Bericht von der Potsdamer Konferenz für CyberSicherheit

Mehr Patchen, mehr Eigenverantwortung – denn die nationale Cybersicherheit betrifft uns alle

Bericht von der Potsdamer Konferenz für CyberSicherheit

Mehr Patchen, mehr Eigenverantwortung – denn die nationale Cybersicherheit betrifft uns alle

Dr. Sarah Katharina Kayß // Berlin, 25.06.2024

"Krisenfall üben und Awareness für IT-Sicherheit stärken, denn die nationale Cybersicherheit betrifft uns alle", war ein zentrales Fazit der diesjährigen Konferenz für Nationale Cybersicherheit. Zum zehnten Mal fand in der vergangenen Woche die renommierte Konferenz des HPI statt. Auch in diesem Jahr wieder hochkarätig besetzt mit Vertreter:innen der nationalen Sicherheitsbehörden und unterschiedlichen Firmen aus dem Cybersicherheitsbereich. Auf den spannenden Panels wurden Fragen unserer Zeit diskutiert, die Deutschland als Ganzes, aber auch jeden von uns persönlich betreffen. Ein Teilnahmebericht von unserer Kollegin Dr. Sarah Katharina Kayß.

"Patch" kurz erklärt:

Patch (aus dem Englischen für „Flicken“) ist eine Aktualisierung für Software, die Korrekturen vornimmt und/oder Sicherheitslücken schließt. Software-Patches werden gelegentlich auch ohne explizite Inkenntnissetzung des Benutzers durchgeführt oder als notwendige Aktualisierungen ausgewiesen.

Quelle: it-service.network

Die Cybersicherheitsstrategie, das Lagebild 2024, die Sicherheit von Industrie und Kritischen Infrastrukturen, Cyberwar, der Hype um KI und seine Auswirkungen auf die Cybersicherheitslandschaft sowie die Rolle von Desinformationen im diesjährigen globalen Superwahljahr 2024, in dem fast die Hälfte der Weltbevölkerung in den nächsten sechs Monaten wählen wird, waren die Themen der diesjährigen Konferenz für Nationale Cybersicherheit.

Cyber ist ein horizontales Thema: Es betrifft alles, was wir tun.

Claudia Plattner, Präsidentin des BSI

Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik, eröffnete die Konferenz mit der Warnung, dass Deutschland sich in einem halb-digitalisierten Zustand befände, in dem es in Sachen Cybersicherheit nur mäßig geschützt sei. Viel zu tun habe dies mit fehlenden Standards: Das sei zwar ein zähes Thema, aber enorm wichtig für die gemeinschaftliche Sicherheit. Gerade jetzt, wo die Nutzung von KI rasant zunehme. KI könne in vielen Disziplinen als Tempomacherin dienen. Leider auch auf Seiten des Gegners. Um auf Angriffe adäquat reagieren zu können, sei die Auseinandersetzung mit KI unumgänglich, auch, um Angreifenden immer einen Schritt voraus zu sein. Das bedeute gerade für Unternehmen, KI-Strategien zu definieren, einen Handlungsrahmen zu setzen und Sicherheit ab Tag 0 mitzudenken. Ganz ähnlich fiel das Fazit des Panels zum Thema KI mit Vertretern der Bundesdruckerei, CrowdStrike, SNV und Greenbone aus: Deutsche Unternehmen sollten KI nicht einfach geschehen lassen, sondern formen und beeinflussen. Die Chance von KI sei zu groß, um den Zug abfahren zu lassen. „Fürchtet euch nicht“, so der Appell der Panelisten, „passt einfach die Sicherheitsprozesse, die wir seit Jahren kennen, geschickt an KI an.“

 

Auch wenn Dialog und gute Ausbildung zentrale Elemente sind, wenn es um den Ausbau und die Etablierung der deutschen Cybersicherheitsstrategie geht, kam das Panel mit Vertreterinnen und Vertretern der Deutschen Telecom Security, Cisco, Rohde & Schwarz Cybersecurity und BSI zu dem Fazit, dass die Cybersicherheit Deutschlands nur ausgebaut werden kann, wenn man sich kleine Ziele steckt und versucht zunächst kleine Erfolge zu erzielen, anstatt im Rahmen von Überregulierung und Datenschutz den Fokus auf Dinge zu legen, die nicht gemacht werden dürfen. Fehlende Grundlagen sind mitunter banal. Beispielsweise kennen Arbeitnehmende häufig nicht die Notfallnummern und sind bei einem Cyberangriff völlig unvorbereitet. Fazit der Konferenz daher auch, dass menschliche Probleme nicht mit technischen Lösungen beglichen werden können.

KI zum Anfassen

Im Foyer des Konferenzsaals machten Student:innen des HPI die Themen KI und Cybersicherheit greifbar: In wenigen Sekunden konnten sich die Besucher:innen durch die frei verfügbare Software DeepFaceLive in eine prominente Person verwandeln lassen und wurden im Rahmen eines Videos zum Leben erweckt. Ebenso präsentierten die Studierenden des Studiengangs Cybersicherheit, wie sie eine Sicherheitslücke in einer modernen Logitech Computertastatur ausnutzen können, um sich Zugriff zu verschaffen und dann jedes auf der Tastatur geschriebene Wort mitlesen zu können. Wenn Software mit Sicherheitslücken genutzt wird, erklärten die Studierenden, kann auch das sicherste Passwort nicht vor Angriffen dieser Art schützen - daher sei Patchen so wichtig.

