Bericht

Z Außen Sicherheitspolit (2014) 7:67–73DOI 10.1007/s12399-013-0392-6

Online publiziert: 19.12.2013© Springer Fachmedien Wiesbaden 2013

V. Diersch ()Universität zu Köln,Gottfried-Keller-Straße 6, 50931 Köln, DeutschlandE-Mail: verena.diersch@uni-koeln.de

Ein Bericht über den Cyber Security Summit 2013 der Münchner Sicherheitskonferenz und der Deutschen Telekom in Bonn

Verena Diersch

1 Einleitung

Der Cyber Security Summit der Münchner Sicherheitskonferenz in Kooperation mit der Deutschen Telekom am 11. November 2013 in Bonn beschäftigte sich im Vergleich zum vergangenen Jahr nicht vorrangig mit Themen wie cyber crime, Bedrohungen durch politisch motivierte Hacker oder cyber warfare, sondern wurde überschattet durch die NSA-Affäre. Hochrangige TeilnehmerInnen aus Politik und Wirtschaft diskutierten unter anderem Möglichkeiten der digitalen Kommunikation zwischen Regierungen, Unterneh-men und Privatpersonen, ohne die Überwachung durch US-amerikanische und britische Geheimdienste zu riskieren. Im Zentrum stand dabei die Forderung nach stärkeren euro-päischen Bemühungen, doch es kamen auch nationale Bestrebungen zur Sprache, wie etwa das so genannte nationale Routing1, das die Telekom umsetzen will. Dabei soll sichergestellt werden, dass der E-Mail-Verkehr zwischen deutschen Absendern an deut-sche Adressaten nur durch inländische Netze geht. Die EU setzt jedoch auf die Stärkung eines „digitalen Binnenmarktes“. Nicht nur verschiedene Strategien für sichere Infor-mations- und Kommunikationsstrukturen unterschieden sich in den Diskussionsrunden, auch die Frage nach den Konsequenzen aus der NSA-Affäre und die Einstellung zu offen-siven Cyber-Kapazitäten wurden in Bonn kontrovers diskutiert.

2 Forderung nach Schengen-Routing und European Digital Market

René Obermann, Vorstandschef der Deutschen Telekom AG, stufte die Enthüllungen rund um die NSA-Affäre gerade deshalb als besonders brisant ein, da es wohl auch

