Auf dem nunmehr dritten Cyber Security Summit, der von der Münchner Sicherheitskonferenz in Kooperation mit der Deutschen Telekom in Bonn ausgerichtet wurde, trafen sich Vertreter der Bundesregierung, EU, NATO, US-Regierung und Entscheider international agierender Unternehmen, um über aktuelle Entwicklungen der Cyber-Sicherheit auszutauschen.
Schon zu Beginn des Summits ließ sich feststellen, dass das Thema nicht nur in der Gesellschaft und den Führungsetagen angekommen ist, sondern auch einen gewissen Fokus abverlangt. So standen bei der diesjährigen Veranstaltung insbesondere der Schutz Kritischer Infrastrukturen, Datenschutz und -sicherheit sowie der besondere Präventionsbedarf im Vordergrund. Unter den Teilnehmern herrschte Konsens, dass im Kontext der Cyber-Sicherheit schon lange nicht mehr über das „Ob“ digitaler Schutzmaßnahmen diskutiert werden muss, sondern zuvorderst über das „Was“.
Festzustellen war, dass für viele Besucher des Events die Auswirkungen des NSA-Abhörskandals merklich im Vordergrund standen. Auch in zahlreichen Reden, Vorträgen und Gesprächen ging es immer wieder um die Frage, wieviel Eingriff in unsere digitale Souveränität noch zulässig sei. So warnte Andy Müller-Maguhn, langjähriger Sprecher des Chaos Computer Clubs, in seiner Keynote vor Hintertüren und Lücken in anscheinend sicherer Software und machte sich für zuverlässige Verschlüsselung stark.
Dass das Thema spätestens seit Edward Snowden nicht unumstritten ist, ließ sich vor allem in den für den Vormittag angesetzten Podiumsdiskussionen beobachten. Schon in der ersten Podiumsdiskussion zu „Recent Developments in Cyber and Information Warfare“ driftete die Meinung der Panelteilnehmer merklich auseinander. Während Christopher Painter, Cyber-Koordinator im US-Außenministerium, sich vor allem zurückhaltend in Verteidigungsrhetorik übte und auf keine genauen Angaben festlegen lassen wollte, betonte Elmar Brok, Vorsitzender des Ausschusses für auswärtige Angelegenheiten des Europäischen Parlaments, dass die EU bisher unzureichend auf die Gefahr eines Cyber-Krieges vorbereitet sei. Zwar gebe es bereits zahlreiche Initiativen in Politik und Wirtschaft, in denen sich mit den Sicherheitsherausforderungen im Cyberram auseinandergesetzt werde, doch Brok fehlt noch die Verbindlichkeit solcher Arrangements. So plädierte er für die Schaffung einer Art „Cyber NATO“, um die vielschichtigen Anstrengungen besser bündeln und nutzen zu können. In einem solchen Verbund sei auch die Entwicklung von eigenen Angriffsfähigkeiten leichter umzusetzen, sagte der CDU-Politiker.
Darüber hinaus betonte der ehemalige deutsche Verteidigungsminister Karl-Theodor zu Guttenberg, wie sehr gerade auch soziale Medien in der heutigen Kriegsführung eine Rolle spielen. Dabei ginge es nicht nur um potenzielle Cyber-Attacken, sondern vielmehr um die Möglichkeit zur öffentlichkeitswirksamen Propaganda, die viele – teilweise terroristische – Gruppen inzwischen zu nutzen verstanden haben. Die Auftritte der Terrorgruppe Islamischer Staat in sozialen Netzwerken und Plattformen sind inzwischen bekannt. Doch auch im Konflikt um die Ukraine machte sich die tragende Rolle solcher Medien bemerkbar.
In diesem Zusammenhang blieb die offensichtliche Frage, ab wann aus einem Angriff im Netz ein kriegerischer Angriff wird, jedoch unbeantwortet. Während andere Teilnehmer der Podiumsrunde sich eher zurückhaltend äußerten, spielte sich in diesem Punkt gerade Ex-Verteidigungsminister zu Guttenberg in den Vordergrund und machte deutlich, dass ein Zwischenfall wie Stuxnet 2009 gemäß Genfer Konvention als Angriff zu gelten habe. Er unterstrich zudem, dass es in einer vernetzten Welt unabdingbar werde, nicht nur über Verteidigungsmaßnahmen, sondern auch eigene Mittel zu verfügen, die einen digitalen Erstschlag ermöglichten. Fraglich bleibt, laut dem Verteidigungsminister a.D., ob die Genfer Konvention überhaupt noch zeitgemäß genug ist, um den Cyberraum abdecken zu können. Trotz der von zu Guttenberg getroffenen zielbewussten Aussagen sollte nicht in Vergessenheit geraten, dass er selbst in seiner Rolle als Verteidigungsminister zwischen 2009 und 2011 so viele Möglichkeiten nicht ergriff, über die er andere heute belehren mag.
