Cyber-Crime: So gefährlich ist das Internet der Dinge
CEO-LinkedIndex von Palmer Hargreaves: Neue Studie zeigt die kommunikationsstärksten CEOs an der deutschen Börse auf LinkedIn
VW-Chef Herbert Diess ist erfolgreichster Kommunikator
Ranking kombiniert quantitative und qualitative Analyse von LinkedIn-Aktivitäten bei 100 Vorstandsvorsitzenden der wichtigsten börsennotierten deutschen Unternehmen
Selbstpräsentation und digitales Networking werden für CEOs notwendiger Teil ihrer Arbeit
Unternehmensnachrichten, politische und gesellschaftliche Themen im Mittelpunkt der CEO-Kommunikation
Herbert Diess ist der erfolgreichste Kommunikator unter Deutschlands CEOs auf LinkedIn. Gemessen unter anderem an der Zahl der dort veröffentlichten Beiträge, der Gruppe seiner Follower, dem Grad seiner Vernetzung und seiner Interaktion mit anderen Mitgliedern der Plattform schneidet der Vorstandsvorsitzende des Volkswagenkonzerns am besten ab. Auf Platz 2 schaffte es SAP-Konzernchef Christian Klein, auf Platz 3 landete Bernd Montag, Vorstandsvorsitzender von Siemens Healthineers. Telekom-CEO und LinkedIn-Vorreiter Timotheus Höttges belegt Platz 4, gefolgt von Olaf Koch, bis Ende 2020 CEO der Metro AG.
Zu diesem Ergebnis kommt der erstmals von der Kommunikationsagentur Palmer Hargreaves erhobene CEO-LinkedIndex. Der Index misst und analysiert die Kommunikationsaktivitäten von 100 CEOs der wichtigsten börsennotierten Unternehmen in Deutschland (HDAX) auf LinkedIn und präsentiert die zehn erfolgreichsten Vorstandsvorsitzenden in einer Top Ten.
Die Studie kombiniert quantitative Kriterien wie die Zahl der Follower und veröffentlichten Beiträge oder den Grad der Vernetzung mit einer qualitativen Analyse der Inhalte, die die zehn kommunikationsstärksten CEOs auf LinkedIn geteilt haben. Das Ergebnis basiert auf Daten, die Palmer Hargreaves von Juli bis Dezember 2020 erhoben hat. Der Index wird künftig alle sechs Monate aktualisiert.
Große Unterschiede in der kommunikativen Effektivität
Die Ergebnisse der quantitativen Erhebung zeigen: Die Kommunikationsleistung hängt nicht allein von hohen Follower-Zahlen und der Anzahl der veröffentlichen Inhalte ab. So führt zwar Herbert Diess (Volkswagen) den Index mit knapp 150.000 Followern und mehr als 100 Beiträgen an. Jedoch sind auch Olaf Koch (Metro) und Carsten Knobel (Henkel) mit geringeren Zahlen von jeweils mehr als 5.000 Followern und 62 beziehungsweise 21 Beiträgen im Top-Ten-Index vertreten. Grund dafür sind bei Olaf Koch die verhältnismäßig starken Vernetzungsaktivitäten. Bei Carsten Knobel ist die Platzierung auf eine sehr hohe Interaktionsrate mit seinem Netzwerk zurückzuführen, die sogenannte Engagement Rate. In dieser Kategorie liegt der Henkel-CEO mit 7,7 Prozent auf dem vierten Platz. Angeführt wird diese Liste von Varta-CEO Herbert Schein (25,6 Prozent) – der zwar seltener, aber dann sehr effektiv kommuniziert.
Viele Infos zum Unternehmen, kaum private Einblicke
„Die Selbstpräsentation und der Austausch auf LinkedIn sind für CEOs mittlerweile Teil ihres Jobs“, sagt Iris Heilmann, Geschäftsführerin und Mitinhaberin von Palmer Hargreaves. „Mit unserer neuen, regelmäßig erscheinenden Messung möchten wir diese Entwicklung beobachten und der Öffentlichkeit transparent machen.“
Im inhaltlichen Mittelpunkt der Kommunikation stehen bei den zehn kommunikationsstärksten CEOs mit einem knappen Drittel aller Postings (29,5%) unternehmensnahe Informationen wie Quartalszahlen, Meldungen zu Kooperationen oder strategischen Entscheidungen. Beiträge zu Politik und Gesellschaft (15,2 Prozent) und werbliche Postings (14,1 Prozent) komplettieren die drei beliebtesten Inhaltskategorien. Eher zurückhaltend sind sie mit Einblicken in persönliche Aspekte (4,7 Prozent). Bei einigen spielen aber gerade diese Beiträge eine besonders große Rolle.
Herbert Diess ist neben beruflichen Beiträgen unter anderem mit werblicher Kommunikation auf LinkedIn vertreten (17,1%). Siemens Healthineers-CEO Bernd Montag teilt häufig Eindrücke von unterwegs (17,2%), und meldet sich zu gesellschaftlichen Themen zu Wort (15,6%). Ebenso Timotheus Höttges (19,7%), der sich auch oft gezielt an seine Mitarbeiter wendet (18%). Stefan Oschmann von der Merck KGaA wiederum nutzt vor allem dienstliche Reiseanlässe für die Kommunikation, äußert sich darüber hinaus aber auch werblich (jeweils 17%). Ganz ähnlich Markus Haas von Telefònica Deutschland (19,5%).
Von der wirtschaftlichen Performance zum Impression Management
„CEOs sind auf LinkedIn nicht nur Botschafter ihres Unternehmens, sondern auch Botschafter in eigener Sache“, sagt Daniel Jungblut, Initiator und Autor der Studie. „Sie wollen und müssen ihre Stakeholder auch mit professioneller Kommunikation überzeugen.“
Heute, so die leitende These der Studie, müssen Vorstandsvorsitzende ihre zahlreichen Aufgaben nicht mehr nur erfolgreich erledigen, sondern ihre Entscheidungen auch professionell präsentieren und gegenüber ihren zahlreichen Stakeholdern öffentlich wahrnehmbar kommunizieren. Im 21. Jahrhundert können sich Führungskräfte nicht auf stille wirtschaftliche Performance beschränken, sie sind auf ein berufliches „Impression Management“ angewiesen. Bei börsennotierten Unternehmen wird diese Entwicklung besonders deutlich: Aktienkurse reagieren sehr sensibel auf die öffentlichen Auftritte von Vorstandsvorsitzenden.
Zur Methode des CEO LinkedIndex
Die Erhebung erfolgte zwischen dem 01. Juli und dem 31. Dezember 2020 in fünf Schritten: Zunächst wurden 100 CEOs aus dem HDAX, also dem kombinierten Index von DAX, MDAX und TecDAX, auf ihre LinkedIn-Aktivitäten und damit auf die Relevanz für eine Datenerhebung überprüft. Die Daten der 54 aktiven CEOs flossen in die Erhebung ein. In einem zweiten Schritt wurde die Owner Activity erhoben, bestehend aus fünf Einzelindikatoren: Zahl der Follower, Beiträge und Artikel, vom CEO vergebene Kommentare und Reaktionen. In Schritt drei wurde die Engagement Rate berechnet. Die von Followern vergebenen Kommentare und Reaktionen wurden ins Verhältnis zur Owner Activity gesetzt. In Schritt vier folgte die Berechnung des CEO LinkedIndex, in dem die insgesamt sechs Top-Ten-Listen Follower, Beiträge, Artikel, Kommentare und Reaktionen, Audience Activity und Engagement Rate gleichberechtigt verrechnet wurden. Abschließend wertet die Studie die Inhalte qualitativ aus, die die Top-Ten-CEOs im Erhebungszeitraum veröffentlicht haben. Insgesamt wurden 100 Profile, 864.956 Reaktionen und 1.209 Beiträge ausgewertet.
Link zur Studie:
Palmer Hargreaves – Komplexes können wir einfach
Palmer Hargreaves ist eine inhabergeführte Agenturgruppe für Marketing und Kommunikation. Rund 200 Mitarbeiter:innen arbeiten an drei Standorten in Deutschland, England und China. Wir verbinden ein breites Leistungsangebot – Strategy, Content, Creative und Digital – mit tiefer Branchenexpertise. Ob Marketingkommunikation, PR, Content Marketing oder Marketingtechnologie: Namhafte Marken wie Audi, Bayer, Deutsche Telekom, EnBW, Ford, Fraunhofer, Henkel, Miele, Porsche und SAP vertrauen uns seit Jahren. Denn wir sind die Agentur für die wissensbasierte Wirtschaft.
Palmer Hargreaves GmbH
Ansprechpartner: Frank Sanders
t +49 (0)221 93322 122
m +49 (0)152 59933220
palmerhargreaves.de
Follow us: Twitter | LinkedIn | Facebook | Instagram
Warum eine Cyber-Police sinnvoll ist
Cyberkriminalität – das klingt nach einer Gefahr aus einem Hollywood-Actionfilm. Aber Cyberkriminalität stellt ein reales Risiko für Unternehmen dar, auch in Deutschland. Aus diesem Grund sollte man sich mit dem Thema Cyber-Police auseinandersetzen. Was genau leistet so eine Cyber-Versicherung? Welche Risiken birgt die Gefahr aus dem Internet? Und wie kann man sich noch davor schützen?
Cyberkriminalität – Die Gefahr aus dem Netz
In unserem digitalen Zeitalter sind die Themen Datendiebstahl und Hacking aktueller denn je. Ungefähr zwei Drittel der Unternehmen in Deutschland waren in den letzten Jahren von Cyber-Angriffen betroffen. Die Auswirkungen solcher Attacken sind unterschiedlich: Neben dem Diebstahl von vertraulichen oder sensiblen Daten, wird zum Teil auch mit Computerviren die Technik im Betrieb sabotiert. Daten können nicht nur gestohlen, sondern auch verfälscht oder zur Erpressung genutzt werden.
Die Folgen können existenzbedrohend für ein Unternehmen sein, teilweise entstehen Kosten im sechsstelligen Bereich. Und es kann sehr schnell gehen: Ein versehentlicher Klick auf einen infizierten Anhang einer Mail reicht schon, um dem Unternehmen großen Schaden zu verursachen. Unterschiedliche Maßnahmen helfen, das Risiko eines erfolgreichen Cyber-Angriffes zu reduzieren, vollkommene Sicherheit hat man aber nur, wenn eine Cyber-Police abgeschlossen wird.
Wer braucht eine Cyber-Police?
Eine Cyber-Attacke kann theoretisch jedes Unternehmen treffen. Potenziell gefährdet sind also beispielsweise auch Arztpraxen, Hotels oder Restaurants. Eine Cyber-Police ist somit sinnvoll für alle Unternehmen, die Dienstleistungen oder Produkte anbieten, produzieren oder verarbeiten. Besonders wichtig ist die Versicherung aber bei Unternehmen oder auch Freiberuflern, deren Arbeit IT-abhängig ist und die mit vertraulichen Daten zu tun haben.
Das individuelle Risiko eines Unternehmens kann dabei durch verschiedene Faktoren erhöht werden. Neben der Speicherung von sensiblen Daten, ist auch die Nutzung privater Geräte in einem Unternehmen potenziell gefährlich. Zusätzlich können automatisierte Produktionssysteme oder auch die Auftragsdatenverarbeitung durch externe Dienstleister einen Angriff fördern.
Leistungen, die eine Cyber-Police abdeckt
Eine Cyber-Police soll Unternehmen vor hohen finanziellen Verlusten schützen. Welche Leistungen dabei genau abgedeckt werden, ist von Anbieter zu Anbieter unterschiedlich. In der Regel werden aber folgende Schadensgründe übernommen:
Verletzungen der Netzwerksicherheit – dazu zählen Hacker-Angriffe, Phishing oder auch Schadprogramme
Cyber-Erpressung
Bedienfehler von Mitarbeitern, die zu Datenverlusten führen
Leistungen, die dann von der Versicherung bezahlt werden, sind unter anderem die Kosten für die Ursachenermittlung, die Behebung des Schadens und die Wiederherstellung von Daten. Außerdem werden zum Teil auch Kosten für die entstehende Krisenkommunikation und Öffentlichkeitsarbeit und für die Benachrichtigung von Betroffenen (beispielsweise Kunden) übernommen. Auch Datenrechtsverletzungen und dessen Folgen werden von Cyber-Policen oft mitgetragen. Cyber-Versicherungen decken also sowohl Eigenschäden, als auch Fremdschäden ab.
