Cyber Security Tech Summit Europe 2020

Cybersicherheit ist ein Prozess und kein Zustand

Cyber Security Tech Summit Europe 2020

Cybersicherheit ist ein Prozess und kein Zustand

SK // Berlin, 28.08.2020

Am 20. August 2020 fand der Cyber Security Tech Summit Europe – sonst eine Präsenzveranstaltung in Bonn – zum ersten Mal rein digital statt. Über eine innovative Meetyoo-Plattform hatten die Konferenzbesucher die Möglichkeit, sich Panels der Keyspeaker anzuschauen, an Breakout Sessions mit Vorträgen unterschiedlicher Unternehmen teilzunehmen oder auf der virtuellen Ausstellung Messestände der Sponsoren zu besuchen. Mit dabei für das BwConsulting-Themenfeld Digitalisierung: Unsere Kollegin Dr. Sarah Katharina Kayß, die für uns die Veranstaltung ausführlich zusammengefasst hat – spannende Informationen nicht nur für Digitalisierungsexperten, insbesondere in digitalisierungstreibenden Pandemiezeiten!

Begrüßung im virtuellen Konferenzraum: Dirk Backofen
(c) Cyber Security Cluster Bonn e.V.

Die organisierte Kriminalität verdient mittlerweile mit Cybercrime mehr Geld als mit Drogen!

Arne Schönborn, Präsident des BSI

Dirk Backofen, Leiter im Business Development der Telekom, leitete die Konferenz als Repräsentant für den Konferenzveranstalter Cyber Security Cluster Bonn e.V. ein. Die ersten Vorträge drehten sich weitestgehend um das Thema Cybersicherheit und Datenschutz: Arne Schönborn, Präsident des BSI, wies in seinem Vortrag mit Nachdruck auf die Gefahren im Cyberraum hin, während Professor Ulrich Kelber, der Bundesdatenschutzbeauftragte, sich zwar positiv überrascht darüber zeigte, wie schnell so manches Unternehmen sich in Coronazeiten digitalisiert habe, jedoch seien seiner Meinung nach bei all der Eile auch allzu häufig grundlegende Datenschutzregeln vergessen worden. Während die Corona-App ein positives Beispiel für den gelungenen Umgang mit sensiblen Daten gewesen sei, wären die aktuell genutzten Restaurant-Gästelisten ein Beispiel für das Gegenteil. Der Datenschutz müsse daher zukünftig idealerweise bei allen Neuerungen direkt mitgedacht werden. Mehr Datensicherheit bedeute auch mehr Datenschutz. Wichtig sei jedoch bei allen weiteren Neuerungen, die Bevölkerung mit einzubinden und zu erklären, warum welche Schutzmaßnahmen notwendig sind.
 
Wir müssen heute handeln, um morgen fit zu sein!

