Wie cybersicher ist Deutschland?
Die Statistiken der Polizei und des Bundesamts für Sicherheit in der Informationstechnik zeigen stetig steigende Zahlen von Cyber-Kriminalität. Die Bedrohungslage ist nicht zuletzt durch den Ukraine-Russland-Krieg gestiegen. Was bedeutet das aber genau für die Nutzer und Unternehmen? Unternimmt der Gesetzgeber genug, um die Allgemeinheit zu schützen? Darüber sprechen wir mit Prof. Dr. Dennis-Kenji Kipker.
Sehr geehrter Herr Prof. Kipker, Sie sind ein Experte für IT-Sicherheitsrecht, lehren an zahlreichen renommierten Universitäten und sind auch als Berater in diesem Bereich tätig. Wie beurteilen Sie den Stand der Cybersicherheit in Deutschland?
Wir haben in Deutschland die akute und gesteigerte Bedrohungslage definitiv erkannt und uns auf den Weg gemacht, sind aber noch lange nicht am Ziel angelangt. Die Vulnerabilität nicht nur unserer kritischen IT-Infrastruktur wird ja regelmäßig deutlich – und das sowohl im öffentlichen als auch im privaten Bereich. Angegriffene Kommunen und Bundeseinrichtungen, infiltrierte Unis und Hochschulen, aber auch viele Unternehmen aus dem deutschen Mittelstand, die vor allem im letzten Jahr mit Cyberangriffen konfrontiert wurden, belegen die Kritikalität der aktuellen Lage mehr als deutlich.
Umso erschreckender ist jedoch, dass es oftmals am grundlegendsten Wissen und damit an Basistechnologien fehlt, um effektive Cybersicherheit umzusetzen. Und das ist vielfach nicht eine Frage fehlender personeller oder finanzieller Ressourcen, sondern häufig Unwissenheit – die vielzitierte Awareness also für eine Vielzahl von Cyberangriffen, die tagtäglich massenhaft und standardisiert auf uns hereinprasseln. Regierung und Gesetzgeber bemühen sich hier zwar, tätig zu werden, letztlich aber kann der Staat nur unterstützen und keine Vollabsicherung sämtlicher IT-Infrastruktur in Deutschland realisieren – wenn nicht die Unternehmen, Behörden und Verbraucher auch selbst tätig werden, um ihre IT und wichtigen Daten zu schützen.
Ist die Privatsphäre der Menschen in Deutschland im Internet wirklich geschützt? Wie sollten die Vorschriften gestaltet sein, um sowohl unsere Sicherheit als auch unsere Privatsphäre im Internet zu schützen?
Das deutsche Schutzniveau für die Privatsphäre von Bürgerinnen und Bürgern im Netz ist deutlich höher als in vielen anderen Staaten – und das ist natürlich primär auch auf das europäische Recht zurückzuführen. Hier verfügen wir bereits seit Jahren über Regelungen wie die DS-GVO, die mittlerweile sogar weltweiten Vorbildcharakter haben. Nichtsdestotrotz gibt es natürlich immer Schutzlücken.
Das fängt bei der Verwendung sicherer digitaler Identitäten im Netz an, geht über möglichst einfache Wege zur Nutzung verschlüsselter Kommunikation und endet bei zurzeit scheinbar noch unlösbaren Problemen wie dem datensicheren und datenschutzkonformen transatlantischen Datenverkehr. Und spätestens an dieser Stelle sieht man eben auch wieder, dass Gesetze letztlich nur abstrakte Vorgaben machen können – wenn sich diese technisch nicht in der Praxis umsetzen lassen, nutzt ein noch so hohes Datenschutzniveau nur auf dem Papier herzlich wenig.
Studien zeigen, dass die Bedrohungen durch Cyberkriminelle für Nutzer und Unternehmen in diesem Jahr weiter zunehmen werden. Welche Bedrohungen sind auf dem Vormarsch und was könnte Ihrer Meinung nach die Erklärung dafür sein?
Wir erleben zurzeit wieder einmal eine wahre Blüte an Ransomware-Vorfällen, aber auch digitale Kollateralschäden infolge des Russland-Ukraine-Kriegs sind an der Tagesordnung. Mehr und mehr sind Angriffe aber auch zielgerichtet, eben weil es etwas zu holen gibt und man sich als Angreifer kausal infolge des Angriffs wirtschaftlich bereichern kann. Das Thema IT-Supply-Chain wird uns überdies auch in diesem Jahr sicherlich nicht in Ruhe lassen.
Neben den unternehmerischen Fragen zur Cybersecurity-Compliance spielt auch in 2023 der digitale Verbraucherschutz eine wichtige Rolle. Wir reden hier nicht nur über abstrakte Cybergefahren, sondern über ganz konkrete Bedrohungen wie Phishing, Identitätsdiebstahl, Fake-Shops und Sextortion. Gerade bei Verbraucherinnen und Verbrauchern geht es somit nicht nur um die Absicherung der Funktionsfähigkeit ihrer IT, sondern insbesondere um den digitalen Persönlichkeitsschutz. Man sollte deshalb im Vorfeld genau überlegen, mit wem man welche Daten teilt – denn manchmal kann die Cyber-Bedrohung nämlich auch im unmittelbaren sozialen Umfeld liegen.
Welche Vision haben Sie für eine wirksame Cybersicherheit von Unternehmen, kritischen Infrastrukturen und Nutzern, die in den nächsten fünf Jahren Realität werden soll?
Von einer „Vision“ zu sprechen, wäre vermutlich zu optimistisch. In erster Linie hoffe ich, dass es uns in fünf Jahren gelungen sein wird, für die allermeisten Einrichtungen, Betriebe und Infrastrukturen sowie für Bürgerinnen und Bürger einen Basisschutz aufzubauen, der geeignet ist, zumindest den standardisierten Angriffsvektoren angemessen zu begegnen.
Über Prof. Dr. Dennis-Kenji Kipker
Dennis-Kenji Kipker ist einer der führenden Köpfe der Cybersicherheit in Deutschland und arbeitet als Professor für IT-Sicherheitsrecht an der Hochschule Bremen an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz. Dabei kommt bei ihm auch die Praxis und Beratung nicht zu kurz: So ist er außerdem als Legal Advisor des VDE, CERT@VDE tätig und prägt im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin die zukünftige europäische und deutsche Cyber-Politik maßgeblich. Als Geschäftsführer des Beratungsunternehmens Certavo in Bremen setzt er sich überdies für die Entwicklung und Umsetzung pragmatischer Lösungen zur digitalen Compliance-Konformität von Unternehmen international ein.
Lust auf noch mehr Lesestoff?
Erhalte die neuesten Nachrichten und Tipps von NordVPN.