Es fehlt ein internationales Regelwerk, das unser Leben in der digitalen Welt ordnet, sagt Wolfgang Ischinger, Chef der Münchner Sicherheitskonferenz und verurteilt die Ausspähaktionen der US-Geheimdienste in Deutschland. Auch der designierte Chef der Deutschen Telekom, Timotheus Höttges, mahnt gemeinsame Spielregeln an: "Wir sind verwundbar." Der Cyber Security Summit, den beide gemeinsam veranstalten, hat mit dem mutmaßlichen Lauschangriff auf Bundeskanzlerin Angela Merkel ein Thema mit Sprengkraft erhalten. Kurz vor der Konferenz am 11. November in Bonn trafen sich Höttges und Ischinger zum Gespräch über Bedrohungen im Internet.
Die Welt: Herr Ischinger, darf man Freunde ausspähen, so, wie es die USA offenbar mit dem Handy von Bundeskanzlerin Angela Merkel gemacht haben?
Wolfgang Ischinger: Eine gegenseitige Bespitzelung unter Nato- und auch EU-Partnern ist natürlich völlig inakzeptabel. Der Vertrauensschaden ist enorm.
Die Welt: Es hat den Anschein, als wäre in der digitalen Kommunikation der Wilde Westen ausgebrochen. Womit würden Sie die Sicherheit des Internets eher vergleichen: Kalkutta, Johannesburg oder Moskau?
Timotheus Höttges: Ich würde sie mit Johannesburg vergleichen. Das Internet ist bunt, vielfältig und bietet großartige Möglichkeiten. Aber es hat eben auch Schattenseiten. Man sollte es weder stoppen noch komplett unkontrolliert lassen. Diesem Wachstum muss man nur einen Rahmen geben.
Ischinger: Mir gefällt Johannesburg auch besser. Ich verbinde mit Moskau nicht das Gefühl, dass Freiheit vermittelt wird.
Die Welt: In Johannesburg sollte man vielerorts nachts nicht auf die Straße gehen.
Höttges: Man hat in vielen dieser Metropolen ein überbordendes Wachstum. Das Bild lässt sich gut auf das Internet übertragen. Auch dort wird an allen Ecken und Enden neu gebaut. Neue Geschäftsmodelle locken auch immer Kriminelle an. Was wir brauchen, ist nicht unbedingt eine harte Regulierung, sondern es gilt, vertrauliche und persönliche Daten zu schützen und Kriminalität zu bekämpfen.
Die Welt: Wie verwundbar sind wir denn?
Höttges: Wir sind verwundbar. 800.000 Angriffe messen wir derzeit pro Tag auf unsere Netze, das hat sich binnen Jahresfrist verdoppelt. Wir müssen davon ausgehen, dass die Bedrohung noch größer wird.
Die Welt: Ist es denn überhaupt möglich, bei der Abwehr noch Schritt zu halten?
Höttges: Wir sind in einem ständigen Wettrennen, und es wäre naiv zu glauben, dass es endgültig zu gewinnen ist. Es geht vielmehr darum, dass nichts außer Kontrolle gerät.
Die Welt: Worüber machen Sie sich mehr Sorgen: Über Angriffe nationalstaatlicher Akteure oder über Angriffe Krimineller?
Höttges: Wir wissen in vielen Fällen überhaupt nicht, woher die Angriffe kommen, weil sich der Ursprung im Internet verschleiern lässt. Der Großteil der Angriffe zielt eher auf eine öffentliche Wirkung als auf wirtschaftlichen Schaden ab. Gefährlicher sind gezielte, professionelle Attacken, die von Wirtschaftskriminalität bis Spionage und Sabotage reichen.
Ischinger: Der Bedarf, über diese Gefahren zu sprechen, ist auch international sehr groß. Das bemerken wir bei der Münchner Sicherheitskonferenz, wo wir früher fast nur über die nukleare Bedrohung geredet haben. Heute wird ein erheblicher Teil der Energie und Zeit den Cyberangriffen gewidmet. Da geht es nicht so sehr um Angriffe auf Unternehmen, sondern darum, wie Staaten den Cyberspace für offensive Angriffe nutzen und wie man sich davor schützen kann.
Die Welt: In den USA wird längst diskutiert, ab wann ein Angriff auf Computernetze als kriegerischer Akt zu werten ist. Wo stehen wir in Europa?
Ischinger: Diese Diskussion haben wir weder in Deutschland noch in Europa richtig geführt. Sie wird aber auf uns zukommen.
Höttges: Das ist aber auch nicht verwunderlich. Die Amerikaner haben die Katastrophe des 11. Septembers 2001 durchlitten, den Tag, an dem das Land angegriffen wurde. Danach haben sie sich in einer Verteidigungsposition aufgestellt und mit dem Patriot Act die rechtlichen Grundlagen auch für die Überwachung des Internets geschaffen. Einen Anschlag wie den von "9/11" hat es in Europa glücklicherweise bisher nicht gegeben. Uns fehlt daher noch eine Antwort auf die Frage, wie wir mit einer solchen Bedrohung umgehen.