1 Vgl. die Ausführungen von Telekom-Chef René Obermann in diesem Konferenzbericht.

68 V. Diersch

Industriespionage gegeben habe, wie er sagte. Er positionierte sich klar, indem er die NSA als „freiheitsfeindlich“ bezeichnete. Denn Freiheit bedeute für ihn, auch ein gewis-ses Maß an Unsicherheit zu tolerieren. Er bescheinigte dem US-amerikanischen Dienst, dass es ihm nicht alleine um Sicherheitsinteressen, sondern um taktische, politische und ökonomische Vorteile gehe. Ein solches Vorgehen bezeichnete Obermann als „Aushöh-lung des fairen Wettbewerbs“. Er sieht die Grundprinzipien des freien Marktes und der Chancengleichheit ausgehebelt. Nicht nur durch ungerechte Informationsvorteile ent-stünden dem europäischen Markt nun Nachteile, auch das Vertrauen habe gelitten. Die Vertrauenswürdigkeit von Information müsse in einer digitalisierten Welt jedoch Priorität haben, so Obermann. Um Vertrauen wiederherzustellen, müsse Europa sich nun engagie-ren. René Obermann sprach von einer „Koalition des Vertrauens“, die innerhalb Euro-pas errichtet werden müsse, „im Zweifelsfall auch ohne einzelne Mitgliedstaaten“. Diese Aussage legt nahe, dass der Telekom-Chef den Ausschluss des eng mit den US-Geheim-diensten vernetzten Vereinigten Königreichs wenn nicht direkt befürworten, dann doch zumindest für möglich erachten würde. Obermann wies jedoch Vorwürfe zurück, denen zufolge die Telekom die Nationalisierung des Internets plane. Vielmehr möchte die Tele-kom eine Strategie der direkteren Kommunikation im Internet umsetzen, Regelungen, wie es sie beispielsweise in den USA längst gebe. Im Rahmen des Cyber Security Summits warb Obermann, neben der Telekom-Strategie für innerdeutschen E-Mail-Verkehr, aber auch für ein so genanntes Schengen-Routing und die Schengen-Cloud. Dadurch würde ein Datenaustausch innerhalb europäischer Netze und ohne Weiterleitung auf US-ameri-kanische Server und Angebote möglich. „Wenn Absender und Empfänger von Daten im Schengenraum liegen, können wir den Datenverkehr auch innerhalb dieses Raumes belas-sen“, so Obermann. Diese Linie befürwortete auch Neelie Kroes, Vizepräsidentin der EU-Kommission. Gegen Massenüberwachung sei eine europäische Anstrengung nötig. Denn das Internet sei nun einmal global angelegt. Durch „slicing the single market into single pieces“ werde nur das Kind mit dem Badewasser ausgegossen. Die Verantwortliche für die Digitale Agenda der EU kritisierte damit indirekt die Pläne für den nationalen E-Mail-Ver-kehr der Telekom, welche die Bundesregierung nach Medienberichten unterstützt. Kroes selbst hat große Visionen für Europa: „Europe can become the safest cyber economy in the world“. Die Grundlagen hierfür seien bereits gelegt. Man müsse sich lediglich auf die „core values“ der EU besinnen, wie „freedom“, „safety“ und „security“. Diese Prinzipien hätten online und offline ihre Gültigkeit, so Kroes. Die Herausbildung von internationalen Normen solle auf diesen Werten aufbauen. Gerade neue Vereinbarungen auf internationa-ler Ebene könnten „global fundamental rights“ eine stärkere Wichtigkeit verleihen.

Doch nicht nur Verhandlungen auf politischer Ebene seien durch die Enthüllungen der letzten Monate nötig geworden. Europa müsse sich auch technologisch weiterentwickeln. „We need the best technology“, so die EU-Kommissarin für die Digitale Agenda. Dies könne bedeuten, dass Europa diese Technologien selbst entwickeln müsse. Jacob Appel-baum, Aktivist gegen Pressezensur und für mehr Freiheit im Internet sowie Mitbegründer des Tor-Netzwerkes, der als Teilnehmer zum Cyber Security Summit eingeladen war, bemerkte in diesem Zusammenhang, dass NSA-Whistleblower Edward Snowden genau der richtige sei, diese Innovationen in Europa voranzubringen und forderte politisches Asyl für ihn. Neelie Kroes setzt für ein sicheres Europa vor allem auf Forschung und Entwicklung. Sie könne sich auch vorstellen, dass die EU bei der Zertifizierung von IT-

Ein Bericht über den Cyber Security Summit 2013 der Münchner … 69

Produkten tätig werde. Ihr Credo für mehr IT-Sicherheit in Europa lautet knapp zusam-mengefasst: „Better capabilities, better culture, more cooperation“. Es solle nicht nur die Kooperation zwischen den EU-Mitgliedstaaten verbessert werden, sondern auch die Zusammenarbeit mit Unternehmen. Da gerade kleine und mittelständische Unternehmen durch Cyber-Angriffe finanziell bedroht seien – sie können sich aufgrund ihrer gerin-gen Größe oft keine ausreichenden Sicherheitsmaßnahmen leisten oder sind von durch Angriffe hervorgerufenen Schäden in hohem Maße betroffen –, wolle die EU „general guidance“ für mehr IT-Sicherheit bieten. Im Rahmen des Forums Network and Informa-tion Security (NIS) würden EU-weit bereits 108 Akteure im Sinne einer „private public partnership“ zusammenarbeiten und „best practices“ für sichere Informations- und Kom-munikationsstrukturen austauschen sowie Maßnahmen, proportional zur Bedrohung, umsetzen. Wie zuvor bereits René Obermannn sprach sich auch Neelie Kroes für einen europäischen Cloud-Service aus. Dieser sei nötig, um den „European digital market“ zu vervollständigen.

