Initiative Gesichter des Friedens: Cybersicherheit in Deutschland

Interview mit Harald Summa

Sven Lilienström

PantherMedia / Kheng Ho Toh

Angriffe und hybride Bedrohungen aus dem Cyberraum sind längst Realität. Wir wollten wissen: Sind "kritische Systeme und Infrastrukturen" in Deutschland ausreichend vor Angriffen aus dem Cyberraum geschützt? Wie schnell können wir auf ein hybrides Szenario reagieren und welche rechtlichen sowie völkerrechtlichen Grundsätze gelten im Cyberraum?

Für das In-Depth-Special "Im Visier - Die Bedrohung aus dem Cyberraum" sprach Sven Lilienström, Gründer der Initiative Gesichter des Friedens, mit dem Inspekteur des Kommandos Cyber- und Informationsraum Ludwig Leinhos, dem Leiter der Abteilung "Cyber Analysis & Defense" am Fraunhofer-Institut Prof. Dr. Elmar Padilla sowie dem Vorstandsvorsitzenden der DE-CIX Group AG Harald Summa. Die Interviews mit Hintergrundinformationen zu den Interviewpartnern finden Sie hier oder nachfolgend. 

Der "Deutsche Commercial Internet Exchange" (DE-CIX) ist der größte Internetknoten der Welt und gilt als Kritische Infrastruktur. Wie schützen Sie sich vor Cyber-Angriffen und was, wenn diese unbemerkt bleiben?

Harald Summa: Internetknoten wie die DE-CIX-Plattformen sind innerhalb einer Metroregion auf eine Vielzahl von Rechenzentren verteilt. Die Infrastruktur des DE-CIX in Frankfurt erstreckt sich diesbezüglich beispielsweise auf über 30 Rechenzentren im Rhein-Main-Gebiet. Dadurch kann DE-CIX eine hohe Ausfallsicherheit und Verfügbarkeit garantieren und DE-CIX-Kunden erreichen alle angeschlossenen Netzwerke, egal in welchem Rechenzentrum sie sind. Seit Jahrzehnten ist so beispielsweise der Internetknoten DE-CIX Frankfurt ohne plattformweiten Ausfall verfügbar. Durch die direkte Verbindung zu bis zu mehreren hundert Netzwerken gleichzeitig können Netzwerke überfüllte Transit-Routen meiden und kosteneffizient die Daten auf direktem Weg übertragen. Insgesamt verbessert sich durch die direkte Datenübertragung und die dadurch wesentlich kürzeren Wege, die Datenpakete nehmen, die Netzwerkqualität aller an den Internetknoten angeschlossenen Netzwerke.

Im März wurde am DE-CIX ein Datendurchsatz von 9,1 Terabit pro Sekunde gemessen. Die Schattenseite: Unzählige DDoS-Angriffe und kaum wirksame Gegenmaßnahmen. Machen wir es den Angreifern zu leicht?

Harald Summa: Generell ist das Thema Bewältigung von DDoS (Distributed Denial-of-Service) Attacken ein sehr wichtiges, selbstverständlich auch bei uns. DE-CIX verfügt diesbezüglich über ein internes Forschungsteam, das in enger Zusammenarbeit mit der Industrie und akademischen Partnern daran arbeitet, neuartige technische Möglichkeiten und Lösungen zu suchen, die die Innovation des Marktsegments und die Entwicklung eines Internetknotens der nächsten Generation weiter vorantreiben. Dazu gehören auch durch Drittmittel finanzierte Projekte der öffentlichen Hand; unter anderem liegt der Fokus auf der Erkennung und Eindämmung von DDoS-Angriffen.

Hierzu ein aktuelles Beispiel: DE-CIX hat gemeinsam mit einem internationalen Team von Wissenschaftlern eine Studie veröffentlicht, die erstmalig die Auswirkungen von DDoS-Angriffen, sowie die Effekte von polizeilichen Gegenmaßnahmen untersucht. So wurde festgestellt, dass jeder Internetnutzer Cyber-Angriffe für weniger als 18 Euro (20 US-Dollar) beauftragen und durchführen lassen kann. Für die Studie wurde eigens eine Messinfrastruktur aufgebaut, DDoS-Angriffe von DDoS-Dienstleistern - sogenannte "Booter"-Webseiten - gekauft und damit das eigene System angegriffen. Das Forscherteam analysierte darüber hinaus die Auswirkungen der internationalen Polizeimaßnahmen vom Dezember 2018 gegen DDoS-Dienstleister. Diesbezüglich wurden 15 Booter-Webseiten im Rahmen einer Aktion des FBI und der niederländischen Polizei vom Netz genommen, ohne nachhaltigen Erfolg. Am Projekt waren Forscher des DE-CIX, der BENOCS GmbH, der Brandenburgischen Technischen Universität Cottbus-Senftenberg, der Universität Twente und des Max-Planck-Instituts für Informatik in Saarbrücken beteiligt.

