Gegen den Stillstand in der IT-Sicherheit

Grüne fordern konkrete Maßnahmen und Kulturwandel

| Autor / Redakteur: Joachim Jakobs / Peter Schmitz

Dieter Janecek ist Abgeordneter von BÜNDNIS 90/DIE GRÜNEN im Bundestag und Mitglied im Ausschuss „Digitale Agenda“.
Dieter Janecek ist Abgeordneter von BÜNDNIS 90/DIE GRÜNEN im Bundestag und Mitglied im Ausschuss „Digitale Agenda“. (© Uwe Schroepf Fotodesign, Bündnis 90/Die Grünen)

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Der GRÜNEN-Bundestagsabgeordnete Dieter Janecek kritisiert das „viel zu geringe Engagement“ Deutschlands bezüglich künstlicher Intelligenz, warnt vor „technologischer Kolonialisierung“ durch China und strebt nach „digitaler Souveränität“.

Das Bundesamt für Sicherheit in der Informationstechnik schreibt in seinem Lagebericht 2018: „Die Gefährdungen sind im Berichtszeitraum im Vergleich zum vorangegangenen Berichtszeitraum vielfältiger geworden“ und hätten „zugenommen“. Gleichzeitig befänden „wir uns erst am Anfang einer Ära der Digitalisierung, die unseren Alltag und unsere Gesellschaft umfassend beeinflussen wird“. Das Amt stellt in Aussicht: „Ohne entsprechende Anstrengungen, das notwendige Maß an Informationssicherheit durch Prävention, Detektion und Reaktion zu gewährleisten, werden Staat, Wirtschaft und Gesellschaft in Deutschland zunehmend gefährdet.“

Digitale Transformation verlangt kollektiven Dauerlauf

SPD-MdB Esken zum digitalen Immunsystem

Digitale Transformation verlangt kollektiven Dauerlauf

02.05.19 - Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Die SPD-Bundestags­abgeordnete Saskia Esken äußert sich im Interview mit Security-Insider zum Vorschlag nach einem „digitalen Immunsystem“ ihrer Fraktion. lesen

Wir wollten von Dieter Janecek, Abgeordneter von BÜNDNIS 90/DIE GRÜNEN im Bundestag und Mitglied im Ausschuss „Digitale Agenda“ wissen, welches Konzept seine Partei für die Sicherung der digitalen Welt anbietet.

Security-Insider: Zur Jahreswende 2019 tauchten Hunderte Personenprofile von Prominenten aus Politik und Medien im Netz auf. Wie viele davon stammen aus Ihrer Partei?

Dieter Janecek: Die genaue Zahl weiß ich jetzt nicht mehr, aber es betraf teils auch die Landesebene und dabei Parteiebene wie Abgeordnete, auch mich selbst. Allerdings waren oft nur Telefonnummern oder Emailadressen betroffen, die Großteils nicht mehr verwendet wurden oder sowieso (quasi) öffentlich sind. Bei Habeck waren aber wohl auch private Chatprotokolle, Dokumente und Bilder betroffen.

Security-Insider: Wie konnte das passieren?

Janecek: Wie bei jedem Doxing Fall: Viel Tagesfreizeit zum Abgrasen des Netzes und der Trieb, jemanden irgendwie kompromittieren zu wollen. Es ging hier ja nicht um Hacking, sondern ums Einsammeln von öffentlich zugänglichen Daten und hier/da etwas Herumraten und Tricksen, um Passwörter herauszubekommen. Das Ganze war zudem wenig systematisch und die gesammelten Daten wurden offensichtlich auch nicht professionell ausgewertet. Und auf der Seite der Betroffenen die üblichen Bedenkenlosigkeiten, also leicht erratbare Passwörter, dieselben Passwörter bei verschiedenen Diensten, keine Nutzung von 2-Faktoren-Verfahren, selbst wenn sie angeboten wurden. Auf Seiten der Anbieter haben teils unsichere Passwortwiederherstellungsverfahren und unzureichende Passwortrestriktionen das ihre dazugetan. Wenn dann auch noch aus vorherigen Datenpannen und Datenlecks erbeutete Daten im Darknet zu erwerben oder sogar frei verfügbar sind, hilft das natürlich auch nicht gerade, seine Privatsphäre zu schützen. Dass insbesondere Politiker und Prominente, die die digitalen Medien extensiv für ihre Kommunikation nutzen und selbst Gegenstand von Netzkommunikation anderer sind, viele Spuren im Netz hinterlassen, hilft Doxern natürlich auch.

