#19: Cyber-Sicherheitsarchitektur im Check

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich und ich bin Unternehmenssprecherin bei Link11. Ich freue mich, dass ihr heute wieder dabei seid und mit mir und meinem Gast in die Tiefe des Kaninchenbaus steigt, mehr über das Thema Cyber-Sicherheit zu erfahren. Wenn euch mein Herzensprojekt gefällt, dann abonniert den Podcast gerne oder empfehlt ihn euren Freunden weiter. Sven Herpig habe ich auf der C3BKA Cyber-Sicherheitskonferenz kennengelernt. war er Teilnehmer einer Panel -Diskussion zum Thema, ob wir Instrumente zum besseren Schutz der kritischen Infrastrukturen brauchen. war eine super spannende Diskussion, die natürlich nicht alle brennenden Fragen beantworten konnte. Umso mehr freut es mich, dass Sven heute hier mein Gast ist. Vielen Dank, Sven, dass du da bist. Sven ist Leiter für Selbersicherheitspolitik und Residenz bei Interface. Interface ist eine unabhängige Expertenorganisation, die ursprünglich unter dem Namen Stiftung Neue Verantwortung bekannt war. Das Ziel von Interface ist es im Grunde ein führender Think Tank zu sein und zu werden für Europa und technologische Themen. Es geht vor allen Dingen darum, dass politische Entscheidungsträger mit dem nötigen Wissen ausgestattet werden, eben die Cyber-Sicherheitsarchitektur für Deutschland zu gestalten. Doch ich will an dieser Stelle gar nicht zu tief in die heutigen Themen eintauchen. Und ja, Sven, vielen, vielen Dank, dass du dir die Zeit genommen hast und heute mein Gast bist. Stell dich doch bitte kurz unseren Hörerinnen und Hörern vor und vielleicht kannst du uns einen Überblick über deine Arbeit als Leiter für Cyber-Sicherheitspolitik und Resilienz geben und dabei noch mal ein bisschen auf die Hauptziele oder auf das Programm von Interface eingehen. Das wäre super.

Sven: Sven Gerne, wunderbar. Vielen Dank, Lisa, für die Einladung. Ich leite bei Interface den Bereich Cyber-Sicherheitspolitik und Resilienz. Konkret beschäftigen wir uns mit unterschiedlichen Cyber-Sicherheitsthemen immer aus der Perspektive, was sollte der Staat anders machen oder was macht er gerade falsch? Das ist so bisschen, sich bei uns durch die Themen. Wir haben das durchgespielt für Themen wie den Schutz der Wahlen, Schutz künstlicher Intelligenz oder auch aktive Cyber-Abwehrmaßnahmen. Und wir verstehen uns eigentlich… Ich sage mal so in zwei, drei Bereichen. Einmal Ideation. Also wir bauen neue Ideen, Policy Ideen, hoffentlich übernommen werden irgendwann von unserem und anderen Staaten. Dann erklären wir in der Öffentlichkeit Zusammenhänge zwischen, gerade passiert ist. Wir haben alles bespielt vom Kinderkanal bis zum Tagesthemen in meinem Themenbereich zum Beispiel. Und wir versuchen natürlich auch die aktuelle Tagespolitik, also diese Cyber-Sicherheitspolitik. Gesetzgebung, neue Akteure, neue Policy -Entscheidungen der Bundesregierung zu begleiten, kritisch zu hinterfragen und vielleicht auch neue Vorschläge zu machen. Das heißt, wir sind so ein bisschen und kommen von der akademischeren Schiene, Inhalte erarbeiten und recherchieren und lange Studien veröffentlichen bis hin zu wir erklären unseren Bürgerinnen und Bürgern, was gerade mit welcher Software falsch gelaufen ist und warum es die Russen mal wieder hecken.

Lisa Froehlich: Lisa Froehlich Jetzt hast du ja gesagt, du beschäftigst dich oder Interface beschäftigt sich vor allen Dingen mit der Frage, wie kann es der Staat besser machen? Jetzt könnte man natürlich den Eindruck gewinnen, dass Deutschland es nicht richtig macht. Wie ist denn deine Einschätzung? ich persönlich finde ja, dass es da draußen viele verschiedene Initiativen gibt. Ihr habt ja auch sozusagen eine Übersicht erstellt oder ihr erstellt seit 2018 eine Studie oder eine Übersicht zur staatlichen Cyber-Sicherheitsarchitektur. Das heißt, welche Institutionen, welche Ämter, Behörden etc. pp. auf unterschiedlichen Ebenen mit in der Cyber-Sicherheitsarchitektur eingebunden sind und beteiligt sind. Ich hab mir das angeguckt und ich muss sagen, es ist ein absolutes Mammutwerk. weiß nicht, da sind unfassbar viele kleine viereckige, ja, sozusagen Kästchen drin auf unterschiedlichen Ebenen. Das wirkt für mich ein bisschen unübersichtlich, in Anführungsstrichen. Es wirkt nicht so geplant. Also ich hab so den Eindruck, es ist gewachsen, ohne dass sich jemand darüber Gedanken gemacht hat, wie soll so eine Cyber-Sicherheitsarchitektur am Ende des Tages eigentlich aussehen und welche Visionen verfolgen wir damit oder welche Idee haben wir dahinter? Wie ist denn deine Einschätzung sozusagen aktuell? Macht die Politik richtig? Gibt es eine Vision für die Cybernation Deutschland oder eher nicht?

Sven: Sven Ich glaube, Punkt hier ist, den hast du gerade schon ganz gut angesprochen, die Politik macht halt Politik. Sie macht halt nicht notwendigerweise Sachen, etwas besser zu machen, sondern sie macht das, womit Politik sich profilieren kann, was gut aussieht, teilweise Sachen, die nicht gebraucht werden. Aber sie macht seltener die unpopulären Dinge, die wir eigentlich bräuchten. Zum Beispiel, wir reden viel bei IT -Sicherheit ja generell über Basismaßnahmen, Patchen, Schwachstellen -Offenlegung, bla bla. Das ist halt alles nicht sexy genug.

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven Da müssen wir einfach noch viele Prozesse verbessern, Ressourcen schaffen und so weiter. Das geht aber in der Politik meistens niemand an, das ist ja nicht... Dann lass uns lieber KI, Quantum, Blockchain irgendwas machen. Das sieht cool aus. Da man paar Professuren schaffen. Alle sind glücklich. Man kommt in die Nachrichten, das ist gut gelaufen. Genau an dem Punkt setzen wir an zu sagen, okay, ja, können wir nachvollziehen, ihr macht halt Politik so. Aber wir wollen uns auch nicht hinsetzen und sagen, ja, dann müssen wir es anders machen. Das gibt ja tolle andere Ideen, sondern einfach, guckt euch doch mal auch so die Basics an. Wir verstehen, warum ihr Sachen gemacht habt, wie ihr sie gemacht habt, aber ihr müsst die andere machen, anders machen, damit wir mehr echte Sicherheit in Deutschland haben. Ein zweiter Punkt, damit reinfällt, ist, du hast gerade die Cyber-Sicherheits Architektur angesprochen mit seinen, ich glaube, 354 Kästen oder so. Natürlich hat, es gab keinen Masterplan. Cyber-Sicherheitspolitik war ein neues Thema. 2010 mit der Cyber-Sicherheitsstrategie wurden dann die ersten Behörden geschaffen, danach wurde in bestehenden Behörden Cyber-Einheiten eingerichtet, es gab Bundesgesetzgebung, Landesgesetzgebung und so weiter und so fort. Und irgendwann hat man gesagt, okay, ja so langsam ist es halt kein neues Thema mehr und wir müssen jetzt mal so langsam planen. Das kam dann erst mit der aktuellen Koalition, die zumindest gesagt hat, sie wollen die Cyber-Sicherheitsarchitektur, die Sicherheitsarchitektur generell reformieren. Und getan haben sie es noch nicht, aber damit kam das. Und da siehst du aber auch schon das Problem. Es ist gewachsen, das ist okay, wir sind ein föderaler Staat, das heißt, wir haben das auch noch mal versechstentfacht auf den Länderebenen so ungefähr. Aber es hat ja auch nie jemand in der Politik den Mut, etwas wieder abzuschaffen. Und so kommst du dann dazu, dass du ganz viele Konstrukte hast, die vielleicht auch gar keiner mehr braucht oder die total sinnlos sind, die dann noch so lange am Leben erhalten werden, also in todesfertigem Rhythmus werden, bis wirklich gar nichts mehr geht. Zum Beispiel wurde gerade die G4C.

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven abgeschafft, die sich ja mit Cybercrime, Industrie, staatlicher Partnerschaft gewidmet hat. Die haben sich aufgelöst Anfang des Jahres. Aber dabei gab es ja auch schon jahrelange Reformbemühungen und da wurde gesagt, dass es nicht mehr funktioniert. Und ich glaube, das ist so bisschen die Herausforderung. Es gab keinen Masterplan, was komplett nachvollziehbar ist beim neuen Themenfeld. Dann hat man viel gemacht, auch okay. Hat man vieles nicht so ganz richtig gemacht, weil halt viel Politik reingekommen ist. Und jetzt sind wir an einem Punkt, wo wir halt wirklich disruptiv reformieren müssten. Aber dazu brauchst du halt Mut. Und das ist normalerweise nicht die Aufgabe von

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven von Politikern da reinzugreifen und auch mal Sachen zu machen, dann vielleicht ihnen keine neue Wählerstimmen einbringen.

Lisa Froehlich: Lisa Froehlich Ja, ich würde mal sagen, nur die Mutigen werden belohnt, jetzt keine Kernkompetenz, die in politischen Geschäftsfeldern so aktiv, sag ich mal, befolgt wird. Jetzt ist es ja tatsächlich so, dass das Thema Digitalisierung, Cyber im weitesten Sinne ja tatsächlich trotz allem relativ weit hoch angesiedelt ist. Also ich meine, mittlerweile ist ja auch unter anderem das Bundesinnenministerium für diese Themen mitverantwortlich und

Sven: Sven Ja.

Lisa Froehlich: Lisa Froehlich Jetzt ist es aber so, dass es ja aktuell mit den neuen Haushaltsdebatten wieder Veränderungen gab und jetzt ist es ja wirklich aktuell so, dass die Innenministerin im Bereich Digitalisierung wieder sparen muss, will, kann, soll, wie auch immer und sozusagen den Schwerpunkt wieder mehr auf die Sicherheitsbehörden gelegt wird, obwohl ja klar ist, dass Cybersicherheit ein absolut relevantes Sicherheitsthema ist. du hast ja sozusagen auch einen Vortrag gehalten beim Amerika -Haus vor einigen Jahren zum Thema, wie sozusagen Deutschland Cybersicherheitspolitik ausgesehen hat, so zwischen 1991 und 2021 war das. Und da konnte man ziemlich deutlich erkennen an der Übersicht, dass im Grunde gerade dieses Cyber-Vorfälle und die Themen, die mit Cyber zu tun haben, den letzten, ich würde mal sagen, 15 Jahren extrem zugenommen haben. Also mal abgesehen davon, dass wir natürlich schon immer Spionageaktivitäten hatten, kamen halt eben noch Dinge dazu, wie eben Sabotage oder ja politische Einflussnahme, sei es jetzt beispielsweise die US -Wahlen 2016. Wie bewertest du das? Wenn du auf der einen Seite siehst, die Cyberbedrohungslage wird immer größer, wird immer komplexer, es mischen immer mehr Akteure mit und da reden wir ja noch nicht von den staatlich subventionierten und staatlich gewollten Hackeraktionen. Und ja, was sind deiner Meinung nach da die größten Herausforderungen, wenn auf der einen Seite gespart werden muss und auf der anderen Seite die Bedrohungslage immer schlimmer wird?

Sven: Sven Na gut, muss man das Geld halt richtig einsetzen. Das sage ich jetzt mal überspitzt. was wir gut gemacht haben ist, ich glaube, halbe Sicherheit ist mittlerweile auf der politischen Agenda relativ oben angekommen. Mit all seinen Facetten, doch manchmal wird der Desinformation mit reingerechnet und dann diese 5G -Huawei -Debatter und so weiter. Aber mal davon aus und vor, ich glaube, das Thema ist mittlerweile relativ

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven wir unsere nationale Cybersicherheitsbehörde oder die Cybersicherheitsbehörde des Bundesamts für Sicherheit und Informationstechnik sehr gut ausgestattet mit mittlerweile 1 .800 Stellen oder so. Und auf Länderebene wird es auch langsam mehr. Und wir haben in den letzten Jahren eine Gesetzesgrundlage geschaffen, die ja schon sehr umfassend ist, auch jetzt mit Hilfe der Europäischen Union. Das haben wir alles gut gemacht, glaube ich. Das Problem ist aber, dass wir a. zu wenig skalierende Maßnahmen haben und b. kein Fachpersonal. Du kannst auch 5000 Menschen in einer Behörde sitzen haben, die sich über Zertifizierung und Sicherheit und was nicht alles austauschen und die vielleicht fünf Leute haben oder zehn Leute haben, die rauskommen und operativ unterstützen, wenn du keine Ahnung, zigzehntausende KMUs hast, die von Cyberkriminellen kompromittiert werden und dann Lösegeld zahlen müssen.

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven Die brauchen entweder skalierende Services, wo sie sagen können, okay, klick mich da ein und dann hab ich halt so einen Grundschutz, der sehr hoch ist schon mal. Oder ich kann halt für viel weniger Geld, als es aktuell üblich ist, Fachkräfte einstellen. Aktuell, also wenn du sie kriegst, dann sind sie teuer, aber eigentlich kriegst sie auch gar nicht. Und dann lösen wir das wieder, indem wir ein paar Professuren schaffen und neuen Masterstudiengang Cybersicherheit irgendwo. Dann bildest du halt in nächsten zwei Jahren 15 neue Leute aus. Herzlichen Glückwunsch. Wir brauchen aber Leute, die schnell da sind. Wir brauchen Umbildung, Umschulungen.

Lisa Froehlich: Lisa Froehlich Ja.

