Inter­view IT-Sicher­heits­ex­perte Udo Helm­brecht

„Im Cyber­space gibt es keine glo­bale Ethik“

Ethik ist Kultur – und in China eine andere als im Westen, sagt einer der profiliertersten Cyberabwehr-Experten Deutschlands, Udo Helmbrecht. Der ehemalige Direktor der europäischen IT-Sicherheitsagentur Enisa über fehlende internationale Regeln, Konfusion im Ernstfall – und seine Erfahrungen mit Versicherungen.

Herr Helmbrecht, wurden Sie schon einmal gehackt?
Udo Helmbrecht:
Nicht im klassischen Sinne. Zweimal allerdings wurde meine Kreditkartennummer für Einkäufe im Ausland missbraucht – nicht meine Einkäufe, wohlgemerkt. In beiden Fällen haben sich die Banken kulant gezeigt. Es waren aber auch keine großen Beträge.

Dabei haben Sie haben eine Menge Spezialisten um sich, die sich auf Cyberabwehr verstehen. Was sollten mittleständische Unternehmer oder Privatpersonen  tun, um sich gegen Cybergefahren zu schützen?
Helmbrecht:
Prävention ist sehr wichtig. So, wie ich um mein Werk oder meine Fabrik einen Zaun ziehe, Kameras installiere und anderes mehr, sollte ich mich auch bei meiner IT verhalten, um mich vor Eindringlingen zu schützen. Das Budget für IT-Sicherheit sollte also ähnlich hoch sein wie das, was ich in der physischen Welt für Sicherheit ausgebe. Und dann muss ich meine Mitarbeiter sensibilisieren und ausbilden: Was ist Social Engineering, wie läuft diese Art von Cyber-Erpressung ab, was ist Ransomware? Obwohl wir das Thema Phishing seit 20 Jahren kennen, funktioniert diese Masche noch immer. Nicht zu unterschätzen ist auch die Gefahr, die im eigenen Unternehmen lauert. Wir sprechen hier vom Innentäter. Also, beispielsweise ein frustrierter Mitarbeiter, der dann zur Konkurrenz wechselt und Wissen oder Firmendaten dorthin mitnimmt.

Wie schützt sich der private Herr Helmbrecht?
Helmbrecht: Für mich und meinen PC gelten im Prinzip dieselben Regeln wie für Unternehmen. Das heißt, ich habe eine Firewall, einen Virenscanner, halte meine Programme aktuell, spiele  Sicherheitspatches ein. Fürs Online-Banking und Online-Shopping nutze ich eine Zwei-Faktor-Authentifizierung. Ich verwende unterschiedliche Passwörter für unterschiedliche Anwendungen, damit ein Hacker nicht mit einem Passwort Zugriff auf meine E-Mails und gleichzeitig auf mein Bankkonto hat. Damit kommt man gut durchs Leben.

Was ist denn ein sicheres Passwort?
Helmbrecht:
Inzwischen gibt es gute Passwort-Manager, die mir beim Generieren und Verwalten helfen. Wenn ich mir selbst Passwörter ausdenken will, kann ich auf die Empfehlungen des BSI zurückgreifen.

Sie besiegen also den inneren Schweinehund und updaten regelmäßig?
Helmbrecht:
Das ist ja heute so komfortabel, dass es da kaum eine Ausrede gibt. Entweder laufen die Updates automatisch im Hintergrund oder es poppt ein Fenster auf und erinnert mich. Ich bin nicht paranoid. Und gleichzeitig weiß ich, dass es 100-prozentige Sicherheit nicht gibt.

Sie haben ja Physik und Informatik studiert. Programmieren Sie noch?
Helmbrecht:
Tatsächlich interessiert mich das Thema Haus-IT und ich spiele damit ein bisschen rum – einfach um auf dem Laufenden zu bleiben. Zum Beispiel habe ich eine Kamera installiert und dazu eine eigene Anwendung geschrieben, mit der ich im Urlaub schauen kann, wer zu Hause durch meinen Garten läuft …

Und?
Helmbrecht: Bisher habe ich außer dem Gärtner niemanden gesehen. Außerdem wohne ich im Münchner Umland – da schauen auch die Nachbarn noch nach dem Rechten.

Sie haben Athen gegen München getauscht – ein guter Schritt?
Helmbrecht:
Absolut. Ich habe zehn Jahre an der Spitze von Enisa gestanden. Eine dritte Amtszeit ist gesetzlich nicht vorgesehen. Und mir macht es nun großen Spaß, junge Menschen durch ihr Studium hier zu begleiten und ihnen meine Erfahrungen weitergeben zu können.

Smart Home oder, wie Sie sagen, Haus-IT  gilt als anfällig für Angriffe von außen, weil sie zum Teil offene Schnittstellen hat…
Helmbrecht:
Das größte Problem in diesem Zusammenhang ist, dass es IT-Security „by design“, also werkseitig, nicht gibt. Ein Start-up im Smart-Home-Bereich kauft beispielsweise günstige Chips aus Asien, damit es mit seinen Produkten auch günstig in den Markt gehen kann. Da baut niemand noch kryptografische Features ein. So kommt es zu Kolateralschäden wie im Jahr 2016, als Hacker mit der Mirai-Schadsoftware tausende vernetzte Router oder Kameras kaperten und für massenhafte Angriffe auf Unternehmen und Behörden missbrauchten.    

An Ihrem neuen Dienstort München findet ja auch jährlich die Sicherheitskonferenz statt – ist Cybersecurity nicht das Hauptschlachtfeld der Zukunft?
Helmbrecht:
Die Antwort ist: Ja, aber … Denn man darf die klassische Sicherheit natürlich nicht vergessen. Ansonsten ist es schon richtig – in den vergangenen Jahren hat IT-Security auf der Münchner Sicherheitskonferenz einen wachsenden Stellenwert bekommen und es nehmen immer mehr wichtige Persönlichkeiten aus diesem Bereich teil. Da geht es um Soziale Netzwerke, mögliche Wahlmanipulation wie in den USA, Spionage oder staatliche Hacks. Cyber wird ja auch immer mehr Teil der Kriegsführung, wenn Sie zum Beispiel an ferngesteuerte Drohnen denken oder an Hacks wie Stuxnet, wo im Jahr 2010 die iranischen Plutonium-Aufbereitungsanlagen mit Hilfe eines infizierten USB-Sticks zerstört wurden.    

Und Cyberangriffe sind international. Ist es  nicht geradezu hinterwäldlerisch, dagegen mit nationalen Mitteln ankämpfen zu wollen?
Helmbrecht:
Cyberangriffe sind international, aber die Debatte, ob klassisches Völkerrecht ausreicht, um sie zu sanktionieren oder ob es so etwas wie ein Cyberrecht geben muss, ist noch in vollem Gange. Und auf allen Ebenen: UN, Nato, EU, um nur ein paar Beispiele zu nennen. Solange es keine international verbindlichen Regeln gibt, wie wir mir Cyberangriffen umgehen, versuchen wir uns weitgehend selbst, also national zu schützen. In der Cyberwelt stößt dieses System aber zunehmend an Grenzen. 

Sie haben Deutschlands Anteil an der weltweiten IT-Sicherheitstechnologie mal mit einem Salatblatt auf einem Cheeseburger verglichen.
Helmbrecht:
Das Bild entstand in der Debatte um die Snowden-Affäre. Damals kam die Frage nach der digitalen Souveränität in Europa auf. In der EU haben wir ganz auf Marktwirtschaft gesetzt. Inzwischen wissen wir, dass wir dadurch auf einigen Feldern verloren haben: Mit Google, Amazon und Facebook kommen die beherrschende Suchmaschine, der Onlinehändler und das Soziale Netzwerk aus den USA. China hat es geschafft, für seine Wirtschaft Gegengewichte zu schaffen. In Deutschland haben wir einen starken Mittelstand auch in der IT-Sicherheit. Und in Europa mit Frankreich, Italien, Großbritannien, den Niederlanden und anderen, Länder die sich ebenfalls sehr gut auf IT-Sicherheit verstehen. Und viele Experten, die heute für Konzerne wie Huawei arbeiten, kommen aus Europa, zum Beispiel aus Schweden und Finnland. Um im Bild zu bleiben: Wir sind also das Fleisch, der Käse, der Salat zwischen den Brötchenhälften USA und China. Aus dieser Erfahrung heraus und im Wissen um unser Know-how müssen wir in Europa nun gegensteuern, damit wir in Zukunftsfeldern wie Künstliche Intelligenz, Datenschutz, Datensicherheit nicht wieder den Kürzeren ziehen.

Muss ein Staat eigene Cybersicherheitstechnologie entwickeln oder können wir uns auf Technik befreundeter Staaten blind verlassen?
Helmbrecht:
Blind verlassen können wir uns auf keinen Fall. Gerade die Snowden-Affäre und die anschließenden Veröffentlichungen auf Wikileaks zeigen ja ganz deutlich, dass jeder jeden ausspionieren kann – und das auch tut. Selbstverständlich auch im Cyberspace. Wir sind hierzulande in diesem Punkt zu halbherzig, weil wir uns gern auf die Moral berufen. Das halte ich für schwierig. Im Cyberspace gibt es keine globale Ethik. Ethik ist kulturbedingt und in China eine andere als in den USA oder bei uns. Wir brauchen also eine Industrie, die uns wirksam vor Spionage im Cyberspace schützt.

Die Grenzen zwischen staatlich motivierter Industriespionage und Cyberattacken als Mittel der Kriegsführung verschwimmen immer mehr. Wie sollen wir dem begegnen?
Helmbrecht:
Das ist in der Tat schwierig. Gerade in Fällen, in denen ein staatlich motivierter Angriff naheliegt, tun wir uns in Deutschland schwer, einen Verdacht zu äußern oder gar einen Verursacher zu benennen. Nehmen wir den Hackerangriff auf den Bundestag 2015: man vermutete, dass die Angriffe aus Russland kamen, konnte es aber nicht beweisen. Wie soll eine politische Führung entscheiden? Ein Gegenschlag könnte als kriegerischer Akt gedeutet werden – ist also zu riskant.

Wäre es nicht sinnvoll, wirtschaftliche, staatliche und militärische IT-Sicherheit stärker zu vernetzen?
Helmbrecht:
Ja, aber wir tun uns da eben wahnsinnig schwer. Wir haben bei uns das Trennungsgebot zwischen Polizei und Nachrichtendiensten. Damit erzeugen wir Silos, die es in den USA, England oder Frankreich traditionell nicht gibt. Als souveräner Staat, der wir seit der Wiedervereinigung sind, könnten wir das ändern. Würden wir es aber in Frage stellen, müssten wir mit einer breiten Debatte über Moral und Ethik rechnen. So mancher in der Politik mag genau davor zurückschrecken.

Mit dem Cyber-Security-Act  versucht die EU neuerdings mit einer Stimme zu sprechen. Ist das mehr als ein Feigenblatt?
Helmbrecht:
Es ist sicherlich mehr als ein Feigenblatt. Es geht darum, ein europäisches Ökosystem zu schaffen, mit dem wir hier einen hohen IT-Sicherheitsstandard bei Produkten schaffen können und wodurch dieser Standard gleichzeitig zu einem weltweit anerkannten Qualitätssiegel wird – vielleicht ähnlich wie das Made in Germany. Ob es gelingt, hängt von vielen Faktoren ab.

