IT-Sicherheit

Cyberwehr – ein fragwürdiges Konzept im Kampf gegen Hacker

NEUER KOMMENTAR
Beitrag teilen

Das Prinzip Freiwilligkeit ist eine gute Sache. Aber nicht, wenn es um die Abwehr von Cyberattacken geht. Da erhöht sie das Risiko und schafft falsche Anreize.

Keine Frage: Investitionen in umfassende IT-Sicherheit sind für Unternehmen ebenso wie für den Staat enorm wichtig. Teilweise sind entsprechende Maßnahmen sogar aufgrund gesetzlicher Vorgaben zwingend erforderlich, hier sollte also wirklich nicht geknausert werden. Und öffentliche Institutionen helfen dabei durchaus fundiert durch Recherchen. Gut, manchmal geht auch dem Staat etwas daneben. Aber die Landesämter für Verfassungsschutz stehen mittelständischen Unternehmen gern mit Rat und Tat zur Seite, um Angriffe aufzuklären oder sie vor neuen Attacken zu schützen.

IT-Sicherheit nach dem Vorbild der Freiwilligen Feuerwehr

Nicht gerade vertrauensbildend klingt aber, was Bundesinnenministerium und Bundesamt für Sicherheit in der Informationstechnik (BSI) nach einem Bericht in der „Zeit“ planen. Generell mag die angedachte Cyberwehr eine ganz gute Idee sein: IT-Experten sollen zum Schutz der Infrastruktur in den Bereichen Gesundheit, Transport, Lebensmittel, Energie, Geld und Kommunikation abgestellt werden. Sie könnten entsprechende Strukturen aufbauen und wie eine Feuerwehr zum Einsatz gerufen werden, wenn es brennt. So weit, so gut. Aufmerken lässt aber, wie das BSI sich das Ganze organisatorisch vorstellt – laut „Zeit“ und dem Portal „Netzpolitik.org“ liegt ein Vertragsentwurf für die Cyberwehr vor. Man setzt offenbar auf das Prinzip Freiwilligkeit, dem auch Freiwillige Feuerwehr und Technisches Hilfswerk folgen: Ich verpflichte mich zu einem sinnvollen Dienst an der Gemeinschaft und erhalte dafür Kompetenzen, Know-how oder anschließende Hilfe.

IT-Experten der Unternehmen sollen kostenlos aushelfen

Vermutlich sehen BSI und Ministerium darin den einzigen Weg, an die für ihre Cyberwehr benötigten Fachkräfte zu kommen. Auf dem freien Arbeitsmarkt kosten solche Experten ein üppiges Gehalt. Würde die Wirtschaft ihre IT-Spezialisten vorübergehend für die Cyberwehr abstellen, könnte die öffentliche Hand eine Menge Geld sparen. Denn geplant ist, wenn ich den Artikel in der „Zeit“ richtig verstanden habe, bestenfalls eine Erstattung der Lohnkosten für den Arbeitsausfall bei Noteinsätzen. Im derzeitigen Vertragsentwurf steht ausdrücklich: kostenlos.

Wer keine Fachkräfte stellt, erhält weniger Informationen

Ministerium und BSI sollten gut über die Anreize nachdenken, die sie mit diesen Bedingungen setzen. „Als Gewinn ihres Einsatzes dürfen die ausgeliehenen Mitarbeiter Informationen über den Angriff mitnehmen und das Wissen, wie sie ihre eigenen Unternehmen davor schützen können“, so die „Zeit“. Für mich ist das ein unmoralisches Angebot: Hilf uns bei der Cyberwehr, und erwirb dafür einen Informationsvorsprung. Hier drohen zwei Probleme: Attackierte Unternehmen, so das eine, sollen offenbar nicht im Detail erfahren, was man über den Angreifer weiß. In Paragraf 19 des Vertragsentwurfs steht laut „Zeit“: „Die durch die Cyberwehr erlangten Erkenntnisse über den IT-Vorfall werden dem Betroffenen zur weiteren Verwendung (…) zur Verfügung gestellt, soweit dem keine sicherheitsrelevanten Gründe entgegenstehen.“ Unter Umständen weiß also ein Firmenchef weniger über Gefahren für sein Unternehmen als ein IT-Experte, der bei seinem Mitbewerber beschäftigt ist und in diesem Fall einen Feuerwehreinsatz absolviert hat.

Auch Vertraulichkeit ist laut Vertragsentwurf freiwillig

Problem zwei: Der Vertragsentwurf nennt Klauseln zur Vertraulichkeit, aber keine Strafen, falls Cyberfeuerwehrleute die Gelegenheit nutzen, Konkurrenten auszuspähen. Das ist zumindest bedenklich, wenn nicht gar eine Einladung für die falschen Leute, die ihre Position als – wie es im Vertragsentwurf ausdrücklich heißt – Amtswarter ausnutzen wollen. Bei der Gestaltung der Cyberwehr sollten BSI und Innenministerium an diesen Stellen besser nachjustieren. Empfehlen würde ich, was jeder vernünftige Experte auch Unternehmern rät: Nehmt das Geld in die Hand, das benötigt wird, um ein paar geeignete Fachleute einzustellen, die die Cyberwehr auf Dauer am Laufen halten. Bei den hohen Schäden, die Informationsabfluss verursachen kann, ist das eine mehr als sinnvolle Investition in die Zukunft der Volkswirtschaft. Ein Schutz mit offenkundigen Sicherheitslöchern ist dagegen nicht wirksam und womöglich gar kontraproduktiv. Das sollte gerade beim BSI eigentlich bekannt sein.