Sven: Sven kurze Ausbildung, Weiterbildung innerhalb von sechs Monaten, einem Jahr, anderthalb Jahren, brauchen wir Leute, die die Fireworks konfigurieren, die Backups richtig aufsetzen. Diese ganze Doing, dieser ganze langsame Kram, da brauchen wir die Leute. auch wenn du die geilste Gesetzgebung hast, du hast A, keine Auditorin, es abnehmen können und B, du keine Leute, die es umsetzen können, dann hast du zwar eine geile Gesetzgebung, aber die Sicherheit ist davon nicht gestärkt. Auf dem Papier ist sie gestärkt, aber in der Realität ist sie nicht gestärkt. Und wir müssen halt dahin kommen, dass wir können über Ressourcen sagen, was wir wollen, sind da oder sind nicht da.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Sven: Sven Wirtschaft ist so wie sie ist. Das ist okay, darüber kann man diskutieren, aber wir müssen mit den Ressourcen, die wir dann haben, damit müssen wir richtig umgehen. Und richtig umgehen heißt hier, das Geld ins Doing investieren oder so investieren, dass der Staat, ich meine, da muss das Doing ja nicht selber machen. Das ist ja das Prioritätsprinzip, die Unternehmen sind selber verantwortlich bis zum bestimmten Punkt. Aber der Staat muss eben die Anreize setzen und das Ökosystem schaffen, damit sie für sich selbst sorgen können. Und das beinhaltet eben, dass wir genug Fachkräfte haben, die wissen, wie man eine Firewall konfiguriert und Backup richtig macht. Und das beinhaltet eben, dass ich mir auch als Unternehmen relativ schnell Sachen zusammenklicken kann, die dann auch vernünftigen Schutz gewährleisten und ich nicht 15 Nextgen-Cyber-Security-Systeme von irgendwelchen Unternehmen hintereinanderschalten muss und gar keine Ahnung habe, was da gerade beim läuft.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, das ist ja, du hast ja jetzt mehrere Punkte auch angesprochen und was ich so erlebe auch im Hinblick auf dieses Thema, ja, Föderalismus beispielsweise, ich war auf dem hessischen Cybersecurity-Gipfel, ich glaube auf dem letzten, 2023, und da hat das Land ganz schön Richtung BSI geschossen und das ging mir am Vorabend der letzten ITSA, 2023, bei Abendevent zur Eröffnung der ITSA auch so, dass irgendwie sozusagen die bayerische Politik da ordentlich gegen das BSI geschossen hat und Claudia Plattner hat das super abmoderiert. Also die hat sich da nicht mit einfangen lassen. Fand ich sehr sympathisch. Das war sozusagen ihr erster öffentlicher Auftritt, den ich live miterleben durfte. Und da hat man ja auf der einen Seite schon, wie gesagt, so ich will jetzt nicht sagen die üblichen politischen Scharmützel. Wer hat jetzt hier den Hut auf? Wer hat irgendwie Ich will jetzt nicht sagen, die Macht oder wer entscheidet letztendlich, wo sollen Informationen hinfließen, von wem fließen Informationen weg, wie kann sozusagen ja auch dieses Thema Cybernation irgendwie bundesweit ausgerollt werden. Das macht es natürlich in einem föderalen Staat wie Deutschland nicht immer einfacher. Aber auf der anderen Seite denke ich, und das hast du angesprochen, dass halt eben auch jedes Unternehmen selbst natürlich auch Verantwortung trägt, ein Teil cybersicherer zu werden. man kann sich ja als Unternehmensentscheider oder als Unternehmenslenker nicht hinstellen und sagen, ja, ich habe jetzt hier eine super Gesetzgebung, wie du hast, und ich bin mit meiner Verantwortung fein raus. Klar, Fachkräftemangel, der wird nicht weniger werden. Also ich habe kürzlich mit Annika Wägenbauer gesprochen und da haben wir auch genau dieses Thema besprochen, wie können wir wie können wir sozusagen Fachkräfte in die Cyber-Security bringen und da haben wir eben auch über Quereinsteigerinnen vor allen Dingen gesprochen, weil da draußen gibt es ja ein unheimlich großes Potenzial an schlauen Frauen, die auch Firewalls konfigurieren könnten und Backups einstellen könnten und patchen könnten. Von daher denke ich, dass es vielleicht Möglichkeiten gibt, wenn eben ja auch die politischen Mittel da zur Verfügung gestellt werden, wie du das gesagt hast. Auf der anderen Seite glaube ich, ist es natürlich immer noch schwierig, weil wir ja auch immer so in so einem Spannungsfeld hängen aus diesen Themen, wie schaffe ich es denn, wenn ich, wie du gesagt hast, geile Gesetzgebung habe, in die direkte Umsetzung dessen zu kommen, was da gewollt ist. Und ich habe ja für einen Professor gearbeitet und weiß, dass die natürlich was Cyber-Sicherheit angeht, am liebsten an den neuesten Themen forschen und sich weniger, sag ich jetzt mal, den Basisdingen wie beispielsweise DDoS -Angriffe, die tagtäglich hier das Internet über Fluten beschäftigen wollen, sondern die wollen Blockchain, künstliche Intelligenz, Quantum und you name it. Gibt es denn aus deiner Perspektive Maßnahmen, die sich als besonders effektiv erwiesen haben, für Unternehmen oder die Resilienz gegen Cyberangriffe zu stärken, wenn man jetzt mal so von der Unternehmensseite das betrachtet? Oder gibt es einfach zu wenig Möglichkeiten, sich effektiv zu schützen? Weil ich meine, dass es kein Allheilmittel für sämtliche Cybersecurity-Probleme gibt, das wissen wir auch, aber ... Ich glaube, dem Fachkräftemangel kann man zum Beispiel auch viel mit Automatisierung entgegenwirken. Aber welche Maßnahmen sind aus deiner Perspektive besonders effektiv, die Resilienz zu erhöhen?

Sven: Sven Ich greife noch mal den Bund-Länder-Twist auf, weil das in die gleiche Richtung geht, wie die Antwort, ich dir auf diese Frage geben werde. Nämlich, hängt alles sehr viel mit der operativen Ebene zusammen. Im Endeffekt, du jemanden aus Hessen und Bayern und aus dem BSI hast, die zusammen an einem Vorfall arbeiten wollen, dann machen die das halt so. Und dann können die auch gut zusammenarbeiten. Dann fällt irgendwann auf, was man eigentlich nicht dürfte oder wo es Begrenzungen gibt, dann geht das an die Juristen, dann sollen die das rausfinden, dann gibt vielleicht eine Gesetzesänderung. So, und was man dann gemacht hat, ist, hat gesagt, BSI wird jetzt Zentralstelle.