Dabei konnten wir eine nachhaltige Verbesserung der Sicherheitslage in Bezug auf DDoS-Aktivitäten im Internet als Folge der polizeilichen Gegenmaßnahmen vom Dezember 2018 nicht verzeichnen. Nach ungefähr sechs Tagen war die Frequenz der Angriffe schon wieder auf altem Niveau von durchschnittlich fünfzig NTP (Network Time Protocol) DDoS-Angriffen pro Stunde - die Maßnahmen hatten einen Abfall auf dreißig Angriffe pro Stunde bewirkt.

Aus diesen Ergebnissen ist ein weiteres Forschungsprojekt entstanden, das vom Bundesministerium für Bildung und Forschung gefördert wird. Der Fokus liegt hierbei auf Technologien der künstlichen Intelligenz und wie sich diese eignen, um DDoS-Angriffe direkt im Kern des Internets, am Internetknoten, zu erkennen und um neuartige, effektive Schutzmaßnahmen zu entwickeln. Das Projekt läuft bis Mitte 2022.

Über die mittel- und langfristige Forschung stellt DE-CIX bereits seit Jahren seinen Kunden einen sehr effizienten Service namens "Blackholing" kostenlos zur Verfügung. Beim Blackholing blockiert DE-CIX die Datenwellen, die bei DDoS-Angriffen entstehen, möglichst nah an der Quelle. Sie werden abgefangen, bevor sie ihr Ziel erreichen. Das wird an Internetknoten wie dem DE-CIX gemacht. Dort können sehr viele Datenströme gleichzeitig vor DDoS-Attacken geschützt werden, weil dort verschiedene Netzwerke zusammentreffen und hunderte Anbieter beim Peering ihre Daten austauschen.

Die Peering-Partner melden verdächtigen Datenverkehr in ihrem Netzwerk an den DE-CIX, der am nächsten an der Quelle des Angriffs liegt. Die Daten, die zur DDoS-Attacke gehören, werden dann markiert, an der DE-CIX Plattform gestoppt und aus dem Netz ausgefiltert und vernichtet, wie bei einem Schwarzen Loch - daher der Begriff "Blackholing". So werden die Daten der DDoS-Welle aussortiert, während der erwünschte Datenverkehr weiterhin ungestört passieren kann.

Der BND kann täglich 1,2 Billionen Verbindungen am DE-CIX abzweigen. Noch, denn jetzt erklärte das BVerfG - in Ihrem Sinne - dies für verfassungswidrig. Aber: Gefährdet das Urteil nicht auch die Sicherheit des DE-CIX?

Harald Summa: Wir haben das Urteil des ersten Senats des Bundesverfassungsgerichts über die Verfassungsbeschwerden einer Reihe journalistischer Organisationen - wie Reporter ohne Grenzen (ROG), die Gesellschaft für Freiheitsrechte (GFF) und der Deutsche Journalisten-Verband (DJV) - gegen das 2017 in Kraft getretene BND-Gesetz mit großem Interesse zur Kenntnis genommen. Die Neuregelung des 2017 in Kraft getretenen BND-Gesetzes war von Anfang an höchst umstritten, es bestanden erhebliche Zweifel an der Verfassungskonformität.

DE-CIX als Empfänger von Anordnungen des BND zur Ausleitung von Daten auf Basis des dort angegriffenen Gesetzes hat großes Interesse an einer Klärung dieser Vorgehensweise. Aus diesem Grunde haben wir selbst bereits 2018 gegen diese Anordnungen Klage beim Bundesverwaltungsgericht in Leipzig eingereicht, ein Verfahren welches dort ohne jede inhaltliche Prüfung bis zu einer Entscheidung des Bundesverfassungsgerichts über die hier gegenständliche Klage ausgesetzt wurde.

Wir sehen uns gegenüber unseren Kunden in der Pflicht darauf hinzuwirken, dass eine anlasslose Fernmeldeüberwachung ihrer Telekommunikation ausschließlich in rechtmäßiger, vom Gesetzgeber vorgesehener und zugleich mit den Grundrechten der Bürger vereinbarer Weise stattfindet.