Leistungsstärkere Tarife tragen zudem auch Schäden durch Vorsatz eigener Mitarbeiter, die Weiterverbreitung des Virus an Dritte oder Zahlungsmittelschäden.
Die Kosten einer Cyber-Versicherung sind abhängig von dem Jahresnettoumsatz eines Unternehmens, dessen Größe und Mitarbeiteranzahl, der Höhe der Versicherungssumme, dem Selbstbeteiligungsanteil und den genauen Leistungen, die inkludiert werden sollen. Einige Versicherungen bieten ihre Cyber-Police aber schon ab 15 Euro an. Welchen Preis Sie für eine Cyber-Police zahlen müssten, können sie in Preisvergleichsportalen überprüfen.
Risiko reduzieren – Maßnahmen gegen Cyberkriminalität
Das Risiko einer Cyber-Attacke lässt sich mit einigen Maßnahmen reduzieren. Wer präventiv vorsorgen will, sollte ein umfangreiches Sicherheitskonzept erstellen. Dazu gehört die Nutzung von komplexen Passwörtern, die Einrichtung von Firewalls oder Spam Filtern, regelmäßige Updates und Backups und die Nutzung von Sicherheitssoftwares. Außerdem sollten die Mitarbeiter eines Unternehmens für das Thema Cyber-Kriminalität sensibilisiert werden und passende Schulungen oder Informationsmaterial hierzu erhalten. Mitarbeiter müssen wissen, dass sie unter anderem niemals unsichere Dateianhänge in E-Mails öffnen dürfen.
All diese Maßnahmen sind sinnvoll, ersetzen aber nicht die Leistungen einer Cyber-Versicherung. Die absolute Sicherheit gewährt keine dieser Vorkehrungen, weshalb wir dringend eine zusätzliche Absicherung in Form einer Police empfehlen. Wenn Sie bei der Suche nach Ihrer passenden Cyber-Police Unterstützung benötigen, steht Ihnen Ihr TGI Finanzpartner gerne beratend zur Seite!
Datensicherheit oder Abwehr von Cyberkriminalität - Politik und Gesellschaft müssen sich mal entscheiden
"Ja, nehmen wir mal an, ich wäre Mitarbeiter oder Mitglied in einer organisierten Kriminalität-Truppe ..."
Manuel Atug ist IT-Sicherheitsexperte. Er stellt einen Hackerangriff nach.
"... und versuche jetzt über Emotet in ein deutsches Unternehmen einzudringen, um die zu erpressen ..."
Emotet ist eine Schadsoftware. Sie wirft den Enterhaken in das Opfersystem aus.
"... weil eben der Auftrag lautet: Dieses Unternehmen haben wir ausgemacht, das ist jetzt unser Ziel."
Angriff mit scheinbar persönlicher E-Mail
"Dann ist der erste Schritt: Ich gehe hin und versuche, jemandem per Spearfishing ganz gezielt eine E-Mail zu schicken, die individuelle Ansprache hat. Dann sage ich: Lieber Hans-Peter, ich hab hier ein total witziges Video gesehen, musste dir angucken, lachst du dich weg."
Absender ist die Kollegin aus der gleichen Abteilung, scheinbar. Das Opfer klickt auf den Link. Emotet öffnet sich. Aber dabei bleibt es nicht.
"Jetzt geht also Emotet als Dropper hin und lädt Trickbot als tatsächliche Schadsoftware runter."
Dann ist es um das Opfer so gut wie geschehen. Denn Trickbot ermöglicht dem Angreifer die Fernsteuerung des Systems.
"Ich lade also ein entsprechendes Modul innerhalb von Trickbot nach, weil wir da eine ganze Modulserie haben für alle möglichen Angriffsoptionen und so weiter, führe das aus, prüfe, ob ich meine erweiterten Rechte habe und jetzt sogar Admin geworden bin, und stelle fest: Upsi, hat funktioniert, sehr schön!"
Immenser finanzieller Schaden
Nicht so schön für die Opfer. Die Schadenssumme von Cyberangriffen beträgt inzwischen Nicht so schön für die Opfer. Die Schadenssumme von Cyberangriffen beträgt inzwischen über 100 Milliarden Euro pro Jahr . Schon 2019 waren 70 Prozent der Unternehmen betroffen. In der Coronapandemie haben die Angriffe noch zugenommen . Die Zahl der Schadprogramme übersteigt inzwischen die Milliardengrenze. Das weiß auch die Bundesregierung. Sie will der Lage mit einem neuen Gesetz Herr werden: dem IT-Sicherheitsgesetz 2.0.
Bundesinnenminister Horst Seehofer bei einer Pressekonferenz im Oktober vergangenen Jahres:
"Ein Ausfall der IT-Infrastruktur kann zu immensen wirtschaftlichen und gesellschaftlichen Schäden führen. Und das schließt Gefahren für Leib und Leben ein. Deshalb schaffen wir nach dem ersten IT-Sicherheitsgesetz im Jahre 2015 nunmehr ein zweites IT-Sicherheitsgesetz."
Bundesinnenminister Horst Seehofer (CSU): "Ein Ausfall der IT-Infrastruktur kann zu immensen wirtschaftlichen und gesellschaftlichen Schäden führen." © dpa / Sebastian Kahnert
Evaluiert hat die Bundesregierung die Maßnahmen des IT-Sicherheitsgesetzes 1.0 bisher nicht . Verabschiedet hat sie Version 2.0 trotzdem. Der Gesetzentwurf der Regierung liegt jetzt in Brüssel zur Begutachtung. Dann muss er durch den Bundestag. Seehofer fasst die Schwerpunkte des geplanten Vorhabens zusammen:
"Der Gesetzesentwurf sieht Verbesserungen für die Cyber- und Informationssicherheit in drei Bereichen vor: Schutz der Verbraucherinnen und Verbraucher, Schutz der kritischen Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse, denken Sie an Kraftwerke, und der Schutz der Bundesverwaltung."
Mehr Schutz von Unternehmen, von Behörden und Infrastruktur – das hört sich erst einmal gut an. Doch das geplante Gesetz schützt unsere IT nicht so, wie es könnte. Im Gegenteil: Es hält sie extra unsicher. Und zwar systematisch wie strategisch. Denn die Sicherheitsbehörden halten Informationen zu Sicherheitslücken in Soft- und Hardware zum Teil bewusst zurück.
