Berlin Potsdamer Platz in Berlin, 15. Stock. Rudolph „Rudy“ Giuliani sitzt in einem lichtdurchfluteten Konferenzraum der US-Kanzlei Greenberg Traurig mit dem Rücken zum Fenster. Er steht bedächtig auf, um seinen Gast zu begrüßen, lächelt, fester Händedruck, staatsmännisch. Seit 15 Jahren ist der heute 72-Jährige nicht mehr Bürgermeister von New York – doch scheint er es immer ein Stück zu bleiben. Dabei macht er heute etwas völlig anderes.
Herr Giuliani, was bringt den Ex-Bürgermeister von New York dazu, sich mit Cybersicherheit zu beschäftigen?
Vor meiner Zeit als Bürgermeister war ich 18 Jahre Staatsanwalt. Mein Leben drehte sich darum, Kriminalität zu bekämpfen. Als Bürgermeister war einer meiner größten Erfolge, die Kriminalitätsrate innerhalb von drei Jahren um 65 Prozent zu senken. Damit wurde New York von der Hauptstadt der Kriminalität zur sichersten Stadt Amerikas. In diesem Zusammenhang habe ich auch ein Cyberprogramm entwickelt, das sich CompStat nennt. Das war 1996. Da herrschte in der Cyberwelt noch Mittelalter.
Worum ging es dabei?
Es ist eine Art Verteilungsprogramm. Darin fließen die Informationen über Kriminalität in jedem „borough“ der Stadt zusammen, dann werden sie ausgewertet, um schnellstmöglich unsere 41.000 Polizisten an den richtigen Ort schicken zu können. New York City ist die mit Abstand größte Stadt in den USA. Es war früher so gefährlich in der Stadt, dass Filme darüber gedreht wurden. Der Grund, warum mich die Menschen damals gewählt haben, war meine Erfahrung als Staatsanwalt. Ich habe hunderte Mafiosi, Drogenkartelle und korrupte Politiker angeklagt. CompStat hat dabei geholfen, die Stadt sicherer zu machen.
Wann haben Sie sich stärker auf den Kampf gegen Cyberkriminelle spezialisiert?
Nachdem ich 2001 mein Amt aufgegeben habe, habe ich zunächst ein Sicherheitsunternehmen gegründet. Seit 2003 habe ich mich dann stärker auf Cyberkriminalität fokussiert, heute leite ich die Cybersecurity und Privacy Praxis der US-Kanzlei Greenberg Traurig.
Was müssen Unternehmen tun?
Es braucht eine Reihe von Maßnahmen. Eine davon ist der Identitätsschutz für alle Angestellten. Die meisten Unternehmen schützen ihre obere Führungsebene, damit Hacker nicht über deren Account an sensible Daten gelangen können. Aber Kriminelle suchen sich immer die dünnste Schwachstelle, und die ist im Zweifelsfall weiter unten angesiedelt. Sind sie so einmal ins System gelangt, suchen sie sich ihren Weg zu ihrem Ziel. Deswegen ist es wichtig, alle Angestellten zu schützen.
Was meinen sie damit?
Es gibt Systeme, die erkennen Abweichungen vom typischen Verhalten. Meldet sich jemand mitten in der Nacht an seinem Rechner an und macht dies normalerweise nicht, löst das System einen Alarm aus.
„Konflikt zwischen Datenschutz und Sicherheit“
Gibt es keinen Widerstand von Angestellten, die sich nicht überwachen lassen wollen?
Üblicherweise sind die Angestellten damit einverstanden, es schützt sie ja auch selbst. Die Systeme sind nicht da, um ihre Arbeit zu überwachen. Auch die Gewerkschaften unterstützen es. Natürlich muss die Maßnahme transparent kommuniziert werden und die Informationen an einem sicheren Ort geschützt sein.
Gibt es einen Widerspruch zwischen Datenschutz und Cybersicherheit?
Nein. Es wird durch solche Maßnahmen ja nicht nur das Unternehmen geschützt, sondern damit auch die persönlichen Daten der Kunden und Angestellten.
Gilt das auch auf staatlicher Ebene?
Dort gibt es einen Konflikt zwischen Datenschutz und Sicherheit – nicht immer, aber es kann ihn geben. Der Staat will alle verfügbaren Informationen, um seine Bürger zu schützen. Die wollen aber möglichst ihre Privatsphäre schützen. Beides ist legitim, die Frage ist, wo man die Grenze zieht.
Wo sollte die sein?
Ich denke dabei immer an meine alten Tage als Staatsanwalt. Wir haben viele Kriminelle abgehört. Das mussten wir uns gerichtlich genehmigen lassen. Dafür mussten wir gewichtige Gründe angeben. Und selbst dann durften wir nur so wenige Daten wie möglich sammeln. Wenn der Mafiosi am Telefon mit seinen Kindern gesprochen hat, mussten wir die Aufnahme stoppen. Das ist die Balance in den USA: In der Mitte steht ein Richter, der entscheidet. Übergehe ich ihn, begehe ich eine Straftat, die mit fünf Jahren Gefängnis geahndet wird.
Aber die Technologie hat sich in den vergangenen Jahren stark weiterentwickelt. Die Datenmenge ist stark gestiegen. Funktioniert dieses Minimalprinzip für das Sammeln von Informationen noch?
Dieses Prinzip gilt nach US-Recht ohnehin nicht, wenn es um die Wahrung der nationalen Sicherheit geht. Zudem gibt es keine Regeln über das Sammeln von Daten von Nicht-US-Bürgern.
Welche Regeln sollten sich denn ändern, um die Cybersicherheit zu erhöhen?
In Deutschland gibt es bereits mit dem IT-Sicherheitsgesetz eine hilfreiche Gesetzgebung. In vielen Ländern ist man noch nicht so weit. Aber das wird sich in den nächsten Jahren ändern. Auch dort wird man Cybersicherheitsstandards für Unternehmen festlegen.