Zum Beispiel?
Helmbrecht:
Die Grundidee ist, dass Vertreter der EU-Mitgliedsstaaten mit Verbänden, Verbraucherschützern, Industrievertretern zunächst aushandeln, was zertifiziert werden soll. Da geht es zum einen um Verbraucherschutzaspekte, zum Beispiel was Smart Home-Geräte dürfen. Erinnern Sie sich noch an die sprechende Puppe, die Gespräche aus dem Kinderzimmer ohne Zustimmung in die USA übertrug? Zum anderen spielen Zertifizierungen wie Common Criteria eine Rolle, mit denen Unternehmen international nachweisen können, dass ihre Produkte einem gewissen IT-Sicherheitsniveau entsprechen. Der Enisa wird dann anschließend die Aufgabe zukommen, zu sagen, wie zertifiziert wird.

Die Enisa hat ein Jahresbudget von 17 Mio. Euro (2019) – das BSI gut 100 Mio. Euro mehr. Kann Europa überhaupt eine Führungsrolle gegenüber den Mitgliedsstaaten übernehmen?
Helmbrecht:
Natürlich achten die EU-Staaten immer darauf, dass eine europäische Behörde ihr Mandat nicht überschreitet. Wenn also die Enisa ein Schema erarbeitet – etwa bei der erwähnten Zertifizierung – sind es die Behörden in den Mitgliedsstaaten, die dann die operativen Aufgaben umsetzen. Im Fall von Deutschland übernehmen also Mitarbeiter des BSI die Prüfung und Genehmigung. Für die Praxis heißt das: Wenn ein Unternehmen, sagen wir aus Südamerika, mit seinem Produkt auf den europäischen Markt will, wendet es sich zunächst an Enisa. Die konkrete Prüfung und Zertifizierung finden dann aber beispielsweise in Spanien statt – weil dort die Sprachbarriere für das Unternehmen am niedrigsten ist.

Sie haben Ihren beruflichen Weg in Unternehmen begonnen, bevor Sie an die Spitze von BSI und später Enisa gewechselt sind. Kennen also beide Seiten. Wie wichtig sind europäische Sicherheitsstandards für Unternehmen? 
Helmbrecht:
In meinen Augen sehr wichtig. Wir machen ja europäische Gesetzgebung, damit Unternehmen in Deutschland dieselben Anforderungen vorfinden wie in anderen Mitgliedsstaaten. Und wenn ich als Unternehmen ein Produkt nur einmal zertifizieren muss, um es in 27 Staaten verkaufen zu können, ist das natürlich kostengünstiger als wenn ich für jeden nationalen Markt eine eigenen Zulassungsprozess durchlaufen muss.

Die Bundesregierung will ein deutsches IT-Gütesiegel. Wirtschaftsverbände hätten aber lieber sofort eine supranationale Lösung. Wer hat Recht?
Helmbrecht:
Ein Land wie wir, mit einem verhältnismäßig großen Binnenmarkt von 80 Millionen Konsumenten, kann es sich prinzipiell schon leisten vorzupreschen – und damit einen Quasi-Standard auch für andere in Europa zu setzen. Allerdings kommt das bei unseren Partnern nicht gut an. Hart formuliert wirken wir mit unserer Politik mitunter schon arrogant: wenn wir vorpreschen genauso wie wenn wir bremsen. Manchmal könnte es der deutschen Politik nicht schaden, im Vorfeld einer Initiative mehr Partner zu finden. Das Ziel von Europa ist immer, möglichst alle mitzunehmen und zu einer einheitlichen Lösung zu kommen.

Interessanterweise haben Sie auch einmal für die Bayerische Versicherungskammer, die mehrere öffentliche Pensionskassen betreut, gearbeitet. Was haben Sie aus Ihrer Zeit in der Versicherungsbranche für ihr späteres berufliches Leben mitnehmen können?
Helmbrecht:
Was mir vor meinem Wechsel dorthin nicht so bewusst war: wie viel Einfluss Juristen in unserer Gesellschaft haben. Die braucht man nicht nur für Verträge…

Das Gespräch führte Simon Frost.

Auch inter­essant