entstehen.
Der Mensch im Fokus
Die Teilnehmer*innen der Podiumsdiskussion „Faktor Mensch: Wie werden wir cyber-sicherer?“ stimmen überein: Der Mensch rückt immer weiter in den Fokus der Cyberangriffe. Die Technik müsse daher dem Menschen dienen, so Professorin Dr. Claudia Eckert, Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC). Der Mensch müsse die Technik von eingesetzten Sicherheitsmaßnahmen verstehen, um ihr vertrauen und sie nutzen zu können. Das wiederum erfordere mehr Bildung in diesem Bereich. IT-Sicherheit, Passwörter und deren Bedeutung müssten bereits in den Schulen besprochen werden, verlangen Claudia Nemat, Vorstandsmitglied Technologie und Innovation der Deutschen Telekom AG, Dirk Hoke, CEO der Airbus Defence and Space, und Professor Dr. Christoph Meinel, Geschäftsführer des Hasso-Plattner-Instituts. Gleichzeitig sei es notwendig, so Meinel, noch mehr über digitale Souveränität zu sprechen. Denn damit sei die IT-Sicherheit unmittelbar verbunden. Nur so könne Deutschland seine Daten selbst verwalten – in einer Infrastruktur, die den eigenen Sicherheitsstandards entspricht.