Der Cyber-Sicherheitsrat Deutschland e. V.: Netzwerk des Vertrauens

2012 wurde der Cyber-Sicherheitsrat Deutschland e. V. von namhaften Persönlichkeiten gegründet. Der in Berlin ansässige Verein ist politisch neutral und hat zum Zweck, Unternehmen, Behörden und politische Entscheidungsträger im Bereich Cyber-Sicherheit zu beraten und im Kampf gegen die Cyber-Kriminalität zu stärken. 

Er umfasst heute annähernd 150 Unternehmen verschiedener Größe, sowohl Anbieter als auch Anwender, kleine und mittelständische sowie DAX-30 Unternehmen aus allen Sektoren. Dazu kommen Bundesländer, Bundes- und Landesministerien, Behörden und politische Entscheidungsträger sowie wissenschaftliche Einrichtungen. Dem fünfköpfigen Präsidium des Cyber-Sicherheitsrat Deutschland e. V. gehört der Mitbegründer des Vereins und Unternehmensberater Hans-Wilhelm Dünn als Präsident an. Verlegerin Heike Lange hatte Gelegenheit, für CP mit ihm über aktuelle Themen im Bereich Cybersicherheit zu sprechen.

HEIKE LANGE: Sehr geehrter Herr Dünn, vielen Dank, dass Sie sich die Zeit nehmen, uns für ein Interview zur Verfügung zu stehen. Die erste Frage ist: Wann hat sich der Cyber-Sicherheitsrat gegründet, und welche Ziele verfolgen Sie damit?

HANS-WILHELM DÜNN: Wir sind im August 2012 gegründet worden, zu einer Zeit, wo das ganze Thema Cybersicherheit noch gar nicht den Stellenwert hatte, den es heute hat. Wir kamen damals zusammen mit Arne Schönbohm, dem jetzigen BSI-Präsidenten, und verschiedenen Entscheidungsträgern aus der Industrie, der Politik und dem Wissenschaftsbereich zu dem Schluss, dass wir eine Plattform brauchen, auf der man vertrauensvoll zusammenarbeiten kann. 

Eines der Probleme in Deutschland ist z. B., dass Strafverfolgung, IT- und Datenschutz sowie die dazugehörigen Aufsichtsbehörden oft in der Verantwortung der Länder liegen. Gerade im Bereich Cyber spielen Landeskriminal- und Verfassungsschutzämter eine große Rolle. Diese föderale Aufstellung kann Cyberkriminellen in die Hände spielen. Ein kleines Beispiel: Denken Sie an die 900 Stadtwerke in Deutschland, die alle regional etabliert sind und das Thema Cybersicherheit oft unterschiedlich verstehen. So entstand die Idee, dass wir diese Fragen auf eine Entscheiderebene bringen sollten, um sie auch politisch zu transportieren. Wichtig schien uns, beteiligte Politiker parteiübergreifend ansprechen zu können, egal ob es sich um Kommunalpolitiker wie einen Landrat oder Landtagsmitglieder oder Angehörige des Bundestags bis hin zu Mitgliedern der Bundesregierung handelt.

HEIKE LANGE: Wie hat sich Ihre Arbeit in den vergangenen sechs Jahren geändert? Wie haben sich Ansprechpartner geändert, aber auch Tätigkeitsfelder?

HANS-WILHELM DÜNN: Ganz allgemein gesagt ist das Thema von Jahr zu Jahr komplexer geworden, aber es ist auf der Entscheiderebene angekommen. Jedoch ist der Implementierungswille immer noch zu gering. Es gibt inzwischen eine Fülle von Institutionen zu diesem Thema: Wir haben das BSI, zusätzlich eine neue Agentur für Innovationen in Cybersicherheit (ADIC), die sich gerade im Aufbau befindet. 

Wir haben eine Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), die in München sitzt und als Dienstleister der Bundessicherheitsbehörden die Themen Digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse und Big Data Analyse betreut. Dann haben wir das Kommando Cyber-Informationsraum der Bundeswehr. Dazu kommen die Länder mit ihren speziellen Ansprechstellen. Und die verschiedenen Industrie­bereiche, die einzubeziehen sind.

Das Rückgrat der deutschen Wirtschaft sind nicht die DAX-30 Unternehmen, die teilweise sehr, sehr viel Geld investieren, sondern es sind eher die kleinen und mittelständischen Unternehmen (KMU) wie Automobilzulieferer. Wenn Volkswagen Millionenbeträge in Cybersicherheit investiert, ist das sehr positiv, aber nur erfolgreich, wenn die Automobilzuliefererindustrie als Ganzes sich entsprechend aufstellt. Es nützt wenig, wenn die Schnittstellen mit Zulieferern aufgrund minderer Sicherheitsstandards offen sind und wir letzten Endes dort große Einfallstore haben.

