Mittwoch, 15. April 2015

Sicherheitsgesetze im Zeichen des Cyber-Kriegs

Es gibt sie noch, die Datenautobahn, jede Menge Cyber - und niemand lacht. Zumindest nicht auf dem 5. Bonner Dialog zur Cybsersicherheit, der am 14.4. im Bonner Haus der Geschichte stattfand. Auf dem Podium saßen neben Vertretern der Telekom und des BSI auch Cyber-Sicherheitsexperten der Postbank, Eaton und des Cybersicherheitsrats e.V., dem Anspruch der Veranstaltung zufolge, um über das geplante "IT-Sicherheitsgesetz - Chancen und Herausforderungen für die Wirtschaft" zu informieren.

Die Wirtschaft, das lernt man spätestens im BWL-Grundstudium, hat vor allem ein Ziel: Gewinnmaximierung. Dinge wie Rechststaat, Grund- und Menschenrechte oder Verbraucherinteressen spielen dabei nur so weit eine Rolle, wie sie dem eigentlichen Ziel nicht im Wege stehen. Entsprechend blieben auch Kritikpunkte, wie sie unter anderem von netzpolitik.org geäußert wurden, an diesem Abend weitgehend unerwähnt. Verbraucherinteressen, das stellte insbesondere Axel Petri von der Deutschen Telekom klar, interessieren nicht. Sein leuchtendes Beispiel für einen gesunden Telekommunikationsmarkt waren deshalb die USA mit landesweit vier Unternehmen, die den Markt unter sich aufteilen, im Gegensatz zu Europa, wo etwa 200 Unternehmen in Konkurrenz zueinander stehen. Was Petri nicht erwähnte: In kaum einem westlichen Industrieland sind für die Verbraucher die Kosten einer Internetanbindung so hoch und die Qualität so niedrig wie in den USA, was daran liegt, dass es örtlich mitunter nur einen Anbieter gibt. Selbst die bisweilen chaotischen Zustände auf dem deutschen Telekommunikationsmarkt sind für den durchschnittlichen US-Bürger ein Traum. Natürlich träumt sich der magentafarbene Oligopolist wieder die goldenen Zeiten herbei, als er noch gelb war, "Deutsche Bundespost" hieß und im Fall eines illegal betriebenen Modems keine Hemmungen hatte, mit einem Hausdurchsuchungsbefehl anzurücken, aber der Form halber hätte man wenigstens heucheln können, im Endkunden mehr als eine zu melkende Kuh zu sehen.

Statt dessen stellten Axel Petri und Pascal Tagné von der Postbank klar: "Es herrscht Krieg." Im Krieg, das wissen wir, darf man nicht zimperlich sein. Im Krieg setzen Menschen- und Völkerrecht einfach aus - Spielereien wie die Haager Landkriegsordnung oder die Genfer Konvention hin oder her. Gewonnen hat, wer als letzter noch steht, und wenn er dafür ganze Völker massakrieren musste. Wer diese Metapher bemüht, um die zwar bestimmt nicht harmlosen, aber immer noch innerhalb einigermaßen geregelter Bahnen verlaufenden digitalen Angriffe auf Kraftwerke, Unternehmen und Fernsehsender zu beschreiben, hat wohl nie die Bilder zerbombter Städte gesehen, nicht die Hälfte seiner Verwandschaft verloren, nicht wochenlang einen Karren mit seinen letzten Habseligkeiten über verschneite Straßen gezerrt, oder er bemüht dieses Bild, um Maßnahmen beliebiger Brutalität zur Abwehr der Digitalangriffe zu rechtfertigen. Hacker nach Guantanamo - so hätte man es wohl gern.

Überhaupt schien den anwesenden Experten sehr daran gelegen zu sein, die Lage so dramatisch wie möglich darzustellen. In seinem Eingangsreferat jonglierte Petri denn auch fleißig mit Zahlen: 92 Prozent aller Unternehmen seien schon einmal digital angegriffen worden. Es sei also weniger die Frage, ob man bereits angegriffen wurde, sondern wie lang man es nicht bemerkt hat. Das ist - mit Verlaub - Marketingbullshit auf Callcenterniveau. Ich kenne Unternehmen, die einfache Ping-Requests als Vorbereitung eines Angriffs und Portscans als dessen Durchführung einordnen. Wer die Logfunktion seines DSL-Routers anschaltet, wird überschwemmt von automatisiert durchgeführten Versuchen, durch einfache Sicherheitslücken ins System zu gelangen. Interessant sind solche Versuche jedoch nicht. Viel schwerer zu detektieren sind erfolgreiche digitale Einbruchsversuche, und dass deren Quote bei den genannten 92 Prozent liegt, darf getrost bezweifelt werden. So lange man nicht wenigstens den Terminus "Angriff" definiert, sind statistische Aussagen darüber bestenfalls unseriös.

Zweifelhaft blieb auch die Rolle des BSI, dessen Vertreter sich einen halbstündigen, bis an die Grenze einer ARD-Talkrunde hinab reichenden Schlagabtausch mit Hans-Wilhlem Dünn vom Cyber-Sicherheitsrat über die Frage lieferte, ob das BSI und das Nationale Cyber-Abwehrzentrum ihrer Aufgabe gerecht werden. Fazit: Der Cyber-Sicherheitsrat kann besser pöbeln, das BSI arroganter zurückkeilen. Unterhaltungswert hoch, Informationswert selbst mit empfindlichen Messgeräten nicht nachweisbar.

Interessanter als die kleine Showeinlage wäre freilich die angesichts der umstrittenen Rolle des BSI die Antwort auf die Frage gewesen, wie eine dem Innenministerium angeschlossene Behörde überhaupt glaubwürdig für digitale Sicherheit eintreten kann. Immerhin spielt das Ministerium eine Doppelrolle, in der es zu Ermittlungszwecken durchaus auch die Sicherheit von Rechnern und Infrastruktur aushöhlen muss. Angesichts eines Innenministers, der laut über Verschlüsselungsverbote nachdenkt, darf bezweifelt werden, dass eine ihm unterstellte Behörde sich mit der nötigen Konsequenz für den Schutz kritischer Systeme einsetzt. Selbst Wirtschaftsvertretern, deren Intelligenz nur für ein BWL-Studium reichte, sollte eigentlich klar sein, dass ein für das BKA hinterlegter Zweitschlüssel auch von Anderen und zu anderen Zwecken missbraucht werden kann. Das Grundrecht auf informationelle Selbstbestimmung mag solchen Leuten egal sein, aber wenn jemand unkontrolliert Zugriff auf meine Geschäftsgeheimnisse hätte, wäre mir als Firmenchef nicht wohl.


Aber was soll's, das Catering war super.