Ischinger: Auch in den USA werden die Überwachungsprogramme inzwischen differenziert gesehen. Es gibt dort durchaus erhebliche Kräfte im Senat und Repräsentantenhaus, denen diese Entwicklung genauso viel Kopfzerbrechen macht wie einem vernünftigen deutschen Abgeordneten. Auch dort stellt man sich die Frage, ob nicht Kräfte freigesetzt wurden, die zu weit gehen.
Höttges: Der Unterschied resultiert sicherlich auch aus verschiedenen Rechtssystemen, die wiederum Auswirkungen auf die Geschäftsmodelle haben. In Deutschland ist die Privatsphäre im Grundgesetz verbrieft, Datenschutzrecht und Telekommunikationsgesetz schützen sie. Wir als Telekommunikationsunternehmen haben andere Regeln, wenn es um die Analyse von Kundendaten geht und das ist gut so. In den USA verdienen Internet-Unternehmen wie Google oder Facebook Milliarden dadurch, dass viele Daten gesammelt und ungefragt ausgewertet werden. Das ist nicht unser Geschäftsmodell. Was wir brauchen, ist eine Angleichung der Spielregeln, da wir sonst kontinuierlich in Konflikte laufen.
Die Welt: Wie könnte eine solche Angleichung denn aussehen?
Höttges: Es muss doch möglich sein, Datenschutzvereinbarungen zu treffen, die harmonisiert sind. In denen zum Beispiel geregelt ist, welche Informationen weitergegeben werden dürfen und welche nicht. Die Europäische Datenschutzverordnung ist dafür die richtige Basis. Dagegen ist fraglich, wie es mit dem Safe-Harbor-Abkommen weitergehen soll.
Die Welt: Das Abkommen ermöglicht es europäischen Unternehmen, personenbezogene Daten legal in die USA zu übermitteln, wenn dortige Unternehmen einen Datenschutz-Mindeststandard befolgen.
Höttges: Das Problem ist nur, dass die Regelungen nicht konsequent umgesetzt und Zuwiderhandlungen nicht sanktioniert werden.
Die Welt: Wozu dann ein solches Abkommen?
Höttges: Deswegen müssen wir Safe Harbor neu verhandeln. Es gibt Schwierigkeiten bei der Umsetzung und bedarf einer Weiterentwicklung.
Die Welt: Wie reagiert unsere Wirtschaft auf die Bedrohungen?
Höttges: Es gibt in vielen Unternehmen noch eine gewisse Sorglosigkeit beim Umgang mit Daten im Cyberspace. Der Handlungs-, aber auch Verständnisbedarf ist groß.
Die Welt: Ist die Telekom nicht als Betreiber der Netze in einer besonderen Verantwortung?
Höttges: Richtig, wir haben eine große Verantwortung. Dennoch sind wir nur ein Teil des Ganzen. Auch der Nutzer trägt immer ein Stück Eigenverantwortung. Es gibt keine hundertprozentige Sicherheit. Wir greifen schließlich auf internationale Infrastrukturen wie das Internet zurück. Hier stößt unsere Verantwortung an Grenzen, auch was die Sicherheit angeht. Um unserem Teil der Verantwortung gerecht zu werden, treiben wir wichtige Initiativen voran. Dazu zähle ich eine deutsche Cloud, in der wir Kundendaten nur auf Servern in Deutschland speichern, sicherere E-Mails wie De-Mail und E-Mail made in Germany und auch ein nationales Routing des Datenverkehrs, das wir gerade vorgeschlagen haben.
Die Welt: Kapitulieren Sie damit nicht vor der Unfähigkeit, hier internationale Regelungen zu finden, die belastbar sind? Soll nun jedes Land sein eigenes Internet machen und sich nationalstaatlich abschotten?
Ischinger: Solange es keine funktionierenden internationalen Regelwerke gibt, sehe ich diese Initiativen als den einzigen sinnvollen Ausweg. Ich vergleiche das mal mit der Anschnallpflicht beim Autofahren. Das löst zwar nicht alle Probleme, aber es ist ein wichtiger Schritt.
Höttges: Ist das nicht ein normales Phänomen in einer globalisierten Welt? Auch im grenzüberschreitenden Warenverkehr hat es Exzesse und Grenzübertritte gegeben, bevor es zu Regelungen gekommen ist. Das nationale Routing soll ja nur der Anfang sein. Wir wünschen uns eine Art Schengen für das Internet, in Anlehnung an den grenzüberschreitenden Personenverkehr ohne Passkontrollen.
Ischinger: Ich glaube, dass auch in den USA die Bereitschaft zunehmen wird, sich mit den europäischen Partnern zu unterhalten, was an Regelungen denkbar ist.
Die Welt: Wenn wir noch nicht einmal wissen, welche Überwachungsprogramme Großbritannien durchführt, stellt sich die Frage, ob Europa überhaupt mit einer Stimme spricht?
Ischinger: In welchem Feld der Politik spricht die Europäische Union von Beginn an mit einer Stimme? Natürlich ist das ein schwieriger Prozess. Aber eine Schnittmenge wird sich finden lassen. Wir werden im nächsten Jahr eine neue Kommission bekommen. Ich erwarte von unserer neuen Bundesregierung, dass sie sich dafür einