In der letzten Zeit häufen sich Medienberichte über Cyberangriffe. Neben privaten Unternehmen werden zunehmend auch staatliche IT-Infrastrukturen ins Visier genommen. In welchen Bereichen bestehen aus Ihrer Sicht die größten Gefährdungen und Risiken für IT-Sicherheitslücken in Deutschland?
Felix Freiling: Prinzipiell ist jeder Bereich gefährdet, der darauf vertraut, dass er durch Software allein geschützt wird, denn Sicherheitslücken gibt es in jeder Art von Software, in Apps, Webanwendungen und Betriebssystemen. Sie zu finden ist sehr aufwendig. Aber wenn solche Lücken bekannt werden, sind sie auch leicht auszunutzen.
Cyberangriffe auf staatliche Einrichtungen zielen häufig auf die sogenannte kritische IT-Infrastruktur. Was ist damit gemeint und welche gesamtgesellschaftlichen Folgen kann das Zusammenbrechen staatlicher IT-Infrastruktur im schlimmsten Fall haben?
Felix Freiling: Kritische Infrastrukturen sind grob gesagt alle Systeme, die wichtige gesellschaftliche Funktionen aufrechterhalten. Dazu gehören beispielsweise Krankenhäuser, die Polizei oder Teile der öffentlichen Verwaltung. Die Folgen von Angriffen auf solche Infrastrukturen kann man aus zahlreichen Vorfällen der Vergangenheit ablesen. Im Juli 2021 ging beispielsweise nach einem Angriff auf die IT-Infrastruktur des Landkreises Anhalt-Bitterfeld in der Verwaltung monatelang gar nichts mehr. Es wurde sogar der Katastrophenfall ausgerufen.
Die „bidt Werkstatt digital“ befasst sich mit dem Thema „Lücken (immer) schließen? Wie soll der Staat mit IT-Sicherheitslücken umgehen?“. In welchen Fällen sollte der Staat denn seine Sicherheitslücken nicht sofort schließen?
Felix Freiling: Sicherheitslücken sind nicht nur ein Einfallstor für Kriminelle. Sie können auch Strafverfolgungsbehörden und Nachrichtendienste in die Lage versetzen, in die IT-Infrastruktur von Kriminellen einzudringen, um diese aufzuklären oder lahmzulegen. Dazu darf das Wissen um die Sicherheitslücke aber nicht sofort bekannt werden. Es muss also abgewogen werden zwischen den Chancen, in die IT-Systeme Krimineller einzudringen, und den Gefährdungen der Allgemeinheit, die dadurch entstehen, dass die Sicherheitslücke nicht geschlossen wird.
In der Debatte zu IT-Sicherheitslücken schlagen Sie vor, eine Melde- und Koordinierungsstelle zu etablieren. Welche Aufgaben sollte eine solche Stelle übernehmen?
Felix Freiling: Sie sollte einerseits zwischen den beteiligten Parteien vermitteln, also zwischen den Softwareherstellern, den Entdeckern von Schwachstellen und den interessierten Behörden. Über eine solche Stelle würde zudem die eben angesprochene Abwägung zwischen den Interessen des Staates an Strafverfolgung und den Interessen der Allgemeinheit an einer sicheren Infrastruktur in transparenter Art und Weise ablaufen. Es gäbe dann weniger Gemauschel.
Was verstehen Sie in diesem Zusammenhang unter ethischen Hackern und inwiefern setzen sich diese massiven rechtlichen Risiken aus?
Felix Freiling: Ethisches Hacken ist ein Zweig der IT-Sicherheitsforschung, der sich mit dem Finden von Schwachstellen in verbreiteter Software beschäftigt. Ziel dabei ist stets, der Allgemeinheit etwas Gutes zu tun, also die Zahl der Schwachstellen im Internet zu verringern. Ein gutes Beispiel für die Gefährdungen, denen sich ethische Hacker aussetzen, ist der Fall von Lilith Wittmann, die 2021 eine krasse Sicherheitslücke in der Wahlkampf-App der CDU fand. Anstatt die Sicherheitslücke zu schließen, wurde sie angezeigt. Das Strafverfahren ist mittlerweile eingestellt, aber so was schüchtert natürlich ein. Solche Einschüchterungen sind gang und gäbe.
An welchen Stellen müssten die rechtlichen Rahmenbedingungen Ihrer Meinung nach angepasst werden?
Felix Freiling: Die positiven Effekte von Personen, die ethische IT-Sicherheitsforschung betreiben, sollten auch in der Formulierung von Gesetzen berücksichtigt werden, etwa in Form von Ausnahmeregelungen im Strafrecht. Aber auch an anderen Stellen wie beispielsweise im Urheberrecht gibt es Ausnahmen von Strafbarkeit, zum Beispiel zur Herstellung von Interoperabilität, aber nicht zur Suche nach Softwareschwachstellen. Das passt in der heutigen Zeit nicht zusammen.
Video: bidt Werkstatt digital zum Thema „Wie soll der Staat mit IT-Sicherheitslücken umgehen?“
By loading the video, you agree to YouTube’s privacy policy.
Learn more
Werkstatt digital: Folien zum Download
