Bei analogen Gütern wie etwa Autos und Flugzeugen schaffen längst strenge Haftungsregeln für den Schadensfall bei den Herstellern einen Anreiz, in Sicherheit zu investieren. Für Internettechnik ist dagegen ein Rechtsvakuum entstanden, das Bundeswirtschaftsminister Sigmar Gabriel in seiner „Digitalen Agenda 2025“ nun endlich schließen will: Er fordert „weitere gesetzliche Regelungen wie Produkthaftungsregeln für IT-Sicherheitsmängel und Sicherheitsvorgaben für Hard- und Softwarehersteller“. Nach der Attacke auf die Telekom-Router ruft nun selbst der politische Gegner dazu auf, etwa Thomas Jarzombek, netzpolitischer Sprecher der Unionsfraktion, die Unternehmen müssten stärker „in die Pflicht“ genommen werden.
Die Wahrheit aber ist auch: Die Politik hat seit jeher ein gespaltenes Verhältnis zum Internet. Als Anfang der Siebzigerjahre immer mehr Hochschulen ans Netz gingen, musste ein neues Steuerungsprotokoll her, damit alle Computer, egal, mit welcher Hard- und Software ausgestattet, miteinander kommunizieren konnten: Das TCP/IP-Protokoll entstand. Schon damals überlegten seine Erfinder, darin Verschlüsselungstechniken einzubauen, um die Sicherheit zu erhöhen. Doch das war kompliziert und teuer. Vor allem aber brachte die US-Sicherheitsbehörde NSA Einwände ein, recherchierte im vergangenen Jahr die „Washington Post“. Und das Internet wurde zu dem offenen Kommunikationssystem, das es bis heute geblieben ist: für ehrliche Nutzer und Cyberkriminelle, die sich so anonym bewegen können.
„Viele Eigenschaften der Internetstruktur sind nicht mehr zeitgemäß. Einige Komponenten wurden ohne sonderliches Augenmerk auf Sicherheit entwickelt und haben sich bis heute gehalten. Das würde man heute vermutlich anders machen“, sagt Thomas Krauß, Sicherheitsexperte, der Konzernen beim Auffinden von Sicherheitslücken hilft. Und auch bei der Bundesregierung ist bis heute die Lage komplizierter, als es nach außen erscheinen mag: IT-Sicherheit ist uns ein Anliegen, heißt es.
Das Zehn-Punkte-Programm der Telekom zur Cyber-Sicherheit
Die Erkenntnisse, die Edward Snowden zur Verfügung gestellt hat, müssen vollständig offengelegt und zugänglich gemacht werden. Nur so können mögliche Schwachstellen im Netz identifiziert und unverzüglich geschlossen werden.
Innerhalb der EU sollten die Mitgliedsländer auf gegenseitiges Ausspionieren des Telekommunikations- und Internetverkehrs verzichten. Auch mit den USA sollte weiterhin ein Abkommen über einen Spionage-Verzicht angestrebt werden.
Sicherheitsbehörden sollten transparent machen, welche Informationen sie über Telekommunikations- und Internetnutzer abfragen. Dazu gehören Anzahl und Art der erfolgten Anfragen und Auskünfte sowie der überwachten Anschlüsse.
Unternehmen müssen Transparenz über Sicherheitsstandards und erfolgte Angriffe schaffen. Nur durch gegenseitige Ergänzung wird ein möglichst umfassender Schutz vor Cyberangriffen erreicht. Die Telekom hat ihre technischen Sicherheitsstandards unter www.telekom.com/sicherheit veröffentlicht und macht Cyberangriffe unter www.sicherheitstacho.eu transparent.
Forschung und Bildung zu Cybersicherheitsthemen müssen verstärkt werden. Die Telekom richtet einen Lehrstuhl für Datenschutz und Datensicherheit an der Hochschule für Telekommunikation in Leipzig ein. Mit der Plattform Teachtoday.de stellt die Telekom zudem Unterrichtsmaterialien für Schulen zum Themenkomplex Sicherheit und Datenschutz bereit.
Analytik und Forensik zur Netzsicherheit müssen verstärkt werden. Dafür sollten die Cyber Emergency Response Teams (CERT) in den Unternehmen ausgebaut und enger verzahnt werden. Neben der Verstärkung ihres Teams fördert die Telekom die Ausbildung von Spezialisten: Gemeinsam mit der IHK Köln wurde 2014 ein neues Qualifikationsprogramm „Cyber Security Professional“ geschaffen. Die Telekom wird in den nächsten Jahren mehrere hundert Mitarbeiter zu IT-Sicherheitsexperten weiterqualifizieren.
Perspektivisch sollten die Inhalte auf dem Übertragungsweg Ende zu Ende verschlüsselt werden. Hier sind Hersteller, Netzbetreiber und Diensteanbieter gleichermaßen gefordert, einfache Lösungen für Kunden zu entwickeln. Die Telekom setzt sich bei den Standardisierungsgremien für einheitliche Verschlüsselungstechniken ein.
Netzbetreiber dürfen sich nicht von einzelnen Herstellern kritischer Infrastrukturkomponenten abhängig machen. Die Telekom führt für diese Elemente eine so genannte georedundante Dual-Vendor-Strategie ein. Bei kritischen Komponenten setzt die Telekom Produkte von mindestens zwei Herstellern aus unterschiedlichen geographischen Regionen ein.
Hersteller von Hard- und Software müssen genauso wie Netz- und Diensteanbieter bekannte Schwachstellen unverzüglich beseitigen. Die Telekom wird ihre Zulieferer dazu verpflichten. Bei besonders kritischen Komponenten sollte die Sicherheit der Produkte durch eine unabhängige Prüfstelle nachgewiesen werden. Das IT-Sicherheitsgesetz sowie die entsprechende Richtlinie der EU sollten das aufgreifen.
Daten dürfen beim Transport durch das Internet keine Umwege durch andere Rechtsräume nehmen. Im Telekom-Netz ist das Internet der kurzen Wege bereits realisiert. Diesen Ansatz will die Telekom mit einer Selbstverpflichtung aller Internetprovider weiter vorantreiben. Damit würde ein unberechtigter Zugriff auf die in Europa transportierten Daten von außerhalb deutlich erschwert.
Andererseits nutzen auch deutsche Nachrichtendienste die Sicherheitslücken, um ihre Arbeit zu machen. Wenn die Türen zugemacht würden, dann auch für Geheimdienste. In der Hackerszene ist das längst bekannt. „Die Nachrichtendienste wägen dann ab: Wie viele Menschen sind durch die Sicherheitslücke gefährdet? Und wie wahrscheinlich ist es, dass auch andere Hacker sie gefunden haben?“, sagt Sicherheitsexperte Krauß.
Ist Berlin nicht sensibilisiert genug? Erst die NSA-Abhöraffäre und Spionage auf Servern des Bundestags im vergangenen Jahr, wofür deutsche Sicherheitsexperten den russischen Militärgeheimdienst GRU verantwortlich machen, haben Berlin aufgeschreckt: Das Auswärtige Amt hat inzwischen einen Cyberbeauftragten. Auch das Innenministerium als federführendes Amt baut seine Expertise aus. Und das lange von Industrieverbänden bekämpfte IT-Sicherheitsgesetz verpflichtet die Unternehmen nun, jede größere Attacke an das BSI zu melden.
Angela Merkel wurde 2013 verhöhnt, als sie sagte, das Internet sei „für uns alle Neuland“.
Der Satz klingt so naiv – und trifft doch zu. Kenzo2017, Sicherheitshüter Thomas Tschersich und 900.000 Telekom-Kunden haben das gerade erst wieder erlebt.