Die zweite Podiumsdiskussion wandte sich konkret den Themen Datenschutz und Cyber-Sicherheit zu. Einerseits konnte herausgestellt werden, dass Whistleblower Edward Snowden eine Debatte um den sensibleren Umgang mit Informationen online und den Datenschutz an sich angestoßen hat. Andererseits wurde auch immer wieder ermahnt, dass der richtige Umgang mit geleakten Informationen zu finden sei. So erinnerte Klaus-Dieter Fritsche daran, dass nicht alle von Edward Snowden weitergegebenen Informationen auch in der Medienlandschaft richtig aufgenommen worden waren. Er verwies dabei auf einen Fall, in dem angeblich mehreren Millionen Daten aus Deutschland von den USA ausspioniert wurden. Später hatte man klären können, dass es sich hierbei um Daten des BND handelte, die den gemeinsamen Anstrengungen zur Aufklärung in Afghanistan dienten.
Dass die europäisch-amerikanischen Beziehungen allerdings nachhaltig Schaden am NSA-Skandal genommen haben, lässt sich auch anhand einiger Kennzahlen ablesen. Der zeitgleich zur Konferenz erschienene Cyber Security Report stellt fest, dass 65 Prozent der befragten Entscheider aus Wirtschaft und Politik den Aufbau eines innereuropäischen Intranets begrüßen würden. Die Sorgen um fehlende Datensicherheit und Souveränität im Netz griff auch MdB Clemens Binninger auf. Für den Versand einer E-Mail bemühte er dabei die Metapher des Schwarzen Brettes, an das man eine Postkarte hängt: Ungesichert und allen zugänglich sei es so kaum zu verhindern, dass die Nachricht auch gelesen werde. Die entscheidende Aufgabe ist es, laut Binninger, differenzierte Lösungen auf den Markt zu bringen und zu fördern, die die leichte Zugänglichkeit solcher Botschaften – beispielsweise durch Verschlüsselung – erschwerten.
In den sich am Nachmittag anschließenden Arbeitsgruppen konnten sich Experten zu Fachthemen austauschen. In der Arbeitsgruppe „Digitale Abwehr – von der Prävention zu Widerstandsfähigkeit“ wurde insbesondere die Lage von Sicherheitsbehörden und die Herausforderungen für die Wirtschaft in Deutschland beleuchtet. Deutlich wurde dabei, dass sich Wirtschaft und Politik im Hinblick auf Sicherheitsmaßnahmen auseinander entwickeln. Gerade die Bundesregierung tut sich auf dem weiten Feld der Cyber-Sicherheit noch immer (zu) schwer, sodass zahlreiche Unternehmen eigene Initiativen verfolgen, um Sicherheitsrisiken zu vermindern. Die Runde betonte abschließend, dass der Schwerpunkt zukünftig auf wenige wichtige Punkte gelegt werden sollte. Maßnahmen der Qualitätssicherung, mehr (finanzielle und personelle) Ressourcen im Bereich der IT-Sicherheit, bessere Aus- und Weiterbildung von Fachkräften und die Einführung zuverlässiger Standards und vertrauensvoller Kooperationen gelten als erfolgsversprechende Schritte.
Nach einer Zusammenfassung des 3. Cyber Security Summit durch Timotheus Höttges, dem CEO der Telekom, blieben schlussendlich einige Fragen unbeantwortet. Was tun gegen die Überwachungstechniken von Staaten? Welcher Umgang muss mit der Verlagerung von realen Kriegsschauplätzen auf den Cyberraum (Ukraine, IS) gefunden werden? Und wie ist mit der Sorglosigkeit bei der breiten Masse der Internetnutzer umzugehen? Es scheint offensichtlich, dass sich die Telekom bei dieser Debatte als Schirmherr für Cyber-Sicherheit etablieren will – zuletzt sicherlich auch aufgrund der geschäftlichen Potentiale in einem sich rasant entwickelnden Markt. Doch vergessen wir nicht, dass auch ein großes Telekommunikationsunternehmen nur so stark sein kann wie sein schwächstes Glied. Dies gilt natürlich auch für die Telekom, die nicht alles durch eigene Kapazitäten leisten kann und so beispielweise Komponenten des umstrittenen chinesischen Herstellers Huawei verbaut. Derartige Abhängigkeiten und ambivalente Signale können die Vertrauenswürdigkeit der Deutschen Telekom auf Dauer schmälern.
Abschließend bleibt festzuhalten, dass der Cyber Security Summit in Bonn zu einem wichtigen Orientierungspunkt im deutschen Cyber-Sicherheitsumfeld geworden ist. Er hat auch in diesem Jahr verdeutlicht, wie viel Bedarf, aber auch Umsetzungswillen bei Wirtschaft und Gesellschaft in diesem Bereich besteht. Damit steht er im Gegensatz zum derzeitig in der Diskussion befindlichen IT-Sicherheitsgesetz, das verdeutlicht, wie wenig Verantwortung und Ressourcen die Politik für Ihre eigene Zuständigkeit aufwendet und wie viel Sie gleichzeitig von den Betreibern der kritischen Infrastrukturen verlangt. Bei der Cyber-Sicherheit liegen Realität und Wunschdenken noch weit voneinander entfernt.