Schwachstellen öffnen Kriminellen Tür und Tor
Sie brauchen sie für ihre Arbeit, um in Geräte von Tätern einzudringen. Die Sache hier ist nur: IT-Infrastruktur ist sicher für alle oder für keinen. Behalten die Behörden die Schwachstellen für sich, und ein Hersteller weiß nichts von dem Einfallstor in seinem Code, so ist das so etwas wie eine offene Tür: Jeder kann durch sie hindurchgehen. Auch Kriminelle.
Wir haben es also mit einem Spannungsfeld zu tun, einer Abwägungsfrage: Wie soll man damit umgehen? Was ist uns als Gesellschaft wichtiger: Eine möglichst sichere IT oder möglichst handlungsfähige Strafverfolgungsbehörden und Nachrichtendienste? Klarheit ist notwendig. Denn die Cyberkriminellen werden immer professioneller. Die Hackerangriffe auf deutsche Unternehmen und öffentliche Einrichtungen hören überhaupt nicht mehr auf.
"Das ist in den letzten Jahren nicht weniger geworden, sondern mehr", bestätigt Manuel Atug. Neben seiner Tätigkeit für die IT-Sicherheitsfirma HiSolutions ist er Sprecher der AG Kritis, einem unabhängigen Verband von Fachleuten aus dem Bereich der kritischen Infrastruktur.
"Weil die Kriminellen natürlich auch erkannt haben: In diesem Cyberraum kann man viel Geld für wenig physisches Risiko machen", sagt Atug. "Ich werde nicht persönlich Hopps genommen. Jede IP kann weltweit mit jeder reden. Ich hüpfe über ein paar Länder, wenn ich den Angriff mache, und schon ist der internationale Austausch noch katastrophaler als lokal."
Nationale Behörden gegen internationale Cybermafia
Die nationalen Sicherheitsbehörden hätten gegen die international organisierte Cybermafia kaum eine Chance. Der IT-Experte meint: Das Zurückhalten von Sicherheitslücken mache die Situation nur noch schlimmer.
"Wenn also der Staat selber mit Sicherheitslücken handelt oder verhandelt oder sie ausnutzt und hin- und herspielt, statt sie zu schließen, konsequent, dann haben wir ein Problem", bekräftigt Atug. "Und das ist jetzt nur Deutschland. USA macht das auch. Israel macht das auch. Russland macht das auch. China macht das auch. Es ist vor vier Monaten von den USA festgestellt worden: Es sind 100 bis 130 Staaten, die Sicherheitslücken zurückhalten."
Das Thema hätte die Bundesregierung mit dem neuen IT-Sicherheitsgesetz natürlich angehen können. Tat sie aber nicht. Manuel Atug regt sich darüber auf:
"Das höchste der Gefühle von Politikern, die sich da die Frage stellen, 'was müssen wir tun?', ist auf dem digitalen Souveränitätsniveau von einem Faxgerät. Und die versuchen dann zu verstehen, was eigentlich Cyberkriminelle da tun, und warum die so gefährlich sind."
"Wir sind bestimmt 20 Jahre hinterher"
Konstantin von Notz ist Mitglied bei den Grünen im Bundestag. Bei seiner Partei ist er zuständig für Themen der inneren Sicherheit. Auch er kritisiert die Cybersicherheitspolitik der Großen Koalition.
"Wir sind bestimmt 20 Jahre hinterher mit der IT-Sicherheit, und das ist vor allem deswegen bedauerlich, weil wir eigentlich seit mindestens zwölf Jahren wissen: Die Hütte brennt lichterloh. Wir haben ganz massive Probleme, und die Digitalisierung schreitet voran - und die IT-Sicherheitspolitik nicht. Das ist ein massives Problem."
Eine der großen Baustellen der deutschen IT-Sicherheit ist die unübersichtliche bis dysfunktionale Eine der großen Baustellen der deutschen IT-Sicherheit ist die unübersichtliche bis dysfunktionale Behördenstruktur : Über 100 zuständige Behörden gibt es allein auf europäischer und nationaler Ebene. Dazu kommen noch die der Bundesländer. Dabei kocht jedes Ministerium sein eigenes Süppchen – vom Auswärtigen Amt über das Bildungs- und Finanzministerium bis hin zum Ministerium der Verteidigung machen alle "irgendwas mit Cyber".
Konstantin von Notz (Bündnis90/Die Grünen): "Wir haben ganz massive Probleme." © dpa / Bernd von Jutrczenka
Die beiden zentralen Organisationen der deutschen IT-Sicherheit, der Cybersicherheitsrat und das Nationale Cyberabwehrzentrum, sind laut Experten dabei so gut wie nicht handlungsfähig. Der Cybersicherheitsrat ist das höchste politisch-strategische Gremium. Hier kommen die Ministerien und Vertreter von Wirtschaft und Wissenschaft zusammen. Der Rat hat aufgrund diverser Interessenkonflikte große Schwierigkeiten sich abzustimmen.
Das operative Gegenstück dazu ist das Nationale Cyberabwehrzentrum. Es soll für einen permanenten Informationsaustausch zwischen allen sicherheitsverantwortlichen Bundesbehörden sorgen. Es wird seit Jahren reformiert.
Wer schützt die kritische Infrastruktur?
Einigermaßen klar sticht aus diesem Durcheinander nur das BSI heraus, das Bundesamt für Sicherheit in der Informationstechnik. Es sitzt in Bonn und untersteht dem Bundesinnenministerium. Das BSI ist das Amt, das verantwortlich ist für die Sicherheit der IT der Bundesbehörden. Hinzu kommen private Unternehmen, sobald diese zur sogenannten kritischen Infrastruktur zählen. Das sind die Bereiche Energie, Wasser, Ernährung, Transport, Finanzen, Versicherungen, Gesundheit, Telekommunikations- und Informationstechnik.
Sind hier Unternehmen oder Organisationen von größeren Cyberangriffen betroffen, rücken sogenannte Mobile Incident Response Teams vom BSI aus. Sie helfen vor Ort und versuchen, die Fälle aufzuklären – gemeinsam mit den zuständigen Sicherheitsbehörden. Bei Angriffen von Kriminellen sind dies vor allem die jeweiligen Behörden der Polizei. Wenn ausländische Geheimdienste oder politische Motive hinter den Hack-Attacken stehen, dann arbeiten auch die Nachrichtendienste mit.
Konstantin von Notz sieht in dieser Zusammenarbeit ein Problem. Während das BSI die IT sicher machen soll, hätten die Dienste Interesse an einer unsicheren Infrastruktur. Von Notz fordert: Das BSI müsse unabhängig werden – vor allem vom BMI:
"Wir sagen, das BSI ist eine gute Institution, und die haben gute Leute und gutes Fachwissen. Sie sind aber im Weisungsstrang des Bundesministeriums des Inneren eingebunden. Das ist eine Behörde, für die auch verschiedene Sicherheitsbehörden unterwegs sind. Diese Sicherheitsbehörden wiederum sind derzeit häufig auf der Suche nach Sicherheitslücken in der IT. Und deswegen sagen wir, es gibt da schon lange einen Interessen- und einen Vertrauenskonflikt."
Debatte über Zuständigkeiten
Wäre das Bundesamt für Sicherheit in der Informationstechnik unabhängig, wäre es allerdings nicht mehr am Kabinettstisch vertreten. Das geht in der Regel nur, wenn es einem Ministerium zugeordnet ist. Außerdem müssen sich die Kontroll- und Eingriffsrechte des BSI demokratisch zurückführen lassen – also an einer durch Wahlen begründeten Regierung hängen, einem Ministerium.
Eine Alternative könnte eine geteilte Ministerienaufsicht sein, wie es zum Beispiel beim Statistischen Bundesamt der Fall ist. Aber das würde einen erhöhten Abstimmungsaufwand bedeuten. Glaubt man außerdem dem Bundesinnenministerium, ist der Vorwurf des Weitergebens von Schwachstellen durch das Bundesamt für Sicherheit in der Informationstechnik sowieso nichts als Paranoia.
"Es ist die Aufgabe des BSI, dass Schwachstellen und Sicherheitslücken unverzüglich erkannt und beseitigt werden." © imago images / Sepp Spiegl
Ein Sprecher des Ministeriums betont, dass das BSI keine Sicherheitslücken an andere Behörden weiterreiche:
"Es ist die Aufgabe des BSI, dass Schwachstellen und Sicherheitslücken unverzüglich erkannt und beseitigt werden. Eine Weitergabe von Schwachstellen oder Sicherheitslücken würde diesem Zweck nicht dienen und ist daher auch nicht vorgesehen."
Im Griff haben die Behörden die Lage trotzdem nicht.
"Düsseldorf. Nach den gravierenden IT-Ausfällen am Universitätsklinikum müssen Patienten weiterhin mit starken Einschränkungen rechnen. Die Telefonanschlüsse funktionieren größtenteils wieder, aber ambulante Behandlungen können nicht stattfinden. Die Notaufnahme ist seit über 24 Stunden geschlossen. Die Ursache für das IT-Problem ist noch unbekannt. Experten für Cyber-Kriminalität aus Köln wurden bereits eingeschaltet."
Cyberattacke lähmt eine Klinik
Im November vergangenen Jahres fielen an der Uniklinik in Düsseldorf plötzlich die Computer aus. Der WDR berichtete , Erpresser hätten fast 900.000 Euro gefordert. In der Kryptowährung Bitcoin. Die Zentral- und Ansprechstelle Cybercrime "ZAC" Nordrhein-Westfalen nahm sofort die Ermittlungen auf. Aufgrund des Hackerangriffs musste die Klinik die Notaufnahme schließen. Patienten wurden verlegt. Eine Frau starb.
Zuständig für die Ermittlungen ist Oberstaatsanwalt Markus Hartmann. Er erklärt, wie die Behörden bei einem Hackerangriff vorgehen:
"Wir müssen zunächst mal an einen Tatort und wenn ich 'wir' sage, dann meine ich das Team aus Strafverfolgung, aus polizeilichen Einheiten und Kollegen aus meinem Team. Es werden Daten gesichert, es werden Beweismittel gesichert. Man nimmt etwa die Schadsoftware, analysiert die um festzustellen: Welche Qualität hatte die? Gibt es Spuren auf den Angreifer? Und man analysiert alles das, was an IT-Infrastruktur da ist - um den Tathergang festzustellen."
Dann geht es an die computerforensische Auswertung. Das macht in der ersten Stufe die Polizei, in dem Fall das LKA Nordrhein-Westfalen.
"Man nimmt das Programm, das die Verschlüsselung bewirkt hat", erklärt Hartmann, "analysiert das, guckt, was macht das, lässt es auf einem virtuellen Rechner laufen, um zu gucken: Welche Spuren kann ich gewinnen?"
Spuren führen nach Russland
In dem Fall des Hackerangriffs auf die Uniklinik in Düsseldorf kam die Staatsanwaltschaft zu dem Schluss, dass die Frau sehr wahrscheinlich auch verstorben wäre, wenn sie nicht hätte verlegt werden müssen. Doch wegen des erpresserischen Hackerangriffs selbst ermitteln Hartmann und seine Kollegen weiter. Medienberichten zufolge führen die Spuren nach Russland. Hartmann will das nicht bestätigen. Er will nur so viel sagen:
"Anhand eines so komplex aufeinander abgestimmten Arbeitsverhaltens sehen Sie, dass da nicht ein Einzelner irgendwo in Muttis Keller irgendeinem Unternehmen mal zeigen will, wie gut er programmieren kann, sondern dass das ein rein kommerzielles Geschäftsfeld ist."
Das sei auch der dominante "Täterblock": die Kriminellen, denen es schlicht und ergreifend ums Geld ginge. Sie arbeiten strategisch und langfristig. Oft sind sie bis zu sechs Monate im Netz, lesen mit, greifen Daten ab, bevor sie angreifen.
"Wir sehen etwa, dass, wenn Sicherheitslücken publik werden, für die es noch keinen Sicherheitspatch gibt, also bei denen die Leute, die diese Software oder das Programm einsetzen, noch gar nichts tun können, um sich zu schützen, dass diesen kurzen Zeitraum organisierte Strukturen ausnutzen, um erst mal Netzwerke zu kompromittieren und eine kleine Basis zu schaffen", erläutert Hartmann. "Und dann später wird peu à peu abgearbeitet."
Auch Staaten hacken und spionieren
In einem zweiten großen Block sind Täter, hinter denen wahrscheinlich Staaten stehen. Ihnen geht es um die Daten selbst, die Informationen.
"Was es sehr schwierig macht, ist, dass beide Blöcke sich in einem mittleren Bereich überschneiden und miteinander vermischen. Wir müssen auch davon ausgehen, dass kriminelle Strukturen gezielt staatlich eingesetzt werden, um bestimmte Angriffe zu begehen."
Um die Kriminellen dingfest zu machen, arbeiten die Ermittler und Staatsanwälte dabei nicht nur forensisch und defensiv. Für ihre Arbeit dringen sie auch in Infrastrukturen ein: Sie hacken die Täter. Dafür nun bräuchten die Strafverfolger Zugang zu Sicherheitslücken, sagt Hartmann. Gerade wenn man keine flächendeckende Überwachung wolle.
"Wenn ich mich, und das tun wir, dagegen ausspreche, anlasslos in der Masse Sicherheit zu schwächen, muss ich den Ermittlungsbehörden aber umgekehrt für den Einzelfall auch Instrumente zubilligen, dass sie an Daten kommen."
Hartmann betont, dass der Umgang mit Sicherheitslücken und deren Nutzung immer im Einzelfall verantwortungsvoll sein müsse und auszutarieren sei. Denn die Nachteile von offen gehaltenen Sicherheitslücken sieht man bei seiner Behörde auch.
"Die Erfahrung zeigt, dass da, wo Hintertüren sind, diese Hintertüren mindestens ebenso schnell von den Kriminellen gefunden werden, wie sie von den Berechtigten, also von den Sicherheitsbehörden genutzt werden", so Hartmann. "Wir haben heute noch zahlreiche Ermittlungsverfahren, in denen Schwachstellen ausgenutzt werden, bei denen zumindest der konkrete Verdacht besteht, dass diese Schwachstellen ursprünglich mal mit der Intention einer Hintertür in Software oder Produkte eingefügt wurden."
Wenn es Hintertüren gibt, würden diese auch schnell von Kriminellen gefunden werden, so Markus Hartmann. © imago images / Janine Schmitz
IT-Sicherheitsgesetz zieht sich seit Jahren hin
Dieses Spannungsfeld zwischen IT-Sicherheit und Strafverfolgung spiegelt sich in der Genese des IT-Sicherheitsgesetzes 2.0 wieder. Diese zieht sich seit Jahren hin. Federführend ist das Bundesinnenministerium. Doch natürlich müssen sich die Ministerien abstimmen. Und die finden in dem Interessenkonflikt zwischen IT-Sicherheit und Strafverfolgung bisher keine Lösung.
Schon beim ersten Entwurf im März 2019 kam es zum Grundsatzstreit. Das BMI hatte so viele erweiterte Befugnisse für die Sicherheitsbehörden hineingeschrieben, dass das Justizministerium Insidern zufolge jegliche Gespräche ablehnte. Der Entwurf sei in Teilen verfassungswidrig. Das BMI erarbeitete also einen neuen Entwurf.
Über den zweiten Entwurf vom Mai 2020 wurde dann so heftig diskutiert, dass ebenfalls keine Einigung in Sicht war. Diesmal ging es vor allem um Außenhandelsbeziehungen - und zwar um die Frage, inwiefern zum Beispiel chinesische Unternehmen wie Huawei sich an dem Ausbau der Netze, also kritischer Infrastrukturen, beteiligen dürfen.
Den dritten Entwurf legte das Bundesinnenministerium schließlich Anfang Dezember 2020 vor. Experten bezeichnen ihn als ein Sammelsurium von verschiedenen Maßnahmen, teilweise sachfremder Wünsche einzelner Behörden. Viel Kritik gab es auch deshalb, weil das BMI den Verbänden aus Zivilgesellschaft und Wirtschaft weniger als eine Woche Zeit gab, um zu dem 92 Seiten umfassenden Entwurf Stellung zu nehmen: Die Regierung habe offenbar wenig Interesse an der Position der Experten aus der Praxis, hieß es
Bis zu einem Kabinettsentwurf hat man es schon geschafft
Am 16. Dezember ging der Entwurf dann durchs Kabinett. Übrig geblieben sind vor allem zwei große Neuerungen: erstens eine Ausweitung der kritischen Infrastruktur auf mehr Wirtschaftsbereiche, zweitens mehr Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik. Zum Beispiel kann das BSI jetzt Unternehmen mit empfindlichen Geldstrafen drohen, folgen sie seinen Anweisungen nicht.
Außerdem soll das Amt zur Abwehr von Angriffen in einigen Fällen in den Netzwerkverkehr eingreifen dürfen. In den Medien hat diese Erweiterung der Befugnisse dem Bundesamt den Spitznamen " Hackerbehörde " eingetragen. Für die Strafverfolgungsbehörden wiederum steht nur noch wenig drin. Das Bundesinnenministerium wollte noch durchbekommen, dass Dienstanbieter, also alles von Telekommunikationsunternehmen bis hin zu Social-Media-Plattformen, dem Bundeskriminalamt straffällige Inhalte melden. Ein Richtervorbehalt war dabei nicht vorgesehen. Am Kabinettstisch flog der Vorschlag jedoch dann raus.
"Ja, man hat manchmal so ein bisschen das Gefühl, dass die Bundesregierung in Sachen Cybersicherheit strategie-avers ist", sagt Sven Herpig, Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung. Das habe auch strukturelle Gründe. Zum Beispiel im Bundesinnenministerium:
"Das Ministerium selbst ist gespalten, weil das Ministerium auf der einen Seite dafür verantwortlich ist, dass IT- und Cybersicherheit eingehalten wird. Gleichzeitig hat das Ministerium aber auch die Aufgabe, dass öffentliche Sicherheit, also Strafverfolger und das Bundesamt für Verfassungsschutz zum Beispiel, ihren Job machen können. Und deswegen gibt es seit jeher eine Spaltung im Ministerium selbst, ob man eben die IT-Sicherheit stärken sollte oder ob man die IT-Sicherheit halt eben in bestimmten Bereichen schwächen sollte, damit die Strafverfolger und Nachrichtendienste an ihre Informationen kommen."
Kritik kommt auch aus der Privatwirtschaft
Letztere Position hat sich in der Vergangenheit meistens durchgesetzt. Nicht zum Vorteil der IT-Sicherheit, meint Herpig. Er hat früher selbst beim Bundesamt für Sicherheit in der Informationstechnik gearbeitet:
"Was wir gesehen haben in den letzten zehn, 20 Jahren, ist, dass es immer mehr und mehr Befugnisse für die Strafverfolger, für die Nachrichtendienste gibt. Und jedes Mal sagen sie nach ein paar Jahren: Naja, diese Befugnisse haben uns nicht ausgereicht, wir wollen noch mehr haben. Und wir sind bald an einem Punkt, wo es einfach keine Befugnisse mehr gibt, die wir unseren Nachrichtendiensten und Polizeien noch geben können, ohne dass empirisch dargelegt wird, dass sie diese neuen Befugnisse brauchen. Das ist extrem problematisch, und damit schwächen wir in Deutschland einfach die Sicherheit."
Das sieht man auch in der Wirtschaft so. Es finde eine "inhaltliche Überdehnung" beim IT-Sicherheitsgesetz statt, sagt Sebastian Artz vom Branchenverband Bitkom.
"Das IT-Sicherheitsgesetz sollte in erster Linie ganz klar die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit nennen und dann auch wirklich die gesetzgeberische Umsetzung daran ausrichten."
In anderen Worten: Die Wirtschaft will sich geschützt sehen. Nicht eng kontrolliert durch das BSI oder verwundbar durch zurückgehaltene Sicherheitslücken.
Die ZITiS soll die Behörden des Bundes in IT-Fragen vor allem bei Überwachung, Hacking und Entschlüsselung unterstützen. © imago images / Overstreet
Artz kritisiert außerdem die fehlende Evaluierung des ersten IT-Sicherheitsgesetzes. So wisse man heute gar nicht, welche Maßnahmen besonders sinnvoll gewesen seien und welche nicht. Das sei aber wichtig, IT-Sicherheit sei für die Unternehmen ein großer Kostenfaktor:
"Die Ausgaben für IT-Sicherheitsprodukte, seien es jetzt Hardware, Software oder eben auch Dienstleistungen, die steigen kontinuierlich an und befinden sich im letzten Jahr circa bei fünf Milliarden Euro."
Ein Rechnercluster forscht nach Sicherheitslücken
Die Kritik hält die Sicherheitsbehörden nicht davon ab, weiter nach Sicherheitslücken zu suchen. Zum Beispiel am Stadtrand von München in einem grau-weißen Bürogebäude, wenig malerisch direkt neben der A94. Hier sitzt die Zentrale Stelle für Informationstechnik im Sicherheitsbereich, kurz ZITiS. Sie ist eine relativ junge Behörde. Thomas de Maizière, damals Bundesinnenminister, gründete sie 2017 per Erlass . Die ZITiS soll die Behörden des Bundes in IT-Fragen unterstützen, vor allem bei Offensiven: Überwachung, Hacking und Entschlüsselung. Kein Stacheldraht oder Zaun lässt die sicherheitsrelevante Arbeit vermuten.
Drinnen gibt es allerdings dann Sicherheitsschleusen. Und im Keller steht der HPC, der Hochleistungsrechner-Cluster. Der Präsident der ZITiS, Wilfried Karl schließt die Tür auf:
"Was Sie jetzt hier sehen werden, ich sag’s Ihnen vorher, denn wenn wir jetzt die Tür aufmachen, wird es ganz schön laut, ist ein Hochleistungsrechencluster auf verschiedenen Rechnerarchitekturen von einem deutschen Hersteller, da will ich jetzt gar nicht ins Detail gehen."
"Deutscher Hersteller. Wie viele Rechner, können Sie so was sagen? Ungefähr?"
"Was Sie hier sehen, was da war, sind Tausende von Einzelprozessoren, verschiedener Art, nicht nur der Standardprozessor, den man in seinem PC zu Hause hat, sondern auch Spezialprozessoren, mit denen wir hier versuchen, Dinge zu entschlüsseln, Methoden zu finden, um damit Dinge entschlüsseln zu können für Polizei und Nachrichtendienste."
Danach geht es ins Forensiklabor.
In dem Labor arbeiten zwei Männer in einem Raum mit hellen Tischen und grauen Geräten zu Musik einer Youtube-Playlist. Der eine hat einen weißen Kittel an, der andere ein Sweatshirt. Der weiß getünchte Raum hat das Flair einer Tüftlerwerkstatt, nur sehr sauber. Alles ist kameraüberwacht. Wenn man näher an die Geräte will, muss man sich blassgrüne Schutzsocken über die Schuhe überziehen – um Kurzschlüsse vorzubeugen.
Wenn bei Hausdurchsuchungen das Telefon in die Toilette fällt
"Das ist ein Mikroskop, richtig?"
"Das ist ein Fotoapparat, eine Kamera. Ein Mikroskop haben wir da vorne, eine große Lupe, da kann man Dinge vergrößern. Dies hier ist erst einmal eine Kamera, um Geräte zu inspizieren: Sind die bedruckt, die Chips? Bei einem gut gemeinten Handy ist das so. Wenn das jetzt ein Handy ist, das vielleicht gefälscht ist, eine Produktfälschung aus China oder so, sind die oft angeschliffen, da kann man nicht, da hat man keine Bezeichnung."
Christian Hummert, ein Mann mit krausem Haar im Pferdeschwanz und weinrotem Hemd, ist bei der ZITiS Leiter der Digitalen Forensik.
"Wenn die gut gemeint sind und gut in Ordnung sind, dann gibt es also eben irgendwie kommerzielle Lösungen um solche Daten aus Telefonen auszulesen. Aber wenn eben die Handys beschädigt sind, also häufig werden sie nass, das ist so ein Problem. Also bei erstaunlich vielen Hausdurchsuchungen fallen Telefone in Toiletten, ein Unfall, der sehr häufig passiert, wenn die Polizei kommt, dass dann ganz unglücklich Telefone nass werden."
Herausforderungen, mit denen man bei der ZITiS umgehen kann.
Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich in München ist Dienstleister für die Sicherheitsbehörden des Bundes. © imago images / Overstreet
"Dann überlegen wir uns hier Verfahren und würden zum Beispiel so einen Chip, den wir identifiziert haben als interessant von dem Telefon ablöten, also abnehmen. Wir können uns das ja mal angucken."