Fakten und Stimmen zum Politiker- und Promi-Hack

Update: Datenleck bei Promis und Politikern

Fakten und Stimmen zum Politiker- und Promi-Hack

08.01.19 - Unbekannte Hacker haben vor Weihnachten die persönliche Daten von Politikern, Sängern, Schauspielern, YouTube-Stars und weiteren in der Öffentlichkeit stehenden Personen im Internet verbreitet. Schlimm, vor allem für die Betroffenen, aber in Zeiten von Data Breaches mit hunderten Millionen gestohlener Zugangsdaten kaum der Mega-Skandal der daraus derzeit gemacht wird. lesen

Security-Insider: Was haben Ihre Partei und Sie persönlich seither unternommen, damit sich Ähnliches nicht wiederholt?

Janecek: Partei und Fraktion haben ausführliche Infos zum aktuellen Fall und nochmals zu sinnvollen Standards zum Schutz der Daten und Kommunikation schriftlich und mündlich verbreitet. Ich selbst hatte kurz überlegt, ob ich meine Mobilnummer, die betroffen war, wechsle. Die haben aber sowieso sehr viele Menschen aus Politik und Medien, sie ist also kein Staatsgeheimnis und ich hatte auch bisher keine nennenswerte Last durch die Veröffentlichung der Nummer durch Johannes S. Meine Passwörter und Passwortroutinen waren wohl stark genug, um nicht so einfach erraten zu werden.

Security-Insider: Im Juni 2018 hat die Europäische Union das "Digital Transformation Scoreboard 2018" veröffentlicht. Demnach ist das digitale Bewusstsein in deutschen Unternehmen unterdurchschnittlich ausgeprägt. Hiesige Firmen erhalten bei diesem Kriterium 20 von 100 Punkten (Seite 54). Der EU-Durchschnitt beträgt 30 Punkte. Unterschätzen Deutsche Unternehmen die Bedeutung der Digitalisierung?

Janecek: Ja und nein. Die Start-ups kreisen ja in der Regel um digitale Geschäftsmodell und Innovationen. Da gibt es sicher kein Problem. Bei herkömmlichen KMU sieht es leider anders aus. Dort wird zwar sehr intensiv über Digitalisierung nachgedacht, viele Betriebe fürchten aber aufs falsche Pferd (Anbieter/Lösung) zu setzen und warten lange, bevor sie sich in ja meist hohe Investitionen und Umstrukturierungen stürzen. Der Transformationsdruck ist in vielen Betrieben, die gut am Markt stehen, bisher wohl oft nicht so groß, dass man bewährte und funktionierende Prozesse und Modelle grundlegend und eben mit dem Risiko der Fehlinvestition und des „Lehrgeldzahlens“ reformiert. Die Großindustrie, die Konzerne wiederum sind hier eigentlich sehr gut aufgestellt. Es ist also ein spezifisches Mittelbauch-Problem.

Security-Insider: Noch schlechter sieht es beim Bewusstsein bezüglich Cybersicherheit aus: Hiesige Firmen erhalten diesbezüglich 14 Punkte, im EU-Durchschnitt sind es 25 (Seite 56). Wie ist das zu erklären?

Janecek: Das ist ja quasi ein Unteraspekt des digitalen Seins- und Bewusstseins aus der Vorfrage. Hinzu kommt noch, dass KMU, die unsere Wirtschaft ja besonders prägen, oft Familienbetriebe sind, in denen gegenüber Lieferanten wie Kunden Vertrauen traditionell eine große Rolle spielt. Vertrauensbruch oder gar Ziel von Angriffen zu sein, passt nicht in dieses Denken und Wirtschaften. Und sollte es zu Vorfällen kommen, werden diese dann auch entsprechend eher totgeschwiegen, um bei Zulieferern und Kunden kein Vertrauen zu verlieren. Solche traditionelle Geschäftsethik passt aber immer weniger in unsere Zeit.