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven Dann haben wir jetzt anderthalb Jahre lang alle gefragt, also die, die von außen kamen, haben gesagt so, ja, was heißt denn das jetzt? Was soll denn? Warum denn? so. Wenn du in der dritten Stadt operativ, verdien das klar. Die sagten, okay, wir müssen jetzt jedes Mal ein Formular ausfüllen. wir euch Daten geben, können wir das nicht vereinfachen, so wie wir es jedes Mal dürfen. Bei so einem Vorfall. Ja, okay, und dann gießt das mal in ein Gesetz. Oben ankam aber irgendwie Innenministerin stellt sich hin und sagt, wir machen jetzt Zentralstille. Und alle Länder, die natürlich dann von einer anderen Partei vielleicht geführt worden haben, haben gesagt, so auf keinen Fall, ihr nehmt uns nichts weg. Klassische Politik.

Lisa Froehlich: Lisa Froehlich Mhm. Ja.

Sven: Sven schlecht gemacht, muss man sagen, politisch schlecht gemacht, dann aber klassische Beißreaktionen. Und die auf operativen Ebenen sitzen und sagen, wir wollen noch weiter zusammenarbeiten und unsere Vorfälle bearbeiten. Es ist so egal, was unsere Präsidenten dazu sagen. Und das ist halt das wirkliche Problem. Und das geht über den Punkt, du gerade gemacht hast, in den Unternehmen, was hat, was hat gezeigt, was funktioniert hat. Meistens weißt du eher, wenn es schief geht, als wenn es nicht schief gegangen ist. Wir haben gerade wieder einen Fall gesehen, ich Teamfieber war die gute Sicherheitsmaßnahmen ergriffen haben, Standardnetzwerkssegmentierung und so weiter, Detektionsmechanismen detektiert, bevor es Schaden anrichten konnte und so weiter. Und das sind die Basics. Und natürlich kannst du automatisieren. Natürlich gibt es auch Machine Learning unterstützte Software, die dir Anomalie -Detektion erleichtert, die dir vielleicht schafft, dass Personen mit wenig Ausbildung, also auch Quereinsteiger, - und Einsteiger, relativ schnell reinkommen, weil die Software macht schon erste Triage, macht dir Entscheidungsvorschläge und so weiter. Das heißt, ich glaube hier an das Potential der Argumentierung, also dass du Personen hast, vielleicht jetzt nicht drei Jahre oder fünf Jahre lang Ausbildung gemacht haben und zehn Jahre gearbeitet haben, sondern vielleicht die Hälfte und die kriegen auch eine Machine Learning Software bereit zur Hand gestellt, die dann auch dabei schon unterstützt, weil viele Sachen in der Detektion und so weiter ja auch eben gerade viele Daten haben, die analysiert werden müssen, also klassische Anwendungsfals für Machine Learning ist. Ich glaube, dass es funktionieren kann, aber auch da musst du wieder halt die Basics machen. Weil wenn du deine ganzen coolen Machine Learning Software nicht vernünftig abgesichert hast, ist das erste, was ein Angreifer macht, ist, der macht dir das Ding aus. So, haben wir auch schon gesehen. Denn dann bringt dir auch deine coolste Software nichts mehr. Und das ist halt auch so meine Diskussion. Ich habe zwei Jahre lang gearbeitet zur Absicherung von Machine Learning Unterstützer Software. Und finde ich ganz wichtig, so müssen wir unbedingt machen. Aber so ganz ehrlich, solange Kriminelle und Nachrichtendienste in deine IT -Infrastruktur reinkommen, indem sie Schwachstellen, herkömmlicher Software aussetzen oder traditioneller Software, nicht Machine Learning Software.

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven Da haben die doch gar keinen Anreiz, sich damit zu beschäftigen. Die sind doch auch faul. Die wollen so schnell wie möglich so viele mögliche Zugriffsrechte haben und das schaffen, was sie schaffen wollen. Entweder Ransomware ausrollen oder unentdeckt bleiben und dann Informationen mitlesen. So, dazu müssen sie sich nicht auf Machine Learning Software stürzen, wenn sie es auch anders haben können. So, das heißt, auch da bist du wieder operative Absicherung der Basis IT Infrastrukturen. Und das ist schon schwer genug.

Lisa Froehlich: Lisa Froehlich Mmh.

Sven: Sven So mit den ganzen unterschiedlichen Anwendungen, die du laufen hast, je nachdem, was du bist. Eine Bäckerei ist natürlich anders als ein operativer Konzern, der irgendwas baut. Oder jemand, der wie eine Behörde vielleicht 15 Milliarden Fachanwendungen hat, die alle von irgendwer mal geschrieben worden sind in einer Programmiersprache, wo noch fünf Leute auf der Welt sind, die die lesen können und keiner mehr Ahnung hat, wer das irgendwann mal gemacht hat. Dokumentation gibt es auch nicht und der, der das damals zusammengebaut hat, ist tot. Das sind die realen Probleme, vor denen wir stehen.

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Ja, das finde ich auch. Ich finde es unheimlich spannend, auch so zu sehen, wie oft bei Cyber-Sicherheitsvorfällen, wenn man die so in den Medien verfolgt, im Grunde sozusagen der Mensch immer noch das höchste Risikopotential ist oder beziehungsweise das größte Einfallstor sei es jetzt durch eben perfides Phishing. Die Emails, sage ich jetzt mal, die Phishing-Emails werden dank Künstliche Intelligenzen oder Large Language Models wie ChatGPT ja immer besser. das kann man ja auch kaum noch unterscheiden. Beziehungsweise habe ich mir kürzlich die Doku Putins Bären angeguckt. Da geht es ja natürlich auch sozusagen staatlich unterstützte Hackergruppen, die im Grunde einen komplett anderen Auftrag haben. Aber die haben es ja geschafft. Sowohl den Bundestag oder beziehungsweise die Kommunikation 2015 in Deutschland zu infiltrieren als auch die Wahlen in den USA maßgeblich mit den DC Leaks zu beeinflussen. das sind ja Dimensionen, die unabhängig davon, was so tagtäglich den Unternehmen passiert, weil hier geht es ja mehr so die, sag ich jetzt mal, finanzielle Motivation von Cyberkriminellen, die eben mit einem Ransomware -Angriff möglichst viel Geld in möglichst kurzer Zeit mit möglichst geringem Aufwand erzielen wollen, haben natürlich, sag ich jetzt mal so staatliche Hackinggruppen abgesehen von Lazarus, das Atomprogramm in Nordkorea mit dem Kryptowährungsstehlen finanzieren, haben die ja eine ganz andere Agenda. Und ich finde das immer total spannend, weil wir haben ja auch, wenn wir uns eine Cybersicherheitspolitik oder eine Agenda für eine Cybersicherheitspolitik insgesamt angucken, haben wir ja auch unterschiedliche Ebenen. Wir haben, wie gesagt, einmal die Unternehmensebene, wir haben die staatliche Ebene und wir oder zumindest ist es meine Vorstellung, dass es halt ideal wäre, wenn man das alles quasi mitdenkt, wenn man sich mit dem Thema Cybersicherheit beschäftigt. Kannst du dir denn vorstellen, sozusagen, dass es da mal eine aktivere Rolle seitens der Politik geben wird oder wie könnte denn so eine aktive Cyber-Abwehr in der deutschen Cyber-Sicherheitspolitik zukünftig aussehen? Gibt es da überhaupt Möglichkeiten, dass sich Unternehmen oder auch der Staat oder eben diejenigen, sozusagen im Fokus der Angreifer stehen, sich besser verteidigen können oder gegebenenfalls da auch aktive Maßnahmen ergreifen können, dem entgegenzuwirken oder gibt es da gar keine Möglichkeiten für?

Sven: Sven Ich würde ganz kurz mit einem Punkt aufräumen, den du gerade gemacht hast, ein bisschen mal ein Pet-Pief. Der Mensch als Schwachstelle, das hat ja damals immer ein Puss Schneier, glaube ich, ersten Mal gesagt. Ich würde ihm ungern widersprechen wollen, aber ich glaube, diese Annahme ist zumindest zweifelhaft. Ich habe ja auch mal IT -Sicherheit gemacht, so ganz operativ so. Und dann habe ich irgendwann eine E -Mail bekommen, wo drinnen stand, also auf meiner Ansage so, hey, es könnte Fischling sein. Ich bin so wichtig, ich muss jeden Anhang an jeder E -Mail aufmachen. Na, ich meine, soll das so? Mittlerweile bin ich dazu übergegangen zu denken, ja gut, ist eine komische Art das zu schreiben, aber inhaltlich hat die Person schon recht. In dem Sinne, dass wir die IT -Infrastruktur so sicher machen müssen, dass ein Klick auf einen falschen Anhang nicht dazu führen kann, dass unser System kompromittiert ist. Wenn das so ist, haben wir unsere Hausaufgaben nicht gemacht, dann haben wir halt keine sichere IT -Infrastruktur. Das Personalwesen, hast Kommunikation, das überall Bereiche in einem Unternehmen, ungefragt E -Mails hinkommen, teilweise auch mit Anhängen. Du willst denen sagen, dürfen nie auf irgendwas klicken, so, dass das funktioniert, halt in der Realität, wird das nicht funktionieren. Und genau deswegen glaube ich, klar, können wir auch Awareness -Schulungen machen, die haben ja auch nachgewiesen, eine Halbzeit von nicht so richtig lange. Wir müssen einfach dazu hinkommen, anzunehmen, Leute müssen halt Sachen anklicken, Man muss die IT -Infrastruktur davor schützen, dass andere Leute Fehler machen, die halt auch zu Recht

Lisa Froehlich: Lisa Froehlich Nee, wird's auch nicht.

Sven: Sven keine Sekunde lang an die Sicherheit während Ihres normalen Arbeitstags denken.

Lisa Froehlich: Lisa Froehlich Das ist ja auch so ein bisschen die Verantwortung der Industrie, dass man halt sagt, Leute, stellt uns bestimmte Lösungen zur Verfügung, dass es eben, wie gesagt, möglich ist, dass der Mensch, wie du schon sagtest, Fehler macht, weil der Mensch ist einfach fehlbar. Das wird sich ja nie ändern. Also ich kann mir nicht vorstellen, dass es irgendwann mal eine Zeit geben wird, in der Menschen keine Fehler mehr machen.

Sven: Sven Ja, ich würde gar nicht so weit dagegen sagen, Fehler machen. Du bist Personalerin und kriegst eine E -Mail mit einem Anhang und sagst so, soll ich jetzt meiner Chefin sagen, ich habe die Bewerbung nicht gesichtet, weil ich das Gefühl hatte, das könnte fischig sein. Natürlich machst du es auf, das ist gar kein Fehler. ist einfach, so ist es halt gebaut. Das ist der Arbeitsflow. Von daher müssen wir einfach die Leute, die die intelligenzfreie Struktur sicher machen, die müssen die halt so sicher machen, dass zumindest ein Großteil von

Lisa Froehlich: Lisa Froehlich Mhm. Ja. Das gehört zu deinem Job.