HEIKE LANGE: Anscheinend besteht die Herausforderung darin, den Entscheidern klar zu machen, dass ihre Sicherheit Geld kostet und den Anwendern, dass Cybersicherheit als Prozess von Anfang an mitgedacht werden muss. Das hat viel mit Bewusstsein zu tun, also auch Öffentlichkeitsarbeit. Wie machen Sie das?

HANS-WILHELM DÜNN: Wir wünschen uns einen möglichst kompetenten Ansprechpartner auf der Ausführungsebene, der auf der einen Seite technisch versiert ist, aber andererseits auch für seine Institution strategisch denkt. Wenn zum Beispiel ein Stadtwerke-Geschäftsführer Smart Meter – also intelligente, miteinander vernetzte Messgeräte oder sonstige Produktionseinheiten – einführen will, sollte er vor der Bestellung prüfen, ob die notwendige IT-Sicherheitsarchitektur vorhanden ist und nicht erst nach der Bestellung feststellen, dass die Voraussetzung für eine sichere Neuerung gar nicht existiert – das ist schon so geschehen…

Um das Bewusstsein hierfür zu schärfen, dürfen wir nicht mehr primär die Computerexperten z. B. in der Technik-Fachpresse ansprechen. Im Idealfall müssen wir in den großen Tageszeitungen wie FAZ oder WELT publizieren und natürlich auch in Fachpressorganen wie der CP, wie wir das gerade jetzt tun! Nur so können wir auch die Nicht-Techniker sensibilisieren für das A und O der Cybersicherheit – die Cyberhygiene.

HEIKE LANGE: Haben Sie auch Koopera­tionen auf internationaler Ebene?

HANS-WILHELM DÜNN: Das ist sogar ein ganz wichtiges Thema. Heute funktioniert fast alles auf einem internationalen Markt, man könnte fast sagen, wir arbeiten auf einem „Smart Planet“. Alles ist miteinander vernetzt. Und das betrifft auch das Verbrechen wie beispielsweise Einbruchskriminalität oder die Angriffe auf IT. Aufklärung ist bei letzterem Tatbestand allerdings noch schwieriger. Wenn man Opfer eines Einbruchs wurde, dann kommt üblicherweise die Polizei, nimmt Fingerabdrücke und versucht, die Spur der Täter aufzunehmen. Bei einem Hackerangriff kann es aber sein, dass er vor einer Sekunde z. B. aus Kasachstan gefahren wurde und dann die Spur scheinbar zu einem Server in einer Grundschule in Potsdam führt, d. h., die Aufklärung ist wesentlich komplizierter.

Eine bedeutende Rolle bei unserer internationalen Zusammenarbeit spielt etwa Israel. Dieses Land agiert sehr innovativ auf unterschiedlichsten Gebieten der Verteidigung, u. a. auch gegen Cyberangriffe. Dafür gibt es dort eine Spezialeinheit der Armee, welche hochausgebildete IT-Sicherheitsexperten ausbildet und deren Expertise auch für eine spätere Verwendung in der Wirtschaft sehr wertvoll ist.

Weitere Kooperationsabkommen unseres Vereins bestehen beispielsweise mit der National Forensic and Training Alliance in Pittsburgh bei der Carnegie Mellon University. Einige unserer Mitgliedsunternehmen haben dort Kooperationen laufen und lassen dort Mitarbeiter fortbilden.

Input von außen ist m.E. auch dringend notwendig, denn ich würde behaupten, dass wir in Deutschland vor der Herausforderung stehen, unsere eigenen Systeme verstehen und kontrollieren zu können. Derweil wird unsere Systeminfrastruktur häufig von ausländischen Playern dominiert. In der Regel werden in Deutschland Telekom-Komponenten verbaut, und die kommen zum überwiegenden Teil von ausländischen Hauptzulieferern wie etwa Huawei. 

Wir müssten idealerweise anfangen, eigene Strukturen aufzubauen, so dass wir vielleicht in fünf bis zehn Jahren in die Lage kommen, ausreichend Soft- und Hardware „made in Germany“ oder Europe produzieren zu können. Nur so könnte man die Gefahren vermeiden, die bei ausländischen Systemkomponenten nie ausgeschlossen werden können. Unkontrollierbare Komponenten können immer ein Einfallstor darstellen, durch das unsere Systeme infiltriert werden können, wo Informationen abgesaugt werden können.

HEIKE LANGE: Aus den vielen in- und ausländischen Institutionen, mit denen Kooperationen bestehen, möchte ich das BSI herausgreifen. Wie ist die Zusammenarbeit mit dem BSI?

