Die Bedrohung aus dem Netz
19. September 2016
Am 19. und 20. September 2016 laden die Münchner Sicherheitskonferenz (MSC) und die Deutsche Telekom zum vierten Cyber Security Summit ein, der in diesem Jahr erstmals im Silicon Valley stattfindet. Rund 100 hochrangige Vertreter aus Wissenschaft, Politik, Wirtschaft und Militär werden an der Stanford University im kalifornischen Palo Alto aktuelle Herausforderungen im Cyber-Raum diskutieren.
Zu den Themen gehören unter anderem die Abwehr von Cyber-Angriffen, die Zukunft der Kriegsführung, die Entwicklung von Normen und Regeln für den Cyber-Raum, die Bekämpfung von Cyber-Terrorismus sowie die wirtschaftliche Bedeutung von Cyber-Sicherheit. Im Vorfeld hat die DW dazu ein Interview mit Thomas Kremer, dem Vorstand Datenschutz, Recht und Compliance der Deutschen Telekom AG geführt.
Deutsche Welle: Drei Mal hat die Deutsche Telekom zusammen mit der Münchner Sicherheitskonferenz den Cyber Security Summit in Deutschland organisiert. Dieses Jahr findet die Sicherheitskonferenz nun im Sillicon Valley in den USA statt. Warum?
Thomas Kremer: Mit dem Sillicon Valley haben wir einen Gastgeber gefunden, der sehr innovativ in allen Bereichen rund um Cyber Security ist. Aus dieser Region kommen neue Methoden. Außerdem ist es ein internationaler Treffpunkt. Cyber Security lässt sich nicht national oder auch nur europäisch regeln, man braucht dazu eine internationale Vernetzung. Daher ist es ganz gut, wenn man dahin geht, wo gerade die Musik spielt.
Was hat sich seit dem dritten Cyber Security Summit vor zwei Jahren getan, in dem Bereich?
Bei dem ersten Cyber Security Summit haben wir noch stark daran gearbeitet, dass Cyber Security nicht nur als eine Angelegenheit für Spezialisten angesehen wird, sondern als eine Angelegenheit für die Entscheider. Ich glaube, das ist der Bereich, mit dem wir am meisten vorangekommen sind. Heute ist in den meisten Unternehmen klar, dass IT-Sicherheit und Cyber-Sicherheit in die Chefetage gehören. Mit gewissen Einschränkungen gilt das auch für den Mittelstand.
Ein zweiter Aspekt ist, dass die Zusammenarbeit in Sicherheitsfragen zwischen Behörden und Unternehmen sich sehr deutlich verbessert hat. Dieser Fortschritt ist, meiner Meinung nach, dem Cyber Security Summit, den wir in Bonn hatten, zu verdanken.
Welche Dimension hat die Bedrohung im Cyber Space? Hat sie sich verschärft beispielsweise im Hinblick auf Industrie 4.0?
Wir sehen klar, dass sich mit der zunehmenden Digitalisierung aller Aspekte unseres beruflichen und privaten Lebens auch die Angriffsfläche für Cyberangriffe vergrößert hat. Wir haben ein größeres Bedrohungspotential. Gleichzeitig sehen wir, dass sich die Angreifer zunehmend professioneller verhalten. Das haben wir übrigens auch hier in der Gegend ganz schmerzhaft gespürt als einige Krankenhäuser Opfer von Cyberattacken wurden. Die Angreifer haben einfach alle Dateien verschlüsselt, so dass praktisch nicht mehr mit den Patientendateien gearbeitet werden konnte. Das ist eine Katastrophe für ein Krankenhaus. Die Cyberkriminellen haben dann versucht die Krankenhäuser zu erpressen. Das ist einer der ganz aktuellen Gefahren, die wir hier haben. Damit müssen wir umgehen.
Und gibt es Zahlen, die die Größenordnung der Bedrohung darstellen?
Wir wissen, dass die weit überwiegende Anzahl aller Unternehmen schon Opfer von Cyberattacken waren. Und dass das noch weiter zunehmen wird.
Was sind die größten Herausforderungen im Bereich Cyber Security?
Unternehmen lassen sich nicht mehr mit einer Firewall, die wie eine Burgmauer wirkt, umgeben, die das Unternehmen komplett absichert. Die Professionalität der Angriffe hat dieses System längst ad absurdum geführt. Was wir zurzeit brauchen, sind Systeme, die in Echtzeit unsere IT kontrollieren und uns ein Signal geben, wenn ungewöhnliche Aktivitäten auftreten. Außerdem brauchen wir Teams, die bei ungewöhnlichen Aktivitäten, das System genau analysieren, reparieren oder abschalten, um so sehr kurzfristig einen Angriff zu beenden.
Der zweite Punkt ist die internationale Vernetzung. Wir müssen uns weltweit über das Thema Cyber Security und die dazu erforderlichen Maßnahmen verständigen, auch regulatorisch. Regelwerke, die zum Beispiel das Thema schwache Software und Softwarefehler adressieren, darf es nicht nur hier in Deutschland oder in Europa geben, vielmehr brauchen wir weltweite Regeln, weil auch der Cyber-Raum weltweit ist und die Cyber-Kriminellen auch weltweit unterwegs sind. Ein solches Regelwerk ist eine der Herausforderungen, der wir uns beim Security Gipfel in Palo Alto stellen werden.
Ich möchte noch einmal auf Ihren ersten Punkt zurück kommen. Bedeutet das, dass ich mich jetzt gar nicht mehr generell gegen Cyber Angriffe schützen kann? Sondern dass ich immer nur noch reagieren kann, wenn ein Angriff kommt?
Privatpersonen können unglaublich viel für ihre Sicherheit tun. Das sind im Grunde die alten Grundlagen. Auf den privaten Computern sollte eine Firewall eingerichtet sein, Updates hochgeladen werden und Passwörter einmal monatlich gewechselt werden. Wenn man diese Sicherheitstipps ernst nimmt, ist man schon vor weit über 90 Prozent aller Attacken sicher.
Und Unternehmen?
Für Unternehmen gilt: Hohe Sicherheit kann nur erreicht werden, wenn nicht rein lokal gedacht wird. Das heißt, die Sicherheit, die wir produzieren, ist nicht diejenige, die wir "im Keller" im Unternehmen haben. Vielmehr brauchen wir Cloud-Lösungen. Wir brauchen große Rechenzentren, die hochprofessionell mit hohen Standards sich des Themas Datensicherheit annehmen und das ist der Trend.
Transparenz und Zusammenarbeit sind Ihre großen Themen jetzt auch für die Konferenz im Sillicon Valley. Die deutsche Telekom will aber ja trotzdem ihre Sicherheitsprodukte verkaufen. Und muss sich damit dann auch von den Wettbewerbern abgrenzen. Wie passt das zusammen?
Wenn irgendein Unternehmen meint, es könnte ganz allein alle Probleme lösen, ist es sicher auf dem Holzweg. Auch bei dem Thema Produktentwicklung brauchen wir den internationalen Austausch. Wir als Deutsche Telekom suchen ihn. Und aus den Ergebnissen dieses Austausches werden wir unmittelbar in unserem Sicherheitsbereich reagieren und unseren Kunden dann Sicherheitsmodelle anbieten können. Und das gilt nicht nur für die großen Unternehmen, das gilt gerade auch für den Mittelstand.
Das Gespräch führte Insa Wrede