Security-Insider: Ist es ein Vor- oder ein Nachteil, dass deutsche Unternehmer nichts mit der Digitalisierung anzufangen wissen, wenn es ihnen gleichzeitig am Bewusstsein für die Risiken mangelt?

Janecek: Wie oben geschildert, ist es ja weder bei den Start-ups noch bei Konzernen/Industrie so, dass sie „nichts mit der Digitalisierung anzufangen wissen“. Nur der Mittelstand, dem auch oft die Mittel und auch das eigene Knowhow fehlen, um grundlegende Dinge im laufenden Betrieb umzustellen, hat hier großen Nachholbedarf.

Security-Insider: Ärzte, Rechtsanwälte, Steuerberater und einige weitere Berufsgruppen sind nach §203 Strafgesetzbuch (StGB) zur Verschwiegenheit verpflichtet. Glauben Sie, dass diese Berufsgruppen ein höheres Bewusstsein für die Cyberrisiken haben als Spitzenpolitiker und die von der EU befragten Unternehmer?

Janecek: Rund um die Themen Datenschutz und Datensicherheit ist in den genannten Berufsgruppen nach §203 auch schon vor der Digitalisierung ein höheres Problembewusstsein der Normalfall. Bei Politikern kommt es, so jedenfalls meine Erfahrung, stark auf die jeweilige Sozialisierung gegenüber der digitalen Sphäre an. Den Umgang mit vertraulichen Informationen etc. sind Politiker vom Grundsatz her natürlich gewohnt. Leider mangelt es oft am Verständnis für die über die politische Ebene hinausgehenden Risiken bzw. Sicherheitsbedarfe, etwa was die eigene Person als Angriffsziel angeht.

Security-Insider: Was bedeutet das für die Sicherheit ihrer Patienten und Mandanten?

Janecek: Bei den allermeisten Vertretern der genannten Berufsgruppen erwarte ich hier kein besonderes Risiko. Das Bundestatenschutzgesetz und die berufsspezifischen Regeln waren ja auch schon vor der DSGVO ein – im Vergleich zu anderen Staaten – sehr guter Standard.

Security-Insider: Herr Putin ist der Meinung, wer die künstliche Intelligenz (KI) beherrscht, beherrscht die Welt. Hat er Recht?

Janecek: Nein, bzw. so einfach ist es natürlich nicht: Technologien sind immer nur Werkzeuge und nicht alles lässt sich mit nur einer Art von Werkzeug erreichen. Zudem ist es keineswegs ausgemacht, dass es zu einer krassen Monopolisierung der Technologie kommt. Derzeit sind es Oligopole, konzentriert auf einerseits die USA und andererseits China. Aber Japan und Europa, zukünftig sicher auch Indien und viele weitere Staaten werden sich die Technologie erschließen. Die Potentiale automatisierter Informations- und Entscheidungssysteme, um die es ja beim missverständlichen Begriff „KI“ geht, sind aber natürlich enorm, das wird Märkte und Gesellschaften durcheinanderwirbeln. Insofern muss man ökonomisch wie ökologisch und sozial mit entsprechenden disruptiven Auswirkungen rechnen. Daher vertreten wir GRÜNEN hier klar den Ansatz, die verschiedenen Transformationsprozesse, also digitale, ökologische und soziale zusammen zu denken und politisch zu gestalten. Und natürlich kann soziale Marktwirtschaft nur funktionieren, wenn wir den Markt vor Monopolen schützen und ökologische und soziale Leitplanken einziehen und durchsetzen.

Security-Insider: China will bis 2030 150 Milliarden US-Dollar in KI investieren und damit die USA vom KI-Thron stoßen. Europa will bis 2020 20 Milliarden Euro in die KI pumpen und Deutschland will bis 2025 nochmals 3 Milliarden Euro dazu schießen. Sind diese Bemühungen ausreichend?

Janecek: Wir haben das – auch wenn man die Initiativen der Länder hinzurechnet – für ein so starkes Land wie Deutschland viel zu geringe Engagement scharf kritisiert. Fast noch schlimmer ist aber, dass selbst die verfügbaren Mittel nicht eingesetzt werden, man offensichtlich trotz KI-Strategie planlos ist und natürlich auch, dass Made in Germany statt Made in Europe die Maxime ist und eine – siehe Frankreich – so wichtige ökologische und soziale Ausrichtungen fast völlig fehlt und auch wichtige neue Trends, wie dezentrale KI, keine Rolle spielen.