Ganz im Sinne ihrer Vorredner sprach auch Johanna Mikl-Leitner, österreichische Innenministerin, vom Cyberspace als „Steuerungsraum“. Sie forderte „sichere digitale Identitäten“ im Internet. Sie nannte zusätzlich die Supply-Chain-Sicherheit als Kern-ziel einer IT-Sicherheitsstrategie. Außerdem forderte die ÖVP-Politikerin ein „einheit-liches europäisches Verschlüsselungssystem mit dem Ziel, Daten in Europa zu behalten“. Außerdem unterstütze sie die Schaffung einer europäischen Serverlandschaft, die den Zugriff durch unbekannte Dritte ausschließe. Diesen „weiten Weg, den wir zu gehen haben“ sieht sie als wirtschaftliche Chance für Europa. „Die IT-Kompetenz und die IT-Arbeitsplätze sollen in Europa bleiben, sie sollen im globalen Wettbewerb bestehen bleiben“.

3 Cyber warfare: Offensive oder Defensive?

Ehud Barak sprach in seiner keynote über cyber warfare. Angriffe aus dem Internet wür-den eine ernsthafte Bedrohung für die nationale Sicherheit darstellen. „We see much more sophisticated kinds of attacks“, so der ehemalige Ministerpräsident Israels. Gerade die Gefährlichkeit von Distributed Denial of Service-Attacken (DDos), habe sich „by a factor of 1000 not only in volume but in kind of repetition“ verstärkt. „Hacking will become more sophisticated“, skizzierte Barak den allgemeinen Trend in der IT-Sicherheit. Es werde bald auch möglich sein, durch Schadprogramme starke physische Infrastruktur-schäden zu verursachen und sich beispielswiese Zugriff zu SCADA-Steuerungssystemen zu verschaffen. Die Verteidigung von IT-Netzwerken und Infrastrukturen gegen Cyber- Angriffe werde daher auf lange Sicht eine Herausforderung bleiben. „The offense is light years ahead of the defence and will remain so“, so seine Einschätzung. Die NSA-Affäre streifte Ehud Barak in seinen Ausführungen nur am Rande. „Ich glaube nicht, dass die NSA die einzige Organisation ist, die so etwas macht“, so der Kommentar des ehemaligen Chefs der israelischen Intelligence Community und des Generalstabes der Armee. Wenn Neelie Kroes in ihrer keynote zuvor von „different mindsets“ bei AmerikanerInnen und EuropäerInnen zum Thema Datenüberwachung und Datensicherheit sprach, so lässt sich Ähnliches wohl auch für Israel im Bereich cyber defence attestieren. Ehud Baraks Bot-

70 V. Diersch

schaft auf dem Cyber Security Summit in Bonn war klar: „Defence is based on lessons learned on the offense side“. Besonders hilfreich sei es deshalb auch, gezielt Köder im Netz auszulegen, so genannte honeypots, wie sie auch durch die Telekom aufgestellt wer-den (täglich werden auf die 180 absichtlich präparierten Schwachstellen bis zu 800.000 Angriffe ausgeübt). Aus diesen Attacken könne man lernen. Daraus könnte man zuge-spitzt ableiten, dass Angriff für Barak die beste Verteidigung ist. Klar gebe es auch im Sicherheitsbereich Interessen, so der ehemalige israelische Ministerpräsident. Welche Fähigkeiten ein Land brauche um sich sicher zu fühlen, sei individuell zu betrachten.