Siegfähigkeit setzt Informations-, Entscheidungs- und Wirkungsüberlegenheit in allen Dimensionen voraus: Wir brauchen die Daten schneller am richtigen Wirksystem als der Gegner!

Generalmajor Jürgen Setzer, Bundeswehr, Stellvertreter Kommando CIR und CISO der Bundeswehr

Mutige Aussagen zu den Themen KI, Cyberwar und Regulierung

Auf den hochkarätig besetzen Panels wurden unter anderen von Generalmajor Jürgen Setzer (CISO Bw) und Holger Münch (BKA) klare und mutige Aussagen zu den Themen KI, Cyberwar und Regulierung getroffen. Rhetorisch besonders beeindruckend: Oberstaatsanwältin Jana Ringwald sowie jedes Jahr: Dr. Markus Richter (CIO Bund) und Sinan Selen (BfV). Aber auch starke Stimmen aus Wirtschaft, Wissenschaft und Industrie: Elmar Geese machte beispielsweise deutlich, dass jedes technische Tool, um KI zu regulieren, früher oder später umgangen werden kann. Prof. Dr. Christian Dörr und Felix von Leitner kritisierten, dass der deutsche Markt zu wenige Anreize biete, sichere Hard/Software auf den Markt zu bringen.

Cybersicherheit ist nicht binär: Sie ist nicht bei dem einen da und bei dem anderen nicht. Sie muss schlicht und ergreifend geübt werden.

Jana Ringwald, Oberstaatsanwältin, Zentralstelle zur Bekämpfung der Internetkriminalität

Während Angreifende im stetigen Austausch über Tools und Best Practice sind, fehlen in der deutschen Unternehmens- und Behördenlandschaft etablierte Kommunikationsketten zum strategischen Austausch: Zu häufig greife man noch zum Telefon, um sich über das aktuelle Lagebild auszutauschen. Wichtig sei, ein gemeinsames Krisenmanagement aufzusetzen und den Angriffsfall zu üben, sich besser zu orchestrieren und organisieren. Dabei entscheidend sei, dass alle Parteien nicht nur schnell, sondern auch Hand in Hand arbeiten. „Die beste Verteidigung nützt nichts, wenn die inneren Strukturen im Krisenfall nicht aufeinander abgestimmt sind,“ betonte auch Dr. Markus Richter, Staatssekretär im Bundesministerium des Innern und für Heimat sowie Beauftragter der Bundesregierung für Informationstechnik.

Das, was in der analogen Welt verboten ist, muss auch in der digitalen Welt Bedeutung haben.

Georg Mascolo, Journalist

Angreifer organisieren sich wie Franchise-Unternehmen

Beim anwesenden Cyberexperten-Nachwuchs kam das Panel zum Cyberlagebild 2024 am besten an. Sehr adäquat ordneten dort Oberstaatsanwältin Jana Ringwald und Fred-Mario Silberbach, stellvertretender Abteilungsleuter Cybercrime beim Bundeskriminalamt ein, wie sich die kriminellen Strukturen im Cyberraum im letzten Jahr verändert haben. Angreifer organisierten sich mittlerweile wie Franchise-Unternehmen und seien aufgebaut, wie die Unternehmen, die sie angreifen: Es gäbe einen CEO, eine IT und Personalabteilung ebenso wie eine Abteilung für Operationen. Zusammen mit Mike Hart von Google und Blogger Felix von Leitner waren die Panelisten sich einig, dass gerade in Sachen Patching in Deutschland noch viel mehr passieren müsse: Die meisten der bei Angriffen genutzten Schwachstellen seien alt oder allgemeinhin bekannt unter den Hard- und Softwareanbietern. „Softwarelieferanten haben momentan noch zu wenig Anreize oder Druck, vernünftige und sichere Hard- und Software auf den Markt zu bringen,“ kritisierte Felix von Leitner. Der Co-Founder der Code Blau GmbH wünscht sich, dass Anbieter zur Kasse gebeten werden, wenn sie minderwertige IT-Produkte verkaufen. Schließlich dürfe man in Deutschland auch keine Autos verkaufen, die explodieren können oder Mikrowellen, die zu brennen beginnen. Ein Cyberangriff sei nie persönlich, da der Angreifer pauschal auf alle im Raum schießt, aber nur diejenigen zu Fall bringen kann, die angreifbar sind, weil sie ihre Schwachstellen nicht geschlossen haben und auf die Situation unvorbereitet waren.

Persönliches Highlight

Aufgrund meines Arbeitsschwerpunktes im Bereich Personalbindung und -Rekrutierung im Cybersicherheitsbereich war mein persönliches Konferenzhighlight die Möglichkeit, mich mit dem Nachwuchs an der Cyberexperten-Front – den Gewinnern der HPI (Capture the Flat) Cybergames sowie Studierenden des M.A. Cybersecurity am HPI - zu deren Berufsmotivation und Blickwinkel auf die deutschen Sicherheitsbehörden austauschen zu können.