Wer ist bei Ihnen zuhause der Sicherheitsbeauftragte für die IT?
Ich habe überhaupt keine private IT mehr außer meinem Tablet PC, auf dem ich meinen privaten E-Mail-Account führe. Auf den muss ich schon selbst aufpassen. Dienstlich mache ich alles über die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) gesicherten Regierungsnetze und die von dort freigegebenen Endgeräte.
Es gab Ende letzten Jahres die groß angelegte Lükex-Übung, wo erstmals ein Cyber-Angriff auf deutsche Versorgungsnetze simuliert wurde. Wie sicher sind kritische Infrastrukturen?
Wir sind in Deutschland, was den Schutz kritischer Infrastrukturen angeht, schon sehr weit. Von Seiten des Staates, insbesondere des BSI, gibt es fachkundige Unterstützung bei der Erstellung entsprechender Sicherheitskonzepte. Viele Branchen haben bereits reagiert, etwa das Bankenwesen oder die Versicherungswirtschaft, die eigene Warnsysteme geschaffen haben.
In den USA ist Cyberwar ein Dauerthema. Wie kritisch ist die Lage an der deutschen Cyber-Front?
Die Gefahr eines Cyber-Kriegs ist aus unserer Sicht bislang nur theoretischer Natur. Cyber-Angriffe sehen wir dagegen jeden Tag. Um solche Angriffe abzuwehren, braucht man ein großes Know-how. Deshalb arbeiten inzwischen viele Länder mit Hochdruck an diesem Thema. Wichtig ist, dass wir die Sensibilität für dieses Thema erhöhen.
Und fruchten Ihre Appelle?
Ja. Ich habe zum Beispiel bei der IHK über dieses Thema gesprochen. Danach sagen mir dann viele: "Das hat uns aufgerüttelt, wir sind jetzt dabei, die entsprechende Infrastruktur aufzubauen." Das ist viel Einzel- und Kleinarbeit. Deshalb ist es auch durchaus richtig, die Alarmglocken zu läuten. Die Gefahr ist ernst zu nehmen.
Brauchen wir eine Rüstungskontrolle für Cyber-Waffen?
In einer globalisierten Welt hängen wir alle von funktionierenden IT-Systemen ab. Man braucht Konventionen, wie sich Staaten ordnungsgemäß zu verhalten haben und wie eine effektive Zusammenarbeit im Fall von Cyber-Attacken erfolgen kann. Dazu gehört auch die Bereitstellung von Infrastruktur zur Abwehr solcher Angriffe.
Wie müsste die aussehen?
Jeder Staat sollte sich zum Beispiel verpflichten, ein rund um die Uhr erreichbares Lagezentrum vorzuhalten, sodass man jederzeit hier vom BSI in Bonn aus in die Ukraine oder nach Italien eine Verbindung zu einem kompetenten Ansprechpartner herstellen kann. Dabei gibt es schon große Fortschritte auch in Europa, angestoßen durch Deutschland.
Besonders aus China kommen laut Verfassungsschutz viele maßgeschneiderte Mails an Mitarbeiter in Ministerien, die mit Spionagesoftware verseucht sind. Für wen oder für welche Projekte interessieren sich die Angreifer am meisten?
Wer oder was die Ziele sind, lässt sich nicht pauschal beantworten. Oftmals besteht aber ein direkter Zusammenhang mit aktuellen Ereignissen. Es ist denkbar, dass sensible Informationen auch aus Regierungsnetzen abfließen können. Gerade hier investieren wir daher viel in die Sicherheit unserer Regierungsnetze. Nur: Eine hundertprozentige Sicherheit gibt es nicht. Auch die besten Schutzsysteme können überwunden werden. Daher ist es auch wichtig, dass man einen erfolgreichen Angriff möglichst schnell erkennt und darauf reagiert. Man ist sehr schnell dabei, zu sagen, weil zum Beispiel ein Angriff aus einem bestimmten Land kommt, stecken die Geheimdienste dieses Landes dahinter. Vielleicht kommt der Angriff aber nur über einen Server von dort und der eigentliche Angreifer ist nicht zu enttarnen.
Aber ist es nicht sehr auffällig, dass sich viele Angriffe genau in eine Stadt zurückverfolgen lassen, wo auch eine Militäruniversität ist?
Auch da gilt wie im richtigen Leben zunächst die Unschuldsvermutung. Worauf aber immer wieder hingewiesen wird, dass vielen Cyber-Angriffen eine IP-Adresse aus dem Adressraum China zugrundeliegt.
Sie glauben nicht, dass die chinesische Regierung hinter solchen Angriffen steckt?
Ich halte mich an Fakten, nicht an Spekulationen.
In den Verfassungsschutzberichten wird schon relativ explizit gesagt, dass staatliche Akteure als Urheber vermutet werden.
Es wird auf der einen Seite gesagt, dass aus China Angriffe kommen oder von Servern aus China, was nicht automatisch bedeutet, dass es die Chinesen oder gar die chinesische Regierung sind. Und es wird an einer anderen Stelle gesagt, dass es Hinweise gibt, dass staatliche Organisationen hinter Angriffen stecken. Das muss man nicht zusammen sehen.
Über Cyber-Spionage bei Behörden und Ministerien reden Sie nicht gerne, wie sieht es denn in der Wirtschaft aus?
Ziele von Wirtschaftsspionage sind natürlich auch die erfolgreichen Mittelständler, deren wesentliches Kapital ihr besonderes Know-How ist, mit dem manche von ihnen in ihrer Nische bedeutende Weltmarktanteile erzielen. Umso mehr überrascht es, dass sich viele dieser Unternehmen der Gefahren durch einen ungewollten Know-How-Abfluss noch immer nicht hinreichend bewusst sind. Was zudem besorgniserregend zunimmt, sind Sabotage und Erpressung im Netz. Das geht bis hin zum Pizzaservice, dem mit Angriffen gedroht wird, nach dem Motto: Entweder du zahlst jetzt ein paar tausend Euro, oder du lieferst eine Woche keine Pizza aus.
Sind der Hack beim Zoll-Kriminalamt, oder die Anonymous-Aktivitäten schon Cyber-Terror?
Nein. Nicht jeder Angriff auf eine Behörde ist gleich Cyber-Terrorismus. Das ist eine Stufe, die noch nicht erreicht wurde. Cyber-Terrorismus würde bedeuten, dass man über die Netze einen Terrorakt ausführt. Wenn man beispielsweise das Eisenbahnsystem eines ganzen Landes lahmlegen würde, wäre durchaus der Punkt des Terrorismus erreicht.
Planen Islamisten Cyber-Attacken gegen Deutschland?
Es ist zum Glück nicht so einfach, einen solchen Angriff durchzuführen. Wichtig ist, dass unsere Experten den kriminellen technisch immer eine Nasenlänge voraus sind.
Im letzten Sommer wurden in einem islamistischen Forum Experten für den elektronischen Dschihad gesucht. Da haben sich einige Leute gemeldet. Weiß man, wer dahintersteckt?
Derzeit sitzt niemand in Pakistan, der in der Lage wäre, in Deutschland größeren Schaden anzurichten. Aber dass es grundsätzlich Bestrebungen gibt, auch IT-Spezialisten für terroristische Organisationen zu gewinnen, daran habe ich überhaupt keinen Zweifel.
Welche Gefahr stellen islamistische Extremisten denn insgesamt dar?
Die Bedrohungslage ist unverändert hoch. Wir sind nach wie vor Angriffsziel der Islamisten. Der tödliche Anschlag am Flughafen Frankfurt am Main und die Festnahmen mutmaßlicher Al-Qaida-Mitglieder in Nordrhein-Westfalen im letzten Jahr belegen, dass weiterhin jederzeit mit einem Anschlag in Deutschland oder gegen deutsche Interessen im Ausland gerechnet werden muss.
Die "Düsseldorfer Zelle" plante einen islamistischen Anschlag und flog letztes Jahr auf. Gibt es weitere vergleichbare Zellen?
Wir gehen schon davon aus, dass es böse Menschen gibt, die es verdient haben, dass man sich mit ihnen beschäftigt.
Wie nutzen Extremisten das Internet sonst noch?
Die Internet-Kommunikation erleichtert für Terroristen über ganze Kontinente hinweg die Planung von terroristischen Anschlägen. Wir beobachten die gezielte Gewinnung von Dschihad-Kämpfern im Netz. Das macht uns große Sorgen.
Wie wichtig ist Facebook dabei?
Es gibt alle möglichen Blogs und Formen auf Internet-Plattformen mitzumachen - man muss das gar nicht an den Unternehmen Facebook oder Google festmachen. Wir haben in unserem gemeinsamen Abwehrzentrum gegen Rechtsextremismus auch gleich ein Internetzentrum eingerichtet, das haben wir auch für islamitische Extremisten.
Und welche Erkenntnisse haben Sie gewonnen?
Sowohl die Salafisten als auch die Rechts- und Linksextremisten nutzen das Netz immer mehr, um ihre Propaganda ganz gezielt an junge Leute heranzubringen. Bei den Rechtsextremisten läuft das sehr stark über Musikportale, wo man sich Lieder mit zum Teil aggressiven und gewalttätigen Texten herunterladen kann, und das wird auch intensiv genutzt.
Werden verdeckte Ermittler auch im Internet eingesetzt?
Selbstverständlich ist es auch im Internet möglich, verdeckte Ermittler bei Rechtsextremisten, Linksextremisten oder Salafisten einzuschleusen. Bei unseren Ermittlungen gibt es aber Grenzen für eine Internetüberwachung, die sich insbesondere aus den Grundrechten ergeben.