4 Normen für den Cyberspace

Howard Schmid, ehemaliger IT-Sicherheitsberater von US-Präsident Barack Obama, sprach sich für eine so genannte cyber hygiene als Mittel gegen Angriffe aus dem Netz aus. Das bedeute, dass UserInnen ihr Nutzerverhalten überprüfen müssten. Gleichzei-tig müsse sich jedoch auch die polizeiliche Ermittlungsarbeit sowie die Aufklärung der Geheimdienste an den neuen Gegebenheiten orientieren. Der Amerikaner zeigte sich angesichts der NSA-Affäre durchaus kritisch. Die US-Regierung müsse einen Teil ihrer Aufklärungsarbeit im Netz aufgeben. „Just because we can doesn’t mean we should“, sagte Schmid. Und er erklärte: „We should establish norms in cyberspace“. Bezogen auf die Überwachung durch die NSA sagte er, die US-Regierung sei nicht antizipatorisch genug gewesen, da sie ihre Umwelt nur aus einer Bedrohungsperspektive heraus betrach-tet habe. Er schlug vor, Gespräche mit dem Privatsektor anzustreben. Die Regierung müsse lernen „how to make it better“. Auch sein Nachredner Yves Leterme, ehemali-ger Premierminister Belgiens und seit 2011 stellvertretender OECD-Generalsekretär für Soziales, Bildung, Governance und Unternehmertum, legte den Schwerpunkt auf Nor-men. „We don’t have binding agreements, but we have the critical mass“, fasste er den Ist-Zustand in der Cyber-Debatte zusammen. Die Normenfindung basiere auf der Koope-ration von Regierungen, der Zivilgesellschaft und der Unternehmen. Neue Regeln und Normen sollten in einer globalen Anstrengung erarbeitet werden und der Internet-Öko-nomie gerecht werden; denn das Internet sei im Kern dezentral aufgebaut und transparent. Zusätzlich zur Schaffung von Normen müsse auch an der Entwicklung einer Kultur der Internetnutzung gearbeitet werden. Das Verhalten von Staaten und Privatpersonen müsse sich an Regeln und Gesetze anpassen.

5 Spionage und Grundrechte

Sabine Leutheusser-Schnarrenberger, stellvertretende FDP-Bundesvorsitzende und scheidende Justizministerin, prangerte in ihrer keynote das geheime FISA-Gericht, wel-ches die Überwachungspraktiken der NSA genehmigt hatte, an. So etwas könne es in Deutschland gar nicht geben. „Geheimgerichte sind mit der deutschen Verfassung nicht in Einklang zu bringen“, bekräftigte sie. Sie bezeichnete die Gegenwart als „Post-Privacy-Zeitalter“ und analysierte in Reaktion auf ihren Ministerkollegen Hans-Peter Friedrich: „Gäbe es ein Grundrecht auf Sicherheit, würden die Grundrechte auf private Freiheit

Ein Bericht über den Cyber Security Summit 2013 der Münchner … 71

leerlaufen“. Das Bundesverfassungsgericht habe nicht ohne Grund das „Computergrund-recht“ gestärkt. 2010 habe die Nichtig-Erklärung des deutschen Umsetzungsgesetzes zur anlasslosen Vorratsdatenspeicherung von Kommunikationsdaten einen Paradigmenwech-sel hervorgerufen. Daten können nun nur noch bei konkreten Anlässen genutzt werden. Leutheusser-Schnarrenberger möchte jedoch noch weiter gehen und eine Datenschutz-grundverordnung verabschieden. Denn nur dann würden Internet Service Provider (ISPs) oder Unternehmen mit Sitz im Ausland, wie Facebook, die strenge deutsche Datenschutz-verordnung nicht mehr unterlaufen können. Sie unterstütze außerdem ein „No-Spy-Ab-kommen“ auf Regierungsebene und nicht als bloße Absprache zwischen den Diensten. Die Frage des Datenschutzes habe eine neue Dimension erreicht, denn Daten würden nun auch „für immer“ gespeichert werden. Die deutsche Justizministerin sprach sich für mehr Regulierung aus. Diese könnte durch mehr Transparenz umgesetzt werden, im Sinne einer Verpflichtung für Unternehmen, die Kundendaten verarbeiten. Zudem sollen Verbraucherschutzregeln in den Vordergrund gestellt werden. Leutheusser-Schnarren-berger schlug dafür eine Ampellösung vor, um VerbraucherInnen zu vermitteln, welche Angebote und Services im Sinne des Datenschutzes sicher seien. Darüber hinaus müsse es mehr Information und Sensibilisierung geben. Der Verbraucher müsse eine Vorstellung davon haben, was mit seinen Informationen passiere. Außerdem unterstützt Leutheus-ser-Schnarrenberger ein Lagebild über IT-Sicherheitsrisiken und bekannte sich klar zur Meldepflicht von Cyber-Angriffen auf Unternehmen. Meldungen müssten dann jedoch anonymisiert und vertraulich behandelt werden.