"Genau, das ist eine sogenannte Reworkstation. Jetzt können wir automatisiert diese Chips von der Platine abheben und die Maße, in denen der Chip platziert werden muss, das ist sehr genau, das sind Bruchteile von Millimetern, die Abstände auf diesen Platinen."
Mögliches Szenario von einem Quantencomputer
Die ZITiS setzt die Werkzeuge, die sie erarbeitet, nicht selbst ein. Sie ist nur Dienstleister für die Sicherheitsbehörden des Bundes. Das sind das BKA, die Bundespolizei und das Bundesamt für Verfassungsschutz. Hinzu kommen der BND, das Zollkriminalamt und der Militärische Abschirmdienst. In einzelnen Fällen leistet die ZITiS auch Landesbehörden Amtshilfe. Als Budget für die Arbeit gab es 2020 rund 54 Millionen Euro . ZITiS-Präsident Wilfried Karl erklärt die Schwerpunkte:
"Unsere Arbeitsbereiche richten sich natürlich an den Aufgaben der Sicherheitsbehörden aus, für die wir arbeiten. Bei Gründung wurden diese, vor allem das BKA, Bundespolizei, das BfV, gefragt: Wenn die ZITiS einmal gegründet wird, wo drückt denn der Schuh am meisten im Cyber-Bereich? Und da ist ein Katalog entstanden mit vielen verschiedenen Themen, von kleinen Themen, die im forensischen Bereich angesiedelt sind, wie zum Beispiel das modernste Smartphone, das als Asservat nicht ausgelesen werden kann, bis hin zu etwas weiter in die Zukunft reichenden Themen, wie: Was machen wir denn, wenn Quantencomputing kommt?"
Dadurch ist es möglich, komplexe Rechenaufgaben zu lösen, bei denen herkömmliche Computer überfordert sind. Im Sicherheitsbereich, ist Wilfried Karl überzeugt, müsse mit diesen Herausforderungen gearbeitet werden. Das trifft auch auf geheime Sicherheitslücken zu. Diese bräuchten die Behörden. Es ginge um die digitale Souveränität, betont der 55-Jährige. Er war ehemals zuständig beim BND für die "Technische Aufklärung", also Telekommunikationsüberwachung:
"Welche Fähigkeiten muss ein Staat selber erhalten können, um handlungsfähig zu bleiben? Und mit 'handlungsfähig' meine ich die Sicherheitsbehörden als einen der wichtigen Informationsgeber für die Regierung. Und dieses Thema, ich mache es mal fest an der Attribution bei Cyberangriffen: Die Feststellung, wer greift mich denn hier an, ist eng verknüpft mit der Fähigkeit in Computernetze eindringen zu können. Und wenn der Staat diese Festlegung getroffen hat, 'das muss ich selber können', dann sehe ich uns auch in der Rolle, das technisch bereitstellen zu müssen, hier entsprechend zu forschen und zu entwickeln."
An Schwachstellenmanagement arbeitet das Ministerium noch
Die ZITiS gehe damit sehr verantwortungsvoll um, betont Wilfried Karl:
"Was mir immer nicht gefällt, ist eine Pauschalisierung in der Art wie 'jede Sicherheitslücke gefährdet immer die ganze IT-Sicherheit existenziell'. Das ist ja nicht der Fall. Auch in der Industrie gibt es ein Bewertungssystem für die Schwere von Sicherheitslücken, das sehr wohl zulässt, bis hin zu Sicherheitslücken auch offenzulassen und am anderen Ende der Skala eben dann ein sofortiges Schließen vorsieht. Wir haben auch schon Sicherheitslücken gemeldet, weil wir gesagt haben, die ist nicht nur für unsere Zwecke nicht brauchbar, sondern so kritisch, dass wir sie melden müssen."
Das Bundesinnenministerium arbeitet seit geraumer Zeit an solch einem Schwachstellenmanagement. Wann es kommt, ist nicht klar. Vielleicht im IT-Sicherheitsgesetz 3.0?
Der IT-Sicherheitsexperte Manuel Atug ist jedenfalls der Meinung, dass der bisherige Umgang der Politik und der Sicherheitsbehörden mit Sicherheitslücken fahrlässig ist. Er fordert eine radikale Umkehr:
"Jede Schwachstelle, die irgendwie bekannt wird, einer behördlichen Organisation durch selber Ermitteln, durch Zugespieltbekommen, durch Sicherheitsforscher, durch Nachrichtendienste, die irgendwelche Kenntnisse erlangt haben, die müssen bedingungslos, und zwar wirklich bedingungslos, alle an die Hersteller gemeldet werden."
Informationsdiebstahl bei der CIA
Sicherheitslücken stellten einfach eine zu große Gefahr da. Die Behörden könnten sich kaum selbst schützen. Atug nennt ein Beispiel aus den USA. Dort hat sich die CIA sämtliche digitale Angriffswerkzeuge stehlen lassen. Darunter waren Schadsoftware wie Viren und Trojaner sowie Informationen zu offenen Schwachstellen – zum Beispiel in iPhones, Android-Mobiltelefonen oder Computer-Betriebssystemen. WikiLeaks veröffentlichte das Material 2017 unter dem Titel " Vault7 ".
"Das heißt, die hat sich ihren digitalen Waffenschrank mit allen Schwachstellen und Exploits, die da drin waren, einmal komplett abgrasen lassen", sagt Atug. "Wenn die es nicht schaffen, das zu schützen, wer zur Hölle auf dieser Welt kann's dann?"
Die fehlende Konsequenz im Umgang mit Schwachstellen gehe am Ende auf Kosten der Opfer – der Bürger und Unternehmen.
"Diese ganzen Zuständigkeiten, Abgrenzungen, wer darf mit wem wann was besprechen oder nicht, ergeben schon sowieso drei Fragezeichen im Kopf", so Atug. "Das ist etwas, was solche Bandenkriminelle hochgradigst ausnutzen, weil sie sagen: 'Hey, wunderbar, solange die sich noch irgendwie ausklamüsern, wer von den 75 Behörden zuständig ist, sind wir schon in Villabajo und schlürfen unser Cocktail-Schirmchen'."
