Im Blickpunkt: Wirksamer Schutz vor Cyberattacken

Gastbeitrag von Klaus Brisch, LL.M.

Beitrag als PDF (Download)

Einleitung
Jedes Jahr verursachen Cyberattacken erhebliche wirtschaftliche Schäden: einer Studie zufolge weltweit im Umfang von rund 600 Milliarden US-Dollar allein im Jahr 2017. Für Deutschland wird der Schaden auf 43,4 Milliarden Euro geschätzt. Es wird darüber hinaus erwartet, dass das Risiko, Opfer von Cyberkriminalität zu werden, weiter steigt. So sorgt die zunehmende Digitalisierung für eine Vergrößerung der Angriffsfläche, gleichzeitig werden die Angreifer die technische Effizienz ihrer Cyberattacken weiter steigern.
Die meisten großen Unternehmen haben die herausragende Bedeutung von Cybersicherheit mittlerweile erkannt. Ganz anders die kleineren und mittleren Unternehmen (KMUs). Hier herrscht oft der Glaube vor: Uns wird es schon nicht treffen, andere sind doch viel interessanter. Dabei verkennen die Verantwortlichen, dass es Hackern manchmal gar nicht um ein Unter­nehmen selbst geht, sondern darum, Daten oder Rechenkapazität abzugreifen. Das kann jederzeit auch ein KMU treffen – und sich dann langfristig geschäftsschädigend auswirken. So ist es wahrscheinlich, dass so mancher verschreckte Kunde seine sensiblen Daten dem Unternehmen anschließend nicht mehr anvertrauen will.
So selbstverständlich das regelmäßige Installieren von Updates der benutzten IT-Systeme und der stete Wechsel von Passwörtern geworden sind, so klar ist jedoch auch: Das allein gewährt keinen ausreichenden Schutz vor Cyberangriffen. Ebenso wichtig wäre es vielmehr, jederzeit schnell über entdeckte Sicherheitslücken in verwendeten Softwareprogrammen informiert zu werden – um dann entsprechend reagieren zu können. Genau dies ist in Deutschland aber bislang nicht flächendeckend organisiert.

Es gibt kein flächendeckendes Warnsystem in Deutschland
Immerhin gibt es in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI): eine Behörde, zu deren Aufgaben auch das Informieren über akute IT-Bedrohungen zählt. Ein eigenes Gesetz (BSIG) regelt sogar die genauen Kommunikations- und Informationswege zu sicherheitsrelevanten Themen und Ereignissen in der Informationstechnik. Nach derzeitiger Gesetzeslage ist es allerdings so, dass nur die Betreiber sogenannter kritischer Infrastruktur ihre IT-Störungen unverzüglich an das BSI melden. Und auch das BSI informiert und warnt nur ausgewählte Wirtschaftsakteure über aktuelle IT-Risiken. Das heißt: Ein flächendeckendes Warnsystem gibt es nicht.

In Vorbereitung: IT-Sicherheitsgesetz 2.0
In Vorbereitung ist derzeit das sogenannte IT-Sicherheitsgesetz 2.0. Dessen aktueller Entwurf sieht etwa eine Ausweitung der Meldepflicht bei IT-Attacken vor. Der gesetzlich normierte Informationsaustausch würde dann auch Rüstungs-, Auto- und Chemieindustrie, die Medien und einige andere Adressaten einbeziehen. Das ist durchaus als Schritt in die richtige Richtung anzusehen. Doch leider behebt der aktuelle Gesetzentwurf nicht alle Schwachstellen, die insbesondere aus Sicht der Wirtschaft bestehen. So bliebe der Informationsfluss des BSI – etwa über bestehende Sicherheitsrisiken – auch in Zukunft auf bestimmte Adressaten in der Wirtschaft beschränkt. Eine flächendeckende Lösung wäre dies nicht. Hinzu kommt: Auch weiterhin bestünde nicht für alle Wirtschaftsakteure eine echte Meldepflicht von Cyberangriffen. Darüber hinaus fehlt eine Vernetzung beziehungsweise geregelte Zusammenarbeit des BSI mit Meldestellen in anderen Ländern. Und schließlich gibt es auch kein Konzept, das Anbieter und Nutzer von Sicherheitsleistungen direkt zusammenführen würde.