Die Teilnehmenden der Konferenz zogen sich im Rahmen des Cyber Security Summit nach dem öffentlichen Plenum in hinter verschlossenen Türen tagende Arbeitsgruppen zurück. Thomas Kremer, Vorstandsmitglied Datenschutz, Recht und Compliance der Telekom AG, stellte anschließend die Ergebnisse der AG I „Neue Bedrohungsszena-rien für die Wirtschaft“ vor. Er sprach von organisierter Kriminalität im Cyberspace. Sie werde immer professioneller und wachse stark. „Das macht uns die größten Sorgen“, so Kremer. Um mehr Sicherheit zu schaffen, sei in der Arbeitsgruppe diskutiert worden, ob man Unternehmen, die „back doors“ für fremde Zugriffe in ihren IT-Produkten vorhalten, mit einem Bußgeld bestrafen solle. Ebenso sei die Zertifizierung von sicherer Hard- und Software durch Behörden auf den Verhandlungstisch gekommen. Kritisch diskutiert wor-den sei auch eine europäische Anstrengung bei der Entwicklung von IT-Produkten im Sinne einer „EADS der Hardware in der Industrie“. Das Fazit der AG I „Neue Bedro-hungsszenarien für die Wirtschaft“ lautete dann, eine stärkere Zusammenarbeit zwischen den Unternehmen anzustreben, um die Gefahrenlage im Überblick besser zu begreifen. Diese Kooperation könnte sich am deutschen Beispiel der Allianz für Cyber-Sicherheit orientieren und sei in deren Rahmen schon teilweise umgesetzt. „Uns bleibt lediglich ein risikoorientierter Blick auf das Thema IT-Security“, fasste Kremer zusammen.

Botschafter Wolfgang Ischinger, Vorsitzender der Münchner Sicherheitskonferenz, hatte die AG II „Politische und regulatorische Herausforderungen“ geleitet. Er referierte über den „Wunsch nach mehr EU und nach mehr globalen Regulierungen“. Es müsse eine zentrale Anlaufstelle für den Informationsaustausch über IT-Sicherheitsrisiken geben. Zudem bestehe ein „dringendes Bedürfnis nach einer einheitlichen EU-Linie“, da „Privatanwender und kleine und mittelständische Unternehmen einfache und diffe-renzierbare Sicherheitslösungen“ bräuchten. Zudem sei in der Arbeitsgruppe ein inter-

