Berufs-Hacker zu neuem IT-Sicherheitsgesetz Zu langsam, zu wenig, zu halbherzig
Die Kosten für das Gesetz seien "Peanuts" im Vergleich zu dem Schaden, den Cyberangriffe anrichten, so Berufs-Hacker Sebastian Schreiber. Der Gesetzentwurf gehe in die richtige Richtung, aber nicht weit genug. "Die Täter schlafen nicht", warnt Schreiber im Interview mit tagesschau.de.
tagesschau.de: Innenminister de Maizière sagt: "Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden." Was sagen Sie dazu?
Sebastian Schreiber: Das ist ein Wunsch. Das ist mit diesem Gesetzentwurf nicht zu schaffen. In Deutschland wird zu wenig Wert auf Sicherheit in der IT gelegt. Konservative Unternehmen sehen die IT noch als Randprojekt. Moderne, schnell wachsende Unternehmen fühlen sich von IT-Sicherheit eher aufgehalten. Das, was jetzt geplant ist, reicht nicht aus.
Sebastian Schreiber ist Berufs-Hacker. Der Diplom-Informatiker ist Gründer und Geschäftsführer der SySS GmbH. Sein Unternehmen hackt sich in die IT-Systeme der Kunden und führt Sicherheitstests durch. So können Sicherheitslücken behoben werden.
tagesschau.de: Die Regierung wendet sich vor allem an die Wirtschaft. Die betroffenen Unternehmen sollen Angriffe auf ihre IT-Systeme beim Bundesamt für Informationstechnik (BSI) melden. Was halten Sie von dieser Meldepflicht?
Schreiber: Sie ist das Beste aus dem gesamten Entwurf. Wir haben eine Gefahr, von der wir nicht wissen, wie groß und wie gefährlich sie ist. Ich berate Unternehmen über das Vorgehen bei Sicherheitsvorfällen und ich weiß, welche Unternehmen bereits von Hackern besucht worden sind. Es gibt vermutlich kaum ein deutsches Unternehmen, das nicht schon gehackt worden ist. Aber es gibt keine zentralen Zahlen. Wir müssen wissen, wie groß die Gefahr ist, um ihr auch begegnen zu können. Die Vorfälle zu zählen und zu bewerten ist hier die einzig richtige Entscheidung.
tagesschau.de: Was werden wir erfahren, wenn die Meldepflicht eingeführt ist?
Schreiber: Es werden sich vermutlich viele Unternehmen melden. Ich fürchte, dass dabei rauskommt, wie sehr die deutsche IT-Infrastruktur in chinesischer Hand ist. Das Resultat ist dann, dass wir die Gefahr kennen und ihr entsprechend begegnen können. Das Problem bislang ist, dass man nicht darüber spricht.
"Anonyme Meldepflicht ist Quatsch"
tagesschau.de: Warum ist das so?
Schreiber: Jeder, der darüber spricht, hat dadurch Nachteile. Stellen Sie sich vor, Sie sind Geschäftsführer einer großen Bank und müssen an die Presse gehen und sagen, chinesische Hacker haben Zugriff auf unsere Kontobewegungen. Dann schaden Sie doch ihrem Image, Sie kriegen keine Kunden mehr.
tagesschau.de: De Maizière spricht von einer anonymen Meldung. Wie realistisch ist das?
Schreiber: Ich kann mir das kaum vorstellen. Dann könnte diese Verpflichtung nicht kontrolliert und Verstöße niemals geahndet werden. Das ist also Quatsch. Melden heißt ja nicht der Presse melden, sondern an eine zentrale Stelle in einer Behörde - wie beim Krebsregister.
tagesschau.de: Die Firmen sollen zwei Jahre Zeit bekommen, um Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen. Das BSI soll die Standards dann absegnen – wenn man heute anfängt, ist dann nicht in zwei Jahren alles überholt?