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven Sachen abgefangen werden kann. Da gibt es unterschiedlichste Maßnahmen zu. Thema aktive Cyberabwehr. Also, verkürzt gesagt, intensive aktive Cyberabwehr. Also, wir hacken irgendwelche Computersysteme, die uns angreifen. Super, verkürzt gesagt. Also, zum einen, die Industrie hat hier eine Rolle, nämlich ihre eigene IT -Infrastruktur abzusichern. Weil, wenn wurde diskutiert, hatten, ich sag das, Zweiten Weltkrieg, es irgendwelche amerikanischen Unternehmen sich Flaggstellungen auf die Hochhäuser gebaut oder so. Und dann gab es viele Jahre davor gab es die Freibeuterbriefe, wo dann private Schiffsbetreiber Piraten jagen durften und so weiter. Das ist ja alles ganz schön gut. Es macht immer tolle Analogien, die überhaupt nicht funktionieren in der realen Welt. Aber im Endeffekt ist es doch so, als Industrie hast du Verantwortung dafür, dass du deinen Kram absicherst. Da kannst du gerne mit mir drüber reden, dass du auch gerne mal zurückschlagen möchtest. Ist ja auch ganz okay, aber dann bitte hab' mal da eine IT -Infrastruktur abgesichert und das haben die wenigsten, deswegen bis dahin, hör auf den Staat

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven Und es wird ja diskutiert, seit Jahren in Deutschland eventuelle Befugnisse haben, IT -Systeme in Deutschland oder gerade im Ausland eben auch abzuschalten, zu kompromittieren, zu manipulieren, umzuleiten, wie auch immer, bevorstehende oder aktuelle Angriffe zu unterbinden, die Auswirkungen zu mitigieren und zuzurechnen, wer vielleicht hinter einer solchen Operation steht. Hierfür gibt es Beispiele, dass das ganz gut funktioniert hat in Einzelfällen. Gleichzeitig ist es aber auch so, dass es halt auf dem heißen Stein. Natürlich kannst du so mal eine Command- und Control-Struktur vom Netz nehmen. Du kannst mal zurechnen, wer hinter einer Operation steht. Aber bei der Quantität an Operationen, die tagtäglich hier auf deutsche Unternehmen und Behörden einprasselt, ich mal in Anführungsstrichen, ist es halt was, was du ab und zu mal machst, was auch mit einem hohen Ressourcenaufwand verbunden ist und was dann teilweise erfolgreich sein kann. Aber das wird uns nicht retten. Die Prämisse muss immer noch sein, unseren Kram absichern, so gut wie möglich. Und dann können wir natürlich über solche Themen reden. Und in herausgehobenen Fällen kann es vielleicht auch mal so eine aktive Cyberoperation geben, wenn es denn dafür eben die rechtliche Grundlage geben sollte. Und gleichzeitig müssen diejenigen, die das durchführen, ob es dann das Bundeskriminalamt ist, soll es die Bundespolizei, müssen die sich an bestimmte operative Normen und auch Kontrollmaßnahmen halten, damit das Ganze nicht nach hinten losgeht und mehr Schaden anrichtet, als es uns zugutekommt. Dafür haben wir zwei Papiere vorgelegt.

Lisa Froehlich: Lisa Froehlich Hmm.

Sven: Sven 2021, 2023, die hier vorliegt, was so eine interdisziplinäre Expertenarbeitsgruppe vorschlagen würde, an was man sich halten sollte. Und ich glaube, wenn man sich an solche Vorgaben hält, das vereinzelt durchführt und eben sich gewiss ist, dass das jetzt kein Allheilmittel ist und auch nicht zu einem Großteil der IT -Sicherheit dieses Landes beitragen wird, dann kann man das durchaus diskutieren und auch durchführen. Aber bis dahin müssen wir halt auch grundlegende Probleme lösen, wie eben Umsetzung von Basic Sicherheitsmaßnahmen, IT -Fachkräfte und so weiter. Das kann man natürlich auch parallel angehen, aber die Diskussion ist immer auf der einen Seite, nein, das dürfen wir nicht machen, dann hacken wir wie Krankenhäuser und Menschen sterben ausländisch versehen. Was natürlich irgendwie bestimmt passieren könnte, aber eher unwahrscheinlich ist. Und auf der anderen Seite sagen, ja, wenn wir zurückhacken dürfen, dann sind wir ganz sicher. Das ist auch weit von der Realität. Und ich glaube, hier so bisschen mehr Normaliät hat in dieser Debatte, würde uns guttun und dann könnten wir dieses

Lisa Froehlich: Lisa Froehlich Hmm.