Das Bundesverfassungsgericht hat mit seiner Entscheidung die Gelegenheit ergriffen, mit einem Grundsatzurteil den Überwachungsbefugnissen von Nachrichtendiensten klare Grenzen zu setzen und der Bundesregierung Vorgaben für eine verfassungskonforme Ausgestaltung zu machen. Der Gesetzgeber ist nun aufgefordert, das BND-Gesetz bis Ende 2021 nachzubessern und die vom Gericht geforderten verfassungsrechtlich gebotenen Korrekturen vorzunehmen.

Erkennbar ist bereits jetzt, dass seitens des Bundesverfassungsgerichts eine deutlich umfassendere, unabhängige und vor allem vorab erfolgende Kontrolle der Überwachungsmaßnahmen des Dienstes gefordert wird. Auch diese Forderung deckt sich mit den von DE-CIX erkannten Mängeln der bisherigen Praxis.

Eine vollständige Analyse der Entscheidung des Bundesverfassungsgerichts und seiner Auswirkungen auf die künftige Gesetzgebung, welche auch den DE-CIX erneut betreffen wird, wird uns erst nach genauer Durchsicht der vollständigen schriftlichen Urteilsbegründung möglich sein. Einfach wird die Umsetzung der umfassenden Auflagen jedoch in keinem Fall werden.


Über die Initiative Gesichter des Friedens

Die Initiative Gesichter des Friedens wurde im Jahr 2019 als friedensförderndes Äquivalent der Initiative Gesichter der Demokratie gegründet. Unserem Leitmotiv „Sign for Peace and Security!“ entsprechend möchten wir ein Zeichen zum Schutz und zur Stärkung von Frieden, Sicherheit und Stabilität setzen. In der Rubrik Sieben Fragen an stellen wir zudem regelmäßig interessanten Persönlichkeiten sieben Fragen zu den Themen Friedensschaffung und Friedenserhaltung, Sicherheitspolitik sowie Konfliktprävention. Die ersten „Gesichter des Friedens“ sind SIPRI-Direktor Dan Smith, der Vorsitzende der Atlantik-Brücke Sigmar Gabriel, der OSZE-Vorsitzende 2019 und Minister für Auswärtige Angelegenheiten der Slowakei Miroslav Lajčák, der Direktor der Stiftung Wissenschaft und Politik (SWP) Prof. Dr. Volker Perthes und der Stabschef der 69. U-Boot-Brigade der Nordmeerflotte Wassili Archipow.

Über die Initiative Gesichter der Demokratie

Seit Gründung der Initiative Gesichter der Demokratie im Februar 2017 haben bereits mehr als 600.000 Menschen die Selbstverpflichtung zum Schutz und zur Stärkung der demokratisch-zivilgesellschaftlichen Grundwerte unterzeichnet. Mediale Aufmerksamkeit erhält die privat organisierte Initiative durch zahlreiche prominente Persönlichkeiten aus Politik, Medien, Wirtschaft und Gesellschaft - darunter der ehemalige EU-Kommissionspräsident Jean-Claude Juncker, NRW-Ministerpräsident Armin Laschet, Norwegens Premierministerin Erna Solberg, die Staatspräsidentin der Republik Estland Kersti Kaljulaid, der Bundesminister des Auswärtigen Heiko Maas, Generalbundesanwalt Dr. Peter Frank und OSZE-Generalsekretär Thomas Greminger. Alle gemeinsam setzen mit ihren persönlichen Statements ein nachhaltiges und öffentlichkeitswirksames Signal für mehr Toleranz, Pluralismus, Diversität und Meinungsfreiheit.

Verwandte Artikel

Cyberagenten trinken keinen Martini

Cyberagenten trinken keinen Martini

Der Vorstandvorsitzendes des Bundesverbands für den Schutz Kritischer Infrastrukturen e. V. (BSKI) wird am 26. Oktober 2023 in Hamburg im Rahmen des Lernkinos zum Thema „Liebesgrüße aus Brüssel“ referieren.

„Dallmeier Device Manager“ für Gerätemanagement und Cybersecurity

„Dallmeier Device Manager“ für Gerätemanagement und Cybersecurity

Der deutsche Videotechnologie-Hersteller Dallmeier stellt mit dem „Dallmeier Device Manager“ ein Tool zur komfortablen Konfiguration und Administration von Dallmeier Video-IP-Systemen vor.

BSI Lagebericht: Bedrohungslage angespannt bis kritisch

BSI Lagebericht: Bedrohungslage angespannt bis kritisch

Cyber-Angriffe führen zu schwerwiegenden IT-Ausfällen in Kommunen, Krankenhäusern und Unternehmen. Sie verursachen zum Teil erheblichen wirtschaftlichen Schäden und bedrohen existenzgefährdend Produktionsprozesse, Dienstleistungsangebote und...

: