Terror und Gewalt sind uns in den letzten Tagen und Wochen auf schreckliche Art und Weise begegnet. Daneben droht die Gefahr durch Angriffe im Netz, Cyber-Kriminalität, Cyber-Terrorismus – Verbrechen, bei denen zunächst kein Blut fließt, die aber verheerende Folgen haben können. Vor allem wenn sie empfindliche Infrastrukturen wie Wasser- und Energieversorgung treffen. Für mehr Sicherheit wurde vor einem Jahr in Deutschland das IT-Sicherheitsgesetz verabschiedet.

Hannfried Leisterer, Experte für Internet-Sicherheit am Alexander von Humboldt Institut für Internet und Gesellschaft in Berlin, sagt:

Der Rechtswissenschaftler sagte weiter, wirksamen Schutz könne der europaweite Rechtsrahmen bieten, den es seit diesem Jahr gebe. Hier komme es aber darauf an, die Gesetze in den einzelnen Ländern auch durchzusetzen und anzuwenden.

Denn ein wirksames Sicherheitssystem werde dringend gebraucht. Es gebe eine reale Gefahr von Angriffen. Aktuelle Beispiele aus dem Ausland belegten, dass das Risiko "eines Backouts" bestehe. Durch die stetig wachsende Vernetzung im täglichen Leben werde die Angriffsfläche auf keinen Fall geringer, eher deutlich größer.

Liane von Billerbeck: Schüsse, Messerattacken, Angriffe mit der Axt – Terror und Gewalt sind bei uns in den letzten Tagen und Wochen auf eine Art und Weise begegnet, die barbarischer kaum hätten sein können, und es war ein Terror, man könnte fast sagen, der mittelalterlichen Art, und meilenweit von dem entfernt, worum es heute im politischen Berlin gehen wird, nämlich die Gefahr durch Angriffe im Netz, um Cyberkriminalität, um Cyberterrorismusverbrechen, bei denen erst mal zumindest kein Blut fließt, die aber durchaus verheerende Folgen haben können. Vor einem Jahr ist das IT-Sicherheitsgesetz hierzulande in Kraft getreten, und zu dem stellt das Bundeskriminalamt heute sein Lagebild zur Cyberkriminalität dar. Da fragen wir uns, wie sicher ist es, unser Leben im Netz, und fragen das Hannfried Leisterer vom Berliner Alexander-von-Humboldt-Institut für Internet und Gesellschaft. Schönen guten Morgen!

Hannfried Leisterer: Schönen guten Morgen, Frau Billerbeck!

von Billerbeck: Cyberangriffe auf die Wasserversorgung, das Stromnetz und die Kommunikationsnetze, sind die eigentlich eine reale Gefahr, wenn wir sehen, was wir derzeit für andere Angriffe, andere Anschläge erleben?

Leisterer: Ich würde sagen, dass häufig übertriebene Hackerfantasien, wiedergegeben werden, wenn es um solche Cyberangriffe auf Infrastrukturen wie Stadtwerke, Strom- oder Telekommunikationsnetze geht. Dass aber eine reale Gefahr von gezielten Angriffen besteht, ist in der Tat nicht zu leugnen. Aktuelle Beispiele auch aus dem Ausland belegen ja, dass das Risiko eines Blackouts durchaus besteht. Klar ist, und das denke ich eben auch, dass durch die Vernetzung weiterer Bereiche unseres täglichen Lebens die mögliche Angriffsfläche auch nicht geringer wird. Die potenziert sich vielmehr, sodass das Thema Cybersicherheit auch bei künftigen Anwendungen eine bedeutende Rolle spielen wird, wenn wir um die digitale Stadt oder um intelligente Energie- und Versorgungsnetze reden.

von Billerbeck: Es gibt ja ein Stichwort, da kann man sozusagen die altmodischen Angriffe, die Attentate, die wir jetzt erleben, und das Internet mühelos zusammenbringen, die Netzwelten. Das ist das sogenannte Darknet. Der Attentäter von München hatte sich ja bekanntlich dort seine Waffe besorgt. Ist das der rechtsfreie Raum des Internets?

Leisterer: Das sogenannte Darknet, also das dunkle Netz, ist erst mal nur eine Bezeichnung für den Teil des Internets, der über gängige Suchmaschinen und Browser nicht erreichbar ist. Um in das Darknet zu gelangen, benötigt man einen speziellen Browser, der mit einer bestimmten Verschlüsselungssoftware arbeitet. Entsprechende Browser sorgen mit bestimmten Verschleierungstechniken dafür, dass eine weitgehend anonyme Kommunikation möglich ist, weshalb der Browser auch von unbescholtenen Journalisten und politischen Aktivisten genutzt wird, um vertraulich Nachrichten auszutauschen.

