Sicherheit in einer offenen und digitalen Gesellschaft

Lage – Herausforderungen – mit einem Bericht zur 64. Herbsttagung des Bundeskriminalamtes

Von LKD a.D. Ralph Berthel, Frankenberg/Sa.¹

Die 64. Herbsttagung des Bundeskriminalamtes (BKA) kehrte nach vier Jahren des Ausweichens nach Mainz bzw. Ingelheim am 21. und 22. November 2018 an altbekannte Stätte nach Wiesbaden zurück.² Das BKA hatte die Veranstaltung unter das Leitthema „Sicherheit in einer offenen und digitalen Gesellschaft“ gestellt. Neben den Vorträgen renommierten Rednerinnen und Redner aus Politik, Polizei, Wissenschaft und Wirtschaft war die Veranstaltung auch im vergangenen Jahr Treffpunkt für den Austausch von Praktikern aus dem Feld der inneren Sicherheit. Der Beitrag will eine Auswahl der wichtigsten Themen der Tagung widerspiegeln und dem Leser gleichzeitig Anregung sein, sich noch tiefgründiger mit den Dokumenten der Veranstaltung zu befassen.³

1 Vorbemerkungen

1.1 Sicherheit in der digitalen Welt

Das erste Element der BKA-Tagung bildete die sicherheitsrelevanten gesellschaftlichen Herausforderungen in der digitalen Welt ab. Im Bericht zur Lage in der IT-Sicherheit in Deutschland für das Jahr 2018⁴ analysiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bedrohungen Deutschlands, seiner Bürgerinnen und Bürger, sog. Kritischer Infrastrukturen⁵ und seiner Wirtschaft im Cyber-Raum. Das BSI hebt dabei hervor, dass das Funktionieren empfindlicher Informationstechnologien und Kommunikationssysteme von einer leistungsfähigen Infrastruktur sowie von einer sicheren Energieversorgung abhängt. Diese Systeme seien die Basis für technischen Fortschritt und wirtschaftliche Entwicklung in der Bundesrepublik. Mit wachsender Komplexität der Systeme und fortschreitender Vernetzung aller Bereiche der Informationsgesellschaft nähmen allerdings auch die Risiken von Störungen und Angriffen sowohl von innen als auch außen zu.⁶
Das BSI kommt in seiner Analyse der IT-Sicherheitslage zu dem Schluss, dass die Gefährdungen im Berichtszeitraum im Vergleich zum Vorjahr vielfältiger geworden seien. Ein Beispiel dafür seien die Hardware-Sicherheitslücken wie Spectre/Meltdown und Spectre NG, die zu Beginn 2018 bekannt geworden waren. Im Jahr 2018 seien neue große Ransomware-Wellen ausgeblieben. Gleichwohl müsse Ransomware weiterhin als massive Gefährdung eingestuft werden. Dies zeigten die Angriffe in der zweiten Jahreshälfte 2017 mit der Ransomware Petya/NotPetya: Sie verursachten allein in der deutschen Wirtschaft Schäden in Millionenhöhe. Auch würden immer neue Ransomware-Familien bekannt wie z.B. Bad Rabbit. In diesem Bereich bestehe also kein Anlass für eine Entwarnung.
Insgesamt sei die Anzahl an Schadprogrammen weiter auf mittlerweile ca. 800 Millionen gestiegen. Pro Tag kämen rund 390.000 neue Varianten hinzu. Im Mobil-Umfeld existierten bereits mehr als 27 Millionen Schadprogramme allein für Google Android. Weiter heißt es im IT-Sicherheitslagebild, dass nach wie vor eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen zu verzeichnen sei, was hohe Aufmerksamkeit und Flexibilität zur Gewährleistung der Informationssicherheit erfordere. Und man habe eine neue Qualität von Schwachstellen in Hardware festgestellt, die ohne einen Austausch der Hardware nicht vollständig geschlossen werden könnten. Gleichzeitig, so das BSI weiter, befände man sich erst am Anfang einer Ära der Digitalisierung, die den Alltag der Menschen und der Gesellschaft insgesamt umfassend beeinflussen werde.⁷

1.2 Attacken auf deutsche Industrie verursachten 43 Milliarden Euro Schaden

In einer Studie kommt der Digitalverband Bitkom zu dem Ergebnis, dass Industrieunternehmen von IT-Attacken besonders stark betroffen seien. Durch Sabotage, Datendiebstahl oder Spionage sei der deutschen Industrie in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,⁴ Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (⁶⁸ Prozent) seien in diesem Zeitraum Opfer entsprechender Angriffe geworden. „Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle“, erklärte Bitkom-Präsident Achim Berg bei der Vorstellung dieser Studie in Berlin. „Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen.“ So wurden in den vergangenen zwei Jahren bei einem Drittel der Unternehmen (³²%) IT- oder Telekommunikationsgeräte gestohlen, bei fast einem Viertel (²³%) seien sensible digitale Daten abgeflossen. „Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage seien keine seltenen Einzelfälle, sondern ein Massenphänomen“, betonte der damalige Vizepräsident des Bundesamtes für Verfassungsschutz (BfV), Thomas Haldenwang.⁸ Fragen der IT-Sicherheit und der Vorbeugung und Bekämpfung entsprechender Angriffe auf die IT-Infrastruktur haben daher seit geraumer Zeit den Charakter einer Herausforderung von gesellschaftlichem Rang erlangt, die einerseits die Sicherheit in der Wirtschaft und deren internationale Konkurrenzfähigkeit unmittelbar betreffen und andererseits die innere Stabilität der Bundesrepublik nicht unmaßgeblich betrifft, denkt man nur auf IT-Angriffe auf kritische Infrastrukturen.

1.3 Sicherheit und offene Gesellschaften

Das zweite Element der Tagung bildeten, die bereits 1945 von dem Philosophen Karl Popper in seinem Buch „Die offene Gesellschaft und ihre Feinde“ (Original: „The Open Society and Its Enemies“) beschriebenen sog. offenen Gesellschaften. Diese hatte Popper als Gegenentwurf zu geschlossenen Gesellschaften, die ideologisch festgelegt seien und einen für alle verbindlichen Heilsplan verfolgten, entworfen. Sie seien nach seiner Überzeugung dadurch gekennzeichnet, dass willensfreie Individuen, den Lauf der eigenen Geschichte in einem pluralistischen und fortwährenden Prozess von Verbesserungsversuchen und Irrtumskorrekturen selbst bestimmen würden. Ohne an dieser Stelle einen philosophischen Exkurs anstrengen zu wollen, sei allerdings angemerkt, dass das Konstrukt des „selbst bestimmt agierenden Menschen“ gerade im digitalen Zeitalter, dem wir u.a. Begriffe wie „Fake News“ und „postfaktische Politik“ verdanken und die handlungsleitend für Massen von Menschen wurden, wohl mehr denn je hinterfragt werden kann und muss. Wie manipulativ gerade soziale Medien wirken und wie „selbstbestimmt“ wir Menschen noch sind, wurde an verschiedener Stelle der Tagung deutlich.⁹ Die Verknüpfung beider gedanklichen Säulen der Tagung erfolgte allerdings nur bedingt; wäre vielleicht auch nicht zielgruppenadäquat gewesen.