Security-Insider: Was bedeutet das für die Datensicherheit der von der EU befragten Unternehmer und die zur Verschwiegenheit verpflichteten Freiberufler?

Janecek: Die Themen haben ja nur sehr indirekt mit dem KI-Förderbudget zu tun.

Security-Insider: Halten Sie es für möglich, KI-gestützt Personenprofile von Millionen Menschen auf Basis von hunderttausenden Datenbanken der Freien Berufe, Unternehmen und Behörden zu bilden?

Janecek: Automatisierter Informations- und Entscheidungssysteme können schon heute – wie uns täglich neue Meldungen zeigen – mit den richtigen Daten gestern noch unvorstellbare Ergebnisse produzieren. Je quantitativ und qualitativ besser die Datenquelle, desto mehr lässt sich dann kombinieren und auswerten. Offene personenbeziehbare Daten und ein paar Metadaten reichen in Kombination, um auf Personen rückschließen zu können. Zeit und Aufwand dafür stehen aber in keinem Verhältnis zum „Nutzen“ solcher theoretischen Möglichkeiten.

Security-Insider: Welche Bedrohung wäre damit für den Betroffenen, seinen Arbeitgeber und das Land verbunden?

Janecek: Das kommt auf die Daten und die Auswertungstiefe an, auf die Motive derjenigen, die darin investieren, solchem Aufwand zu betreiben, auf die Rechtslage bzw. rechtsstaatliche Situation im entsprechenden Land, und und und.

Security-Insider: China will schlechtes Benehmen "unzivilisierter" Touristen in der Öffentlichkeit per Gesichtserkennung verfolgen. Es wirkt, als ob China Alles tut, was technisch möglich ist, wenn es den Mächtigen nützlich scheint. Glauben Sie, dass China seine technischen Möglichkeiten am Ende der 'Neuen Seidenstraße' genauso konsequent einsetzt wie in der Heimat?

Janecek: Die neue Seidenstraße ist das geopolitische und wirtschafts-strategische Masterprojekt Chinas. Was in den Anrainerstaaten möglich ist und was nicht, wird sich zwar erst noch herausstellen, aber eine wirtschaftliche Kolonialisierung vieler unterentwickelter Anrainer ist zu befürchten und damit auch eine technologische Kolonialisierung.

Security-Insider: Die SPD-Bundestagsfraktion verlangt nach einem "digitalen Immunsystem", um das Land, seine Institutionen und Bürger zu schützen. Welches Konzept schlagen Sie vor?

Janecek: „Digitales Immunsystem“ ist zwar ein schönes Bild, aber am Ende des Tages braucht es hier endlich nicht mehr nur Sonntagsreden und schöne Metaphern, sondern sehr viele und sehr konkrete Maßnahmen und zudem eben auch einen Kulturwandel (IT-Sicherheit als verfassungsrechtliche Gewährleistungspflicht des Staates angehen etc.). Die SPD regiert seit Jahren mit und hat den Stillstand in der IT-Sicherheit und auch viele kontraproduktive Maßnahmen aus dem Innenministerium dann jeweils mitgetragen. Was wir dagegen fordern, ist schwarz auf weiß und sehr detailliert nachzulesen: Wir haben schon im März 2018 anlässlich des großen Hackerangriffs auf den Bundestag mit dem Antrag „IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern“ unsere teils seit 2010 immer wieder vorgebrachten Konzepte und Forderungen nochmal zusammengefasst und gebündelt in den Bundestag eingebracht. Wenn das zur Grundlage von Regierungspolitik würde und auch unsere Positionen in Europa bestimmen würde, könnten wir zum Vorreiter für digitale Souveränität auf allen Ebenen (Staat/Unternehmen/Individuum) werden. Und diese Souveränität ist eine der wesentlichen Voraussetzungen für eine stabile und zukunftsfähige digitale Gesellschaft.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45998055 / Sicherheitsvorfälle)