Weisenrat für Cyber-Sicherheit

Der Weisenrat für Cyber-Sicherheit plädierte dafür, die technische Souveränität innerhalb Deutschlands nicht nur zu bewahren, sondern auch zu erhöhen. Ziel für alle Digitalisierungsmaßnahmen müsse es sein, messbare Ziele zu formulieren und dann gemeinschaftlich zu beschließen. Deutschland sei kein Musterschüler in Sachen Digitalisierung, so der Weisenrat, bestehend aus den Professoren Mathias Hollick, Claudia Eckert, Norbert Pohlmann, Delphine Reinhardt, Angela Sasse und Matthew Smith. Digitale Infrastrukturen in „smarten“ Städten müssten idealerweise zu jeder Zeit verfügbar sein, vor allem aber verständlich und beherrschbar bleiben - das sei in dieser Form heute in Deutschland noch nicht der Fall. Außerdem müsse der Schutz der Demokratie im Internet verstärkt werden, um Desinformationen erst gar keinen Nährboden zu geben. Es biete sich demnach an, so die Experten, jegliche Problemanalyse für neue technische Lösungen immer unter Berücksichtigung des menschlichen Verhaltens zu entwerfen – bedenke man, dass vom Menschen selbst die größte Gefahr in Sachen Cybersicherheit ausgehe. Daher schlug der Weisenrat vor, insbesondere langlebige Produkte direkt „kryptoagil“, also mit leicht zu verbessernden Verfahren auszustatten und somit die Möglichkeit einer starken Verschlüsselung auf jeweils aktuellen Stand zu garantieren. Sinn würde es ebenfalls machen, die Software von Beginn an unabhängig von bestimmten Verschlüsselungsverfahren zu entwickeln. Während es in jedem Unternehmen Passwortrichtlinien geben sollte, gehöre das erzwungene Ändern von Passwörtern abgeschafft. Alternativ, so die Experten, wäre es zielführender, für kritische Bereiche eine 2-Faktor-Authentisierung einzuführen und die Forschung im Bereich neuer Krypto-Technologien stärker zu fördern. Dasselbe gelte für KI-Technologien: „Sie müssen transparent und zertifizierbar sein. KI ist immerhin bereits allgegenwärtig“, erklärte Prof. Mathias Hollick. „Notwendig ist daher auch hier ein nachvollziehbares Prüf- und Zertifizierungsverfahren. Außerdem erscheine es sinnvoll, wenn die deutsche Politik ihre Förderung in den Forschungsbereich resilienter KI intensivieren würde, denn die Technologie muss sich zunehmend dem Menschen anpassen und nicht der Mensch an die Technologie.“

Dirk Backofen appellierte an die deutsche Wirtschaft, die durch Corona ausgelöste Chance im Bereich der Digitalisierung aktiv zu nutzen. „Cybersecurity und Datensicherheit made in Germany sollten unser Stempel werden - darauf sollten wir hinarbeiten. Aber wir können alles, was wir in den letzten Jahren versäumt haben, nicht in ein paar Jahren wieder aufholen. Da müssen wir realistisch bleiben,“ so der Cyberexperte. „Trotzdem müssen wir Dinge treiben! Das ist eine riesige Herausforderung – aber wir müssen das schaffen, um international mithalten zu können,“ appellierte Backofen an das digitale Publikum. Nur auf diese Weise könne Deutschland wettbewerbsfähig sein und bleiben.

In einer der Breakout-Sessions berichtete Ulrich Ten Eikelder, Head of Information Security and Awareness bei der Telekom, dass durch Sabotage, Datendiebstahl und Spionage alleine in deutschen Unternehmen im vergangenen Jahr rund 100 Milliarden Euro Schaden entstanden seien. Cyber Angriffe seien erstmals das weltweit größte Sicherheitsrisiko und obwohl Corona gerne als Digitalisierungschance verkauft werde, sei das Virus und die rasante Digitalisierung im Zuge dessen wie „Speed für Hacker“. Der Lockdown im Frühjahr habe die digitale Angriffsfläche massiv vergrößert. Zu lösen sei dieses Problem nur durch eine stärkere Investition in Mitarbeiteraufklärung: Diese Lösung senke das Angriffsrisiko um 46% und sei nach Aussage von Eikelder sinnvoller, als in technische Systemverbesserungen zu investieren. „Unternehmen, die besonders erfolgreich sind, investieren nachgewiesenermaßen mehr in Mitarbeitertrainings und Cybersicherheit. Diese Security Awareness stärkt die Resilienz der Unternehmen,“ so der Sicherheitsfachmann.

Perspektive der Bundeswehr auf Cybersicherheit: Generalleutnant Ludwig Leinhos
(c) Cyber Security Cluster Bonn e.V.

Corona zeigt uns Versäumnisse auf – lernen wir daraus!