Aber die Anonymität dient zugleich eben auch als Schutzmantel für Kriminelle, die sich auf den versteckten Marktplätzen mit ebenfalls anonymen digitalen Währungen illegale Waren, Substanzen oder Dienstleistungen beschaffen können. Und dass das Dark Web ein rechtsfreier Raum sei, wie Sie eben fragen, kann meiner Meinung nach eben nicht wirklich behauptet werden. Es gelten natürlich die Gesetze, die auch sonst außerhalb und innerhalb des Internets gelten, wie es die meisten Nutzer kennen. Was aber ein zentrales Problem darstellt, ist natürlich die Durchsetzung des Rechts. Es ist eben für die Ermittlungsbehörden unheimlich schwierig, Täter im Darknet zu identifizieren und so strafrechtlich zur Verantwortung zu ziehen. Das ist aber eben zum großen Teil ein technisches und nicht unbedingt ein rechtliches Problem.

von Billerbeck: Nun haben wir seit einem Jahr ein neues IT-Sicherheitsgesetz. Das ist ja erst mal eine gute Nachricht. Was hat sich dadurch geändert? Bewegen wir uns dadurch sicherer im Netz, sind Firmen dadurch besser vor Angriffen geschützt?

Leisterer: Das IT-Sicherheitsgesetz zielt im Ansatz erst mal darauf, die Sicherheit im Cyberspace tatsächlich zu erhöhen. Das Gesetz nimmt hier wichtige Unternehmen in den Blick und verpflichtet diese, IT-Sicherheit am Maßstab des Standes der Technik, wie es so schön heißt, zu gewährleisten. Erfasst vom IT-Sicherheitsgesetz sind nicht nur Anbieter von Telekommunikations- oder Cloudcomputing-Diensten, sondern auch und vor allem Betreiber sogenannter kritischer Infrastrukturen. Der Gesetzgeber wollte vor allem sicherstellen, dass solche Infrastrukturen vor Angriffen von außen geschützt werden, die für das Funktionieren unseres Gemeinwesens von zentraler Bedeutung sind. Das können Infrastrukturen aus ganz verschiedenen Sektoren sein, beispielsweise Energie, Gesundheit oder das Finanzwesen.

Als wichtiges Element des IT-Sicherheitsgesetzes werden neben den hohen Sicherheitsstandards die Meldepflichten für Unternehmen angesehen. Das heißt, Unternehmen haben besondere Sicherheitsvorfälle an das BSI, das Bundesamt für Sicherheit in der Informationstechnik in Bonn, oder die Bundesnetzagentur zu melden. Was genau von den Unternehmen im Fall einer Cyberattacke gemeldet werden muss, ist im Gesetz jetzt nicht en Detail bestimmt, aber die Idee ist jedenfalls, dass den zuständigen Sicherheitsbehörden und Aufsichtsbehörden ermöglicht wird, ein Lagebild zu erstellen, dass man überhaupt erst mal eine Ahnung hat von dem, was da draußen passiert, und eben Trends von zunehmend auch komplexen Angriffen zu erkennen.

von Billerbeck: Aber das ist ja kein deutsches Problem, Herr Leisterer. Das muss ja auch europäisch oder eigentlich weltweit geregelt werden, denn das Netz macht ja nicht an der deutschen Staatsgrenze halt.

Leisterer: Richtig. Das Internet ist ja prinzipiell globaler Natur, und man kann ja eine Datenbank prinzipiell von jedem an das Internet angeschlossenen Ort aus angreifen. Deswegen ist es natürlich auch wichtig, dass es einen europäischen Rechtsrahmen gibt, und den gibt es tatsächlich auch seit diesem Jahr verstärkt. Da ist zum Beispiel die Datenschutzgrundverordnung zu nennen, die eben erhöhte Anforderungen an die Datensicherheit von personenbezogenen Daten stellt –

von Billerbeck: Und bringt die auch genug?

Leisterer: Das ist natürlich dann noch zu sehen, dass sie genug bringt. Die Behörden haben verstärkte Befugnisse, die Standards werden prinzipiell erhöht. Aber es wird eben darauf ankommen, das Gesetz auch durchzusetzen, wie es immer mit dem Recht der Fall ist. Zum anderen haben wir die sogenannte NIS-Richtlinie, also sozusagen das Pendant des IT-Sicherheitsgesetzes auf europäischer Ebene, die die Mitgliedsstaaten auch dazu verpflichten wird, die Kompetenzen und Kapazitäten in diesem Bereich auszubauen. Das heißt, wir verzeichnen erste Ansätze eines Vorgehens, das über den nationalen Rechtsrahmen hinausreicht und was letztendlich auch zu begrüßen ist.

von Billerbeck: Heute stellt ja das BKA sein Lagebild zum Cybercrime vor. Wie fällt denn Ihres aus? Wie sicher, wie unsicher ist unser Land?

Leisterer: Die Lage ist, denke ich, so, dass wir eben weiterhin nicht davon sprechen können, dass sie sicher ist. Aufgrund der Komplexität, die ja auch gerade im technischen Zusammenhang besteht, kann es auch gar keine absolute Sicherheit geben. Insofern befinden wir uns in einer Lage der relativen Sicherheit. Festhalten kann man eben auch, dass durch die rechtlichen Instrumente das Lagebild allgemein verbessert wird. Deshalb darf man natürlich auch auf den Bericht oder das Lagebild des BKA gespannt sein, weil darin auch aktuelle Phänomene und Gefährdungen aufgezeigt werden, aus denen sich ableiten lässt, wie man sich besser schützen kann künftig.

von Billerbeck: Hannfried Leisterer war das vom Berliner Alexander-von-Humboldt-Institut für Internet und Gesellschaft. Ich danke Ihnen!

Leisterer: Vielen Dank, Frau Billerbeck!