Schreiber: Vollkommen richtig. Die zwei Jahre halte ich für zu lang, die Täter schlafen in dieser Zeit nicht. Das sollte viel schneller passieren.
tagesschau.de: Welchen Zeitraum würden Sie vorschlagen?
Schreiber: Die Meldepflicht zum 1. Januar nächsten Jahres.
tagesschau.de: Was fehlt Ihnen in dem Gesetzentwurf?
Schreiber: Mir fehlt ein Aspekt, der in der Wirtschaft sehr üblich ist: Dass man sich gegen Cyberschäden versichern muss. Wenn ich ein Haus oder ein Auto habe, muss ich auch eine Versicherung abschließen. Versicherungen haben einen großen Charme: Sie können mit Risiken sehr gut umgehen, das können Behörden nicht. Ich fände es eine gute Ergänzung, wenn wir eine Versicherungspflicht gegenüber Schadensfällen im IT-Sektor hätten.
tagesschau.de: Das Gesetz ist mit hohen Kosten verbunden...
Schreiber: ... das sind Peanuts - gemessen an dem Schaden ist das gar nichts. Das Geld ist gut angelegt.
"Wir brauchen ein europäisches Betriebssystem"
tagesschau.de: Das neue Gesetz soll nicht nur Unternehmen, sondern auch die einzelnen Bürger besser schützen. So sollen Internet-Provider verpflichtet werden, ihre Nutzer im Fall einer Systemstörung zu informieren und Daten nur in der Europäischen Union zu speichern.
Schreiber: Da stecken vor allem wirtschaftliche Interessen dahinter. Da haben die Lobbyverbände gute Arbeit geleistet. Dass die Daten in Europa bleiben, ist aber auch bezogen auf die Abhängigkeit nicht falsch. Momentan stehen nicht nur die großen Cloud-Provider in Amerika, sondern auch die Systeme, die wir hier in Deutschland nutzen, werden von dort gewartet.
tagesschau.de: Können Sie ein Beispiel aus dem Alltag geben?
Schreiber: Sie haben ein Betriebssystem auf dem Computer, das in den USA gepflegt wird, auch wenn es sich physikalisch in Europas Grenzen befindet. Wir brauchen ein europäisches Betriebssystem, eins für PC und eins für Smartphones. Da ist die Politik gefordert. Behörden könnten beispielsweise verboten bekommen, Betriebssysteme zu nutzen, die aus den USA ferngewartet werden. Weiter machen könnte man bei Ärzten. Wenn Sie eine Untersuchung haben, werden die Befunde meistens auf Windows-Systemen gespeichert. Jeden Monat werden diese von den USA aus upgedatet. Wir haben keine Ahnung, was dort mit den Daten passiert. Unsere Systeme sind nicht hundertprozentig unter unserer Kontrolle.
tagesschau.de: Sie führen mit Ihrer Firma Sicherheitstests für Unternehmen durch, hacken sich also in die IT-Systeme Ihrer Kunden, um zu überprüfen, wo die Sicherheit nicht ausreicht. Damit die Kunden hinterher die Schwachstellen beheben können. Welche Systeme könnten Sie theoretisch lahm legen oder knacken?
Schreiber: Alles. Wir kommen in richtig viele Systeme rein. Wir kommen durch Firewalls, wir können Webshops knacken, Kundendaten ausspähen. Wir kommen in Banken und Versicherungen rein. Ich habe 35 festangestellte Hacker unter Vertrag, die nichts anderes machen als hacken.
tagesschau.de: Passwörter werden geklaut, Daten abgefischt - kann das Netz überhaupt sicher sein?
Schreiber: Es gibt kein absolutes sicher und unsicher. Ein Auto kann auch nicht absolut sicher sein. Es geht um ein angemessenes Maß an Sicherheit. Sie werden niemals hundertprozentige Sicherheit kriegen.
Das Interview führte Barbara Schmickler für tagesschau.de