Ludwig Leinhos, Inspekteur des CIR

Generalleutnant Ludwig Leinhos, Inspekteur des Kdo CIR, hob in seinem Vortrag hervor, dass wir mehr denn je in einer Informationsgesellschaft leben, womit große Gefahren und Verwundbarkeiten verbunden seien, da gerade digitale Medien verhältnismäßig leicht zu manipulieren seien. Hybride Einflussnahme kann Spannungen verursachen und handfeste Konflikte auslösen. Nicht ohne Grund habe die NATO vor vier Jahren den Cyberraum als eigenen Bereich definiert.

Heutzutage müsse der Cyber- und Informationsraum ebenso geschützt werden, wie die Landmasse. Aus diesem Grund sei das Kommando CIR auch als eigenständiger Bereich aufgestellt worden. Leinhos appellierte an die virtuellen Teilnehmer der Konferenz, dass ein gemeinsames und umfassendes Lagebild ebenso wie Know-how und Spitzentechnologien gebraucht werden: Nur so könne man schnell reagieren, sollte der Ernstfall eintreten. Auf die Nachfrage der Event-Moderatorin nach offensiven Fähigkeiten der Bundeswehr, antwortete der Generalleutnant, dass die deutschen Streitkräfte natürlich auch offensive Fähigkeiten besitzen, die allerdings – analog zu den anderen Teilstreitkräften der Bundeswehr - nur auf Basis eines entsprechenden politischen Beschlusses zum Einsatz gebracht würden.

Tiefe Expertise: Linus Neumann vom CCC
(c) Cyber Security Cluster Bonn e.V.

Den Abschluss der digitalen Konferenz bildete der Vortrag von Linus Neumann vom Chaos Computer Club. Dieser berichtete vom frustrierenden Arbeitsalltag vieler IT-Sicherheitsexperten in Deutschland, da es meist gar nicht um Problemlösungen im Cybersicherheitsbereich ginge (die meisten Lösungsansätze seien ja bereits bekannt), sondern um Grundsatzdiskussionen. Diesen Standpunkt führte Neumann auf zwei wesentliche Erkenntnisse zurück: Zum einen lege man in Deutschland zu wenig Fokus auf die Vorteile und mehr auf die Nachteile der Digitalisierung: Die befürchtete Bedrohung von Arbeitsplätze und den Ausschluss von Teilen der Gesellschaft. Zum anderen verwalte man die Digitalisierung in Deutschland zu sehr.
Bei der Corona-App wurden Datenschutz und IT-Sicherheit kompromisslos umgesetzt – dafür haben wir uns eingesetzt. (…) Es gab einfach nicht genug Zeit, die Corona-App kaputt zu diskutieren. Bei zukünftigen Themen werden wir das sicher wieder schaffen.

Linus Neumann, Chaos Computer Club

„Keiner hat den Mut, einmal innovativere Schritte zu riskieren. Also diskutieren wir umfangreiche IT-Lösungen, machen viele Kompromisse und am Ende gibt es häufig keinen Verantwortlichen“. Deutsche Ingenieurskunst fokussiere sich zu häufig auf hochentwickelte Detaillösungen und gehe die tatsächlichen Ursachen zu selten an. Sinnvoller wäre es aus Neumanns Sicht, über Sicherheitslücken zu sprechen. „Warum sollte man beispielsweise den Nutzern überhaupt die Freiheit lassen, selbst ihre Passwörter zu bestimmen.“ Er selbst würde Passwörter eher zuweisen. So lange Datensicherheit, unverbindliche Richtlinien und Risiken im Zentrum der Digitalisierungsdiskussion in Deutschland ständen, könne keine wirklich digitalisierte Gesellschaft entstehen. Sicherheit sei ein Prozess und kein Zustand, so Neumann. Erst, wenn Deutschland es schaffe, das Beste aus beiden Welten – Stabilität und Agilität – sinnvoll mit einander in Einklang zu bringen, besteht die Möglichkeit, dass Deutschland im Cyberbereich zukünftig international mitsprechen könne.