HANS-WILHELM DÜNN: Die Zusammenarbeit vollzieht sich auf verschiedenen Plattformen Generell nutzen wir dabei Synergien und bringen Entscheider zusammen, um die Cybersicherheit voranzutreiben. Wir hatten übrigens gerade kürzlich eine Veranstaltung vom Cybersicherheitsrat Deutschland e. V. zusammen mit Arne Schönbohm. Ein Outcome einer solchen Veranstaltung ist, dass Geschäftsführer beteiligter Unternehmen sensibilisiert zurückgehen in ihre Häuser und dort neue Impulse zur Cybersicherheit geben.

HEIKE LANGE: Stichwort Cyber-Sicherheitsrat Deutschland e. V.: Wer sind die Mitglieder, wie kann man beitreten, was gibt es für Regularien, um sich auszutauschen?

HANS-WILHELM DÜNN: Wir sind auf der einen Seite eine Mischung von Industrievertretern aus Unternehmen, die auch nur als Unternehmen Mitglied werden können. Das heißt, der Verein besteht nicht aus Einzelpersonen, sondern aus Institutionen. Die jeweilige Organisation ist bei uns Mitglied – mit einer einzigen Ausnahme. Das sind sogenannte Mandatsträger. Wenn jemand zum Beispiel Abgeordneter im Europäischen Parlament oder im Bundestag ist oder eine spezielle Tätigkeit aus dem Bereich Cybersicherheit in Behörden ausübt, kann er als Person Mitglied werden. Mandatsträger aus der Landesebene sind bei uns vertreten aus ca. zwei Dritteln der Bundesländer.

Aber egal, wer da sitzt, alle haben die gleichen Rechte, die gleichen Pflichten und die gleichen Vorteile und Chancen. Es gibt darüber hinaus keine weiteren Beratungsleistungen des Vereins. Wir sind kein Dienstleister. Wir bieten eine Austauschplattform an, aber wir offerieren keine Produkte, man kann bei uns keine Servicetools oder Programme kaufen.

HEIKE LANGE: Wenn sich in diesem Kreis Unternehmen oder Institutionen öffnen und ihre Sorgen oder negativen Erfahrungen berichten, wie steht es dann um die Frage der Geheimhaltung oder Vertraulichkeit?

HANS-WILHELM DÜNN: Wir haben von Anfang an Wert gelegt auf die Devise: Was wir in diesem Forum besprechen, bleibt auch in diesem Kreis. Dafür muss man natürlich auch technische operative Maßnahmen treffen, aber Grundlage für alles ist das Vertrauen zu den Netzwerkpartnern. Unsere Ansprechpartner sind in der Regel auch wirklich die Entscheider. Das heißt, es kommt nicht mal dieser Vertreter aus einem Unternehmen und das nächste Mal ein anderer, sondern möglichst immer die gleichen belastbaren Funktionsträger – man kennt sich. So entsteht mit der Zeit eine Plattform, wo man gewisse Dinge einfach mal laut vor Publikum denken, diskutieren und sozusagen in Echtzeit Themen austauschen kann. Sicher gab es am Anfang auch Vorbehalte, aber das Netzwerk wächst immer mehr zusammen.

HEIKE LANGE: Wie wird sich der Cyber-Sicherheitsrat für die Zukunft aufstellen, wo liegen die größten Herausforderungen?

HANS-WILHELM DÜNN: Der Fokus des Cyber-Sicherheitsrat Deutschland e. V. wird auch in Zukunft darauf liegen, ein vertrauensvolles, belastbares, nationales Netzwerk zu generieren, auf Basis dessen eine stärkere internationale Ausrichtung erfolgt, den Dialog zwischen Anwendern, Anbietern und Politik zu ermöglichen und darin Cyber-Sicherheit als zentralen Business-Enabler zu platzieren. Gleichzeitig ist es unsere Aufgabe, die teilweise komplexen, technischen Themen auf die Entscheiderebenen zu übersetzen. 

Darüber hinaus möchten wir in Zukunft vor allem die Internationalisierung unseres operativen Netzwerkes ausbauen und noch stärker den Verein in aktuellen Debatten positionieren, unter anderem auf Basis der Ergebnisse unserer Hub-Sitzungen. Angesichts des Fight for Talents aufgrund des IT-Sicherheitsfachkräftemangels möchten wir zudem gemeinsam mit der Industrie neue Ausbildungsformate für Schulen vorantreiben.

HEIKE LANGE: Welche Wünsche oder Anregungen haben Sie an die CRISIS PREVENTION?

HANS-WILHELM DÜNN: CRISIS PREVENTION kann als Fachmagazin einen wichtigen Beitrag zur Cybersicherheit leisten. Wir stellen fest, dass das teilweise sehr technik-lastige Thema noch nicht ausreichend auf die Entscheiderebenen übersetzt wurde. Wünschenswert ist also eine Darstellung der komplexen, drängenden Fragen der Cybersicherheit für einen breiten Kreis aus Wirtschaft, Politik und Gesellschaft.

Interview: Heike Lange/Bearb. Heinz Neumann