Stärkt das nicht das eh vorhandene Misstrauen vieler Menschen gegenüber staatlicher Schnüffelei in der digitalen Welt?
Den Konflikt zwischen der Freiheit auf der einen und der Herstellung und Sicherung der Ordnung durch den Staat auf der anderen Seite haben wir auch außerhalb des Internets, etwa bei jeder richterlichen Anordnung einer Telefonüberwachung. Zwei Beispiele: Wenn ich mit dem Auto durch die Gegend fahre, muss ich ein Nummernschild haben. Das ist datenschutzrechtlich auch ein Problem. Wenn ich einen Leserbrief schreibe, wird der niemals unter dem Pseudonym Ringelblume abgedruckt, sondern nur mit Name und Wohnort. Wenn die Dinge alle so in der analogen Welt gelten, warum dann nicht auch im Netz? Die Frage ist nur: Wie übertragen wir das in die digitale Welt?
Das heißt konkret?
Es gibt Sachverhalte, da geht es keinen etwas an, wer ich bin, auch nicht im Netz. Es gibt aber auch Sachverhalte, da ist es höchst relevant, etwa wenn ich bei meiner Bank Geld abhebe. Ich finde es falsch, dass bei jeder Regel, der man auch im Netz Geltung verschaffen will, sofort ein Sturm der Entrüstung losbricht: Ihr wollt die Freiheit im Netz beseitigen. Meine These ist: Jedes System, das sich keine Regeln gibt, schafft sich irgendwann selber ab. Das gilt auch für das Internet. Wenn sie im Netz zulassen, dass jeder beleidigen, hetzen und fälschen kann, wie er will, dann wird das Netz unbrauchbar.
Aber gerade Jüngere, die eine Welt ohne Internet gar nicht mehr kennen, nehmen jede gesetzliche Beschränkung wie einen Anschlag auf ihre digitale Freiheit wahr.
Es käme doch niemand auf die Idee zu sagen, die Vorschrift, dass ich nicht alles im Kaufhaus mitnehmen kann, ohne zu bezahlen, ist eine Einschränkung meiner Freiheit. Nehmen Sie Musik-Downloads: Ein junger Pianist möchte von seinem Klavierspiel leben können. Deswegen ist für ihn die Urheberrechtsfrage relevant. Die Frage lautet: Wie können wir dieser neu entstandenen Welt Regeln geben? Über diese Frage müssen wir uns alle Gedanken machen.
Welche Freiheitsnischen bleiben dann im Netz noch übrig?
Wenn ich Ihnen einen Brief schreibe, in dem ich umstürzlerische Gedanken äußere, käme auch niemand auf die Idee zu sagen: Den Brief darf jetzt jeder aufmachen, um zu sehen, ob das tatsächlich so ist. Es ist doch die Frage, wann ich jemandem erlaube, auf Daten und Aussagen zuzugreifen. Entscheidend kommt es dabei auf die Voraussetzungen für den Abruf und die Nutzung an, was das Bundesverfassungsgericht mit seiner neuesten Entscheidung auch als maßgebend betrachtet hat. Es sind die gleichen Grenzen, die im normalen Leben auch gelten. Allerdings muss es doch möglich sein, wenn es einen Hinweis darauf gibt, dass mit Waffen gehandelt wird, und eine Ladung aus Dänemark im Hamburger Hafen ankommt, dass man sich dann mit einem gerichtlichen Beschluss anschaut oder anhört, was da so geskypt wird. Das gilt eins zu eins auch für die Software, die wir aufgespielt haben zur Bekämpfung organisierter Kriminalität.
...der sogenannte Bundestrojaner...
Da kann man jetzt immer streiten, wo die Grenze ist: Ist ein Screenshot zulässig oder nicht und kann ich überhaupt eine E-Mail lesen, wenn ich nicht Screenshots mache, weil ich die Sekunde, wo der Absender auf Enter drückt, nicht genau treffen kann. Das sind die Fragen mit denen sich Wissenschaft und Rechtsprechung auseinandersetzen.
Sie stehen dem Netz also nicht prinzipiell skeptisch gegenüber?
Nein, im Gegenteil: Das Internet ist für uns eine Riesenchance. Denken Sie nur an die enormen Produktivitätsfortschritte in vielen Branchen und die gesellschaftliche Bedeutung. Andererseits kann es die Menschen, und damit auch den Staat, nicht kaltlassen, wenn Kinder über Cybermobbing depressiv und kaputtgemacht werden, wenn irgendwelche Neonazis ihr Zeug ablassen und Jugendliche verführen. In diesen Fällen verlangen die Bürger doch zu Recht vom Staat, dass er überlegt, wie er das verhindern kann, und dann auch entsprechend handelt.
