Seite 2: Niederländer konnten in GRU-Systeme eindringen

Können wir uns neben dem langfristigen Schutz von IT-Systemen auch kurzfristig gegen solche Attacken schützen?

Sandro Gaycken: Kurzfristig, nein. Seit zehn Jahren empfehle ich Hochsicherheits-Infrastrukturen mit High-Assurance-Systemen. Da sind die Systemteile voreinander geschützt, so dass ein Angreifer nach dem Befall eines Teils nicht in weitere Teile vordringen kann.

Das gibt es leider nur in der Rüstungsindustrie. Am besten haben sich die Niederlande gewappnet, denn sie werden von den Russen besonders gefürchtet, nachdem es dem niederländischen Geheimdienst gelungen ist, in Datensysteme des russischen Militärgeheimdiensts GRU einzudringen. Das könnten die Niederlande auch künftig nutzen.

Mikko Hyppönen, der Forschungschef des finnischen IT-Sicherheits-Anbieters F-Secure, sieht Deutschland gegen Angriffe aus dem Cyberraum schlechter gewappnet als die Ukraine. Wie schätzen Sie das ein?

Sandro Gaycken: Das stimmt. Dank der Hilfe der USA und der Nato ist die Ukraine in der Lage, Systeme plötzlich offline zu schalten. Wir können das nicht. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und andere deutsche Behörden halten sich für sehr fähig und hatten daher kein Interesse an amerikanischer Hilfe.

Ein großes Problem ist auch die deutsche Bürokratie. Das zeigt sich bei der langwierigen und komplizierten Beschaffung und der viel zu niedrigen Besoldung von IT-Fachleuten. Bürokratie ist hinderlich im Krieg. Auch die Nato braucht mit bis zu zehn Jahren zu lange bei der Beschaffung großer Hightech-Systeme.

Bei einer deutschen Behörde dauert es sogar eineinhalb Jahre, bis sie sich eine Beschaffungsanfrage überhaupt näher anschaute. Zudem fehlen gute deutsche Sicherheitspolitiker. Junge Politiker haben kaum Kenntnis, etwa in nuklearer Eskalationsstrategie.

Empfehlen Sie zur Cyber-Verteidigung Gegenmaßnahmen, etwa die umstrittenen Hackbacks, das heißt digitale Gegenschläge?

Sandro Gaycken: Auf jeden Fall Hackbacks! Wie effektiv sie sind, sieht man an den Niederlanden. Ihren Einsatz hätte man längst entpolitisieren sollen. Die Kritik daran ist politisch populär, aber inhaltlich völlig verfehlt. Eskalationen und Nebenwirkungen kann man gut kontrollieren. Damit meine ich etwa die Stellungnahmen der Stiftung Neue Verantwortung und des Chaos Computer Clubs.

Könnte Deutschland denn Hackbacks ausführen?

Sandro Gaycken: Die Fähigkeit hätten wir. Viele Fachleute sind aber nicht beim Staat, sondern bei den IT-Riesen beschäftigt.

Redaktioneller Hinweis: In einer früheren Version dieses Gesprächs wurde der Interviewpartner mit der Aussage zitiert, Russland habe eine Cyberattacke gegen die US-amerikanische Colonial Pipeline verübt. Das ist nicht korrekt. Der Angriff ging nach Erkenntnissen der US-Behörden von einer nicht-staatlichen kriminellen Organisation aus. Wir haben die Aussage entfernt und bitten, die Fehlinformation zu entschuldigen.