Was zu tun ist
Umso wichtiger wäre es daher, eine technische B2B-Lösung zu schaffen, die alle Beteiligten zusammenbringt: möglichst große Teile der Wirtschaft, die Sicherheitsbehörden und die Cybersicherheitsunternehmen. Dies könnte eine elektronische Plattform leisten, die dann auch einen Informationsaustausch zwischen allen Akteuren erlaubte – und zwar in Echtzeit. Eine derartige „Cyber-Threat-Plattform“ erhielte dann die Warnhinweise zu möglichen Bedrohungen direkt von Cybersicherheitsunternehmen. Nutzer solcher Hinweise wären dann die Unternehmen aus der freien Wirtschaft. Anders als bisher wären Branche und Unternehmensgröße dabei ohne Belang. Selbstverständlich sollten auch staatliche Behörden an eine derartige Plattform angeschlossen sein. Auch sie könnten dort Erkenntnisse oder relevante Informationen zu Sicherheitsthemen beisteuern. In diesem Zusammenhang wäre es allerdings wichtig, dass diese Institutionen keinen vollen Zugriff auf Unternehmensdaten bekämen, da ansonsten der Eindruck einer staatlichen Überwachung entstehen könnte, was wiederum manche Unternehmen abschrecken würde. Ebenso wichtig: Unternehmen, die einen Angriff auf ihre IT an die Plattform melden, sollte es gestattet sein, anonym zu bleiben, um keinen Imageverlust befürchten zu müssen. Gleichwohl sollte stets für alle Nutzer erkennbar sein, welche Unternehmen an die Plattform angeschlossen sind.
Eine solche „Cyber-Threat-Plattform“ brächte natürlich auch eine Reihe juristischer Implikationen mit sich – etwa für die beteiligten Cybersicherheitsunternehmen. Üblicherweise konkurrieren diese miteinander. Daher wäre eine Art Kooperationsvereinbarung erforderlich. Darin würden die jeweiligen Rechte und Pflichten im Rahmen der Zusammenarbeit geregelt. Auch für die Unternehmen aus der Wirtschaft müssten klare Teilnahmebedingungen festgeschrieben werden. Dazu gehören Anforderungen an technische IT-Mindeststandards in den Unternehmen ebenso wie konkrete Verhaltensregeln auf der Plattform, um deren Reputation und Integrität nicht zu gefährden.
Entsprechende Plattformlösungen sind keinesfalls neu. Vergleichbare Ansätze gibt es bereits – sowohl auf nationaler als auch auf internationaler Ebene. Bisher beschränken sie sich aber auf klar umrissene Teilnehmergruppen. Grundsätzlich lassen sich dabei zwei Arten von Plattformen unterscheiden. Da ist zum einen die Gruppe der – eher technisch orientierten – „Information Sharing and Analysis Centers“ (ISACs). Dazu gehört beispielsweise die unter anderem von der EU-Kommission mitfinanzierte „Malware Information Sharing Platform” (MISP). Dort tauschen sich Teilnehmer über Malware, drohende IT-Attacken und mögliche Abwehrmaßnahmen aus. Weitere, ebenfalls grenzüberschreitende ISACs gibt es im Umfeld bestimmter Branchen wie etwa der Finanzindustrie oder der Energieversorger.
Bei der zweiten Plattformart steht die Vernetzung im Vordergrund. Sie soll beispielsweise Cybersicherheitsunternehmen mit Firmen zusammenbringen, die ihre IT-Infrastruktur schützen möchten. In Deutschland gibt es dabei auf nationaler Ebene etwa die „Allianz für Cyber-Sicherheit“ (ACS) mit über 3.600 Teilnehmern und die „Initiative Wirtschaftsschutz“, bei der Cybersicherheit allerdings nur einer von mehreren Aspekten ist. Vergleichbare Vernetzungsplattformen existieren darüber hinaus auch in einigen Bundesländern.

Fazit
All diese Erfahrungen wären durchaus dienlich bei der Entwicklung der skizzierten „Cyber-Threat-Plattform“, so dass eine technische Realisierung relativ rasch machbar wäre. Eine solche Lösung würde helfen, die Kompetenz der Wirtschaft in Sachen Cybersicherheit zu stärken, Bedrohungen schneller zu erkennen und ihnen flächendeckend zu begegnen. Das heißt auch: Der wirtschaftliche Schaden ließe sich so präventiv wirksam begrenzen.

klaus.brisch@dwf.law

Aktuelle Beiträge