Sven: Sven möglicherweise auch so einsetzen, dass wir bisschen was davon haben. Aber gleichzeitig müssen wir auch auf den Ressourcenaufwand gucken. Und der ist nicht nur finanziell vielleicht höher, sondern dafür brauchen wir auch das Personal. Und da muss man eben auch darüber diskutieren ganz offen, ob das Personal vielleicht an anderer Stelle, vielleicht auch Stelle zur Absicherung von Identität, Infrastruktur möglicherweise besser eingesetzt ist. Aber diese Diskussion führen wir viel zu selten und viel zu wenig. Sondern wir führen halt politische Debatten, die halt in alle extremen Ausrufe haben. Das ist halt sehr schade.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, jetzt sitzt ihr ja in Berlin sozusagen am politischen Nabel der deutschen Welt, in Anführungsstrichen, und habt den direkten Draht ja auch sozusagen zu den politischen Entscheidungsträgern. Zum Abschluss wäre es für mich und wahrscheinlich auch die Hörerinnen und Hörern spannend, von dir zu erfahren, was dir persönlich besonders wichtig ist, wenn du an die zukünftige Entwicklung der Cyber-Sicherheit denkt oder an sozusagen, welche Entscheidungen getroffen werden müssten, für die Cyber-Nation Deutschland?

Sven: Sven Ich glaube, ich würde uns wünschen, dass wir uns mal auf die wirklich relevanten Themen beschränken und hier gemeinsam Fortschritte machen. Ich meine, es ist wichtig, dass wir diskutieren, was Quanten-Kryptografie ist und wie wir quantenresistente kryptografische Verfahren so schnell wie möglich implementiert bekommen. Das muss in dem Herlaufen, da bin ich dabei. Wir dürfen aber nicht sagen, ist jetzt das wichtigste Thema und dann machen wir noch KI und dann wird Deutschland sicherer. Nebenbei machen wir noch hunderte Seiten von rechtlichen Abordnungen, dann sind halt Leute schuld, wenn sie gehackt werden. müssen wirklich die Basics gucken, wie wir besser hinkriegen. Das Fachkräftethema müssen wir angehen. Wir müssen uns anschauen, dass wir es schaffen, dass Schwachstellen, gefunden werden, unseren, wir haben ja für eine IT-Sicherheitsvorschritte in diesem Land.

Lisa Froehlich: Lisa Froehlich Mhm.

Sven: Sven dass die nicht dazu gezwungen sind, irgendwie im Internet zu veröffentlichen, weil ihnen keine antwortet, sondern das vernünftig melden und dann die Schwachstellen geschlossen werden. Das heißt, sich auf diesen Bereich zu fokussieren und da mal vielleicht ein bisschen weniger Politik zu machen und ein bisschen mehr fachlich voranzukommen, würde ich uns wünschen. Ich verstehe, dass das problematisch ist, aber ich glaube, da müssen wir uns hin entwickeln. Und es gibt auch Abgeordnete und Mitarbeitenden von Abgeordneten, die das genauso sehen. Die das auch so voranbringen wollen. ich sag mal so, die kritische Masse haben wir da noch nicht erreicht und da müssen wir besser werden. Weil ansonsten, wie du es ja auch gesagt hast, bei der anstehenden Bedrohungslage da draußen wird es immer mehr pro Marsch richteten, riesigen wirtschaftlichen Schaden an und eben auch die nachrichtendienstlichen Erkenntnisse, die an uns sind strategischen Rivalen, Systemrivalen ist was wir natürlich eigentlich vermeiden wollen.

Lisa Froehlich: Lisa Froehlich Ja, also ich kann nur sagen, der Professor, für den ich gearbeitet habe an der TU Darmstadt, der schimpft auch immer sehr öffentlich auf die Politik, weil er sagt, Mensch, wieso werden denn die Lobbyisten gehört, aber die Experten nicht? Also ich kann mich erinnern, der hatte zu Corona-Zeiten mit seiner Forschungsgruppe eine Corona-Warn-App entwickelt, die deutlich besser und deutlich sicherer war als die entwickelte Corona-Warn-App. Und ich weiß noch, dass ich während ich an der Uni war, verschiedene Abgeordnete und sozusagen Digitalabgeordnete der einzelnen Partei angeschrieben habe, weil wir die für ein Gespräch einladen wollten, bzw. der ist einfach nicht durchgekommen mit dem, was er hätte sagen können. Und das ist einfach auch immer so dieses Thema. Es gibt natürlich auch immer Menschen, die in diesem System halt sozusagen besser ihren Weg finden, weil sie vielleicht auch, ich will jetzt nicht sagen, konformer sind. Aber wie gesagt, der Professor, mit dem ich zusammengearbeitet habe, der war halt auch in Teilen einfach nicht politisch korrekt, weil er halt auch immer gesagt hat, was er denkt und hat halt auch einfach gesagt, naja, guckt euch doch an, wo das Geld am Ende des Tages hingeflossen ist. Von daher, da kommen wir wieder zum Anfang unseres Gesprächs zurück, dass das Thema Mut ja oft in der Politik oder in der politischen Entscheidungsfindung fehlt. Ja Sven, vielen, vielen Dank für das spannende Gespräch. Ich denke, wir sind alle ein bisschen schlauer geworden, was sozusagen die aktuelle Bedrohungslage angeht, was das Thema Cyberresilienz angeht und was sozusagen die Politik auch für eine Rolle in Zukunft haben wird oder haben sollte und ja, du hast ein paar strategische Handlungsempfehlungen gegeben. Ich danke dir ganz herzlich für das Gespräch und ja, freue mich sozusagen, wenn ihr da draußen beim nächsten Mal wieder dabei seid. ja, wie gesagt, wenn euch der Podcast gefällt, dann lasst gerne ein Like da oder abonniert ihn oder empfehlt ihn weiter. An dieser Stelle bleibt mir nur zu sagen, passt auf und ja, keep calm and get protected.