Aufklärung und Abwehr von Cyberangriffen – Im Gespräch mit dem Präsidenten des Niedersächsischen Verfassungsschutzes Bernhard Witthaut

A
Download PDF
(c) Verfassungsschutz Niedersachsen

Während sich das Bundeskriminalamt dann einschaltet, wenn eine konkrete Straftat begangen wurde, setzen die Landesämter für Verfassungsschutz schon vorher, nämlich bei der Prävention von Straftaten, an. Zusammen ermöglichen das Bundeskriminalamt, das Bundesamt für Verfassungsschutz und die Landesämter (gemeinsam mit weiteren Institutionen) eine effektive Bekämpfung von Cyberkriminalität. Nachdem wir im Vorfeld unseres Parlamentarischen Abends mit dem Titel „Und mit einem Klick wurde es dunkel – Die Verletzlichkeit kritischer Infrastrukturen“ bereits mit dem Vizepräsidenten des BKA Peter Henzler sprechen konnten, führen wir heute die Interview-Reihe fort: mit dem Präsidenten des Landesamtes für Verfassungsschutz in Niedersachsen, Herrn Bernhard Witthaut (weitere Interviews zu diesem Thema auch hier und hier).

Energieblog: Sehr geehrter Herr Witthaut, Cyberabwehr bedeutet, dass Sie im Prinzip potentiellen Straftätern immer einen Schritt voraus sein müssen. Wie machen Sie das?

Witthaut: Das ist die Herausforderung für uns Sicherheitsbehörden. Der Unterschied zu den polizeilichen Ansätzen ist, dass der Verfassungsschutz nicht zur Aufklärung von Straftaten ermittelt, sondern Tendenzen zu erkennen versucht und aufklärt. So umfasst unser Portfolio Beratungen zu den Themen Wirtschafts- und Industriespionage, Cybersicherheit, Know-how-Schutz und natürlich auch die Sicherheit in der Informations- und Kommunikationstechnologie. Für die Unternehmen ist hilfreich, dass der Verfassungsschutz nicht dem Legalitätsprinzip unterliegt, also Sachverhalte mit strafrechtlichem Hintergrund nicht zwingend der Staatsanwaltschaft bzw. der Polizei melden muss und so eine andere Vertrauensbasis entsteht. Dieser Umstand führt zu einer Vielzahl von Hinweisen auf sicherheitsrelevante Vorfälle mit möglichen Know-how-Verlusten. Diese Fälle sind somit  geeignet, um in der Prävention Verwendung zu finden und bei Unternehmen Betroffenheit und damit eine erhöhte Aufmerksamkeit zu erzeugen. Sie sehen, Beratung und Vermittlung von Schutzmöglichkeit sind unsere Aufgabe.

Energieblog: Die Cybersicherheit in Deutschland ist auf mehreren institutionellen Schultern verteilt: BfV, BKA, LKA, BSI, Cyber-Abwehrzentrum, BND. Macht das die Arbeit einfacher oder komplizierter?

Witthaut: Die Sicherheitsvorfälle mit elektronischen Angriffen werden immer zahlreicher, komplexer und professioneller. Kriminelle, terroristische, militärische und / oder nachrichtendienstliche Hintergründe sind denkbar. Die Abwehr- und Rückverfolgungsmöglichkeiten gegenüber technologisch hoch entwickelten Schadprogrammen, die für solche Angriffe häufig genutzt werden, sind nicht immer optimal. Auf Bundes- und Landesebene werden daher Cybersicherheitsstrategien entwickelt und umgesetzt. Gemeinsam, das ist die Devise.

Energieblog: Der Gesetzgeber versucht auch in dem Bereich der IT-Sicherheit geeignete Rahmenbedingungen zu setzen, z.B. durch das IT-Sicherheitsgesetz oder die BSI-Kritisverordnung. Nun ist die Cyberwelt ja zum einen extrem schnelllebig, zum anderen ist der Gesetzgeber kein IT-Spezialist. Wie funktioniert hier die Überführung der Rechtsnormen in die Praxis?

Witthaut: Das Bundesministerium des Inneren hat im Frühjahr dieses Jahres einen ersten Referentenentwurf für ein Zweites IT-Sicherheitsgesetz in die Ressortabstimmung auf Bundesebene gegeben. Dieser Entwurf war schnell über einschlägige Kanäle im Internet nachzulesen. Die Länder wurden seitens des Bundes bislang jedoch noch nicht auf offiziellem Wege beteiligt, was ich gerade bei einem solch wichtigen Thema sehr bedaure. Die Länder haben den Bund bei verschiedenen Gelegenheiten darauf aufmerksam gemacht, dass es im KRITIS-Bereich auch die Länder sind, die sich intensiv mit diesen Herausforderungen befassen müssen. Gefahrenabwehr und auch Katastrophenschutz sind in unserem föderalen System Sache der Länder. Deswegen ist es notwendig, dass sie bei diesem Gesetzverfahren zügig beteiligt werden.

Grundsätzlich begrüße ich das Vorhaben der Bundesregierung, die Widerstandsfähigkeit Deutschlands gegenüber Cyberbedrohungen deutlich zu stärken. Ich bin davon überzeugt, dass diese Aufgabe nur als Gemeinschaftsaufgabe von Staat, Wirtschaft und Zivilgesellschaft bewältigt werden kann. Dazu braucht es aber auch regulatorische Maßgaben durch den Staat. Betriebe und Anlagen, die für die Daseinsfürsorge der Menschen elementar wichtig sind, dürfen nach meiner Überzeugung nicht dem freien Spiel der Marktkräfte ausgesetzt sein. Der Staat muss dafür sorgen, dass wir die Sicherheit der Bürgerinnen und Bürger gewährleisten können.

Energieblog: Die Digitalisierung macht auch Infrastrukturen wie die Energiewirtschaft verwundbarer für Cyberangriffe. Wie lässt sich die IT-Sicherheit in Zukunft auf einem entsprechend hohen Niveau halten?

Witthaut: Welche große Bedeutung der Schutz und die hohe Funktionalität dieser kritischen Infrastrukturen für unseren Alltag und unser gesellschaftliches Zusammenleben hat, ist offenkundig. Ich denke dabei nur an einen Ausfall der flächendeckenden Wasserversorgung, der Versorgung mit Energie und Strom oder den Ausfall anderer technischer Systeme der Telekommunikation, die auch die Öffentliche Sicherheit erheblich beeinträchtigen können. Auch für viele Unternehmen hat ein größtmöglicher Schutz der Kritischen Infrastrukturen mithin existenzielle Bedeutung. Das heißt, der Staat mit seiner Verwaltung, dazu gehören die Polizei und der Verfassungsschutz, haben  mit der Wirtschaft ein gemeinsames Interesse an höchsten Standards bei der Funktionalität der Kritischen Infrastrukturen.

Für Niedersachsen stelle ich fest: Es sind schon frühzeitig Voraussetzungen geschaffen worden, die ein Zusammenwirken in Sicherheitsfragen, auf eine solide Basis stellen. Aber zeigen Studien zum Thema Sicherheit in der Wirtschaft in ihren Ergebnissen z.B. eine zum Teil noch unzureichende Zusammenarbeit zwischen Sicherheitsbehörden und Wirtschaftsunternehmen auf. Diese Aussagen sind nicht einfach von der Hand zu weisen und das liegt möglicherweise auch an der heterogenen, zugleich föderalen Struktur Deutschlands mit den unterschiedlichen sicherheitsbehördlichen Zuständigkeiten. Allerdings ist auch festzustellen, dass vorhandene staatliche Angebote oft nur sehr zurückhaltend von den Firmen genutzt werden. An diesen Stellschrauben müssen wir arbeiten.

Energieblog: Werden in einem klassischen Stadtwerk in 10 Jahren mehr IT-Experten arbeiten (müssen) als Fachkräfte, die sich um das Kerngeschäft kümmern – oder wird die IT-Sicherheit zunehmend auf spezialisierte Dienstleister outgesourct werden?

Witthaut: Bei allen geschaffenen und noch zu schaffenden technischen Lösungen darf nicht außer Acht gelassen werden, dass 95 Prozent der Sicherheitsvorfälle auf eine „Form menschlichen Versagens“ zurückzuführen sind. Der Faktor Mensch spielt also eine wichtige Rolle. Hier wird deutlich, dass der immer wieder strapazierte Begriff Cybersicherheit nur eine – die technologische – Dimension bezeichnet. Die für den Faktor Mensch häufig beigezogene „human firewall“ ist keine Technologie, sie fußt auf Kompetenz und Empfindsamkeit. Also weichen Werten.

Es liegt auf der Hand, dass wir nicht allen Aspekten von möglichen Informationsverlusten allein mit technischen Maßnahmen begegnen können. Grundlegende Kenntnis über die Bedrohungen und eine Gewohnheit zur Daten-Hygiene sind dabei wichtige Voraussetzungen. Darüber hinaus müssen Unternehmen und Organisationen geeignete risikobasierte Sicherheitsprogramme und Notfallpläne festlegen und regelmäßig aktualisieren, um mit der sich weiterentwickelnden Risikolandschaft Schritt zu halten. Aus diesen Gründen wage ich auch keine zuverlässige Prognose auf Ihre Frage.

Energieblog: Sehr geehrter Herr Witthaut, vielen Dank für das Gespräch!

Folgen Sie uns auf Twitter

Kategorien

Archive

BBH Almanach

Materialien für Praktiker im
Energie-, Infrastruktur- und öffentlichem Sektor aus Wirtschaft, Recht und Steuern

Veranstaltungskalender