72 V. Diersch

nationaler Verhaltenskodex mit roten Linien für cyber network operations (CNO) und Cyber-Spionage gefordert worden. „Niemand darf davon ausgehen, dass ‚No Spy‘ zur Einstellung von nachrichtendienstlichen Aktivitäten führt“, so Ischinger. Es sei aber eine vertrauensbildende Maßnahme und stelle einen Verzicht auf „tit for tat“ dar. Reinhard Clemens berichtete aus einer Arbeitsgruppe, die sich mit IT-Bedrohungen für Unter-nehmen beschäftigt hatte, dass es ein „reales Bedrohungsszenario“ gäbe, da sich die Angriffsfläche durch Apps, Social Media und „internet of things“ dramatisch vergrößert habe. Zudem werde sich „das Datenvolumen vertausendfachen“. „Wir brauchen deshalb ‚norms of behavior‘ zwischen den Regierungen, dürfen als Unternehmer aber nicht dar-auf warten, weil Regierungen im Internetzeitalter viel zu langsam sind“, so Clemens. Für mehr IT-Sicherheit müssten Unternehmen enger zusammenarbeiten. Ein Problem sei aber, dass es nicht genügend qualifizierte MitarbeiterInnen gebe. Gerade kleine und mit-telständische Unternehmen (KMU) seien besonders verwundbar und dort seien „Invest-mittel“ für mehr Sicherheit nicht vorhanden. KMU seien jedoch aufgrund der Lieferkette für große Unternehmen „extrem wichtig“.

6 Schlussbetrachtung

Timotheus Höttges, Vorstandsmitglied Finanzen der Deutschen Telekom AG, sah als Fazit der Veranstaltung, dass massiv in IT-Sicherheit investiert wurde und es zur Chefsache geworden sei. „Das ist gut so“, attestierte er. Höttges resümierte jedoch auch, dass beim Thema Sicherheit im Cyberspace „unterschiedliche ethische Auffassungen aufeinander krachen“. In den USA müsse das Recht des Individuums vor den Sicherheitsinteressen des Staates zurückstehen und stünde nur an zweiter Stelle. In Deutschland habe hingegen der Schutz des Individuums verfassungsrechtliche Priorität. Deshalb könne nur ein gemein-sames Wertesystem die Grundlage für IT-Sicherheits-Verhandlungen sein. Höttges Fazit zeigt den Spannungsbogen des Cyber Security Summit auf. Die Veranstaltung hatte die Herausforderung zu meistern, sowohl Datenschutz in einer Welt der geheimdienstlichen Massenüberwachung als auch Produktions- und Informationssicherheit von Unternehmen vor Industriespionage und Cyber Crime-Angriffen zu thematisieren. Den Teilnehmenden und Vortragenden gelang es dabei zumindest teilweise, Problemfelder nicht nur anzu-reißen, sondern markante Positionen zu beziehen und praktische Handlungsanweisungen auszusprechen. Auch wenn Yves Leterme attestierte, die Praxis der Geheimdienste sei im Themenfeld cyber security „nicht das Kernproblem“, so kam die Diskussion doch immer wieder auf Spionage und dem damit einhergehenden Vertrauensverlust zurück. Dabei fiel vor allem das Stichwort Verschlüsselung, das durchaus kontrovers diskutiert wurde. Kon-ferenzteilnehmer Jacob Appelbaum machte deutlich, dass alles, was nicht verschlüsselt sei, von US-Geheimdiensten gespeichert und verwendet werde. „This is the world that we live in“, bekräftigte er. Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik BSI, forderte daher eine End-to-End-Verschlüsselung im Internet. Neben diesen Kontroversen kristallisierte sich in Bonn auch heraus, dass die Wirkung der NSA-Affäre sich nicht überall gleichartig entfaltet. Während Internet-AktivistInnen und investigative JournalistInnen wie Jacob Appelbaum mehr Aufklärung und eine stärkere Debatte fordern, scheinen einigen politischen EntscheidungsträgerInnen die Enthüllun-

Ein Bericht über den Cyber Security Summit 2013 der Münchner … 73

gen und die dadurch losgetretenen Diskussionen zu viel zu werden oder doch zumindest bereits zu genügen. „Do we really need to know more?“, war Neelie Kroes Reaktion auf Appelbaums Forderung, Edward Snowden als Experte und Zeuge nach Deutschland zu holen. Der Spagat zwischen den relevanten Themen NSA-Ausspähung und Schutz vor cyber crime gelang der Veranstaltung von Münchner Sicherheitskonferenz und Telekom auch deshalb, weil beide Punkte eine „Klammer“ verbinde, wie René Obermann eingangs sagte: Vertrauen, in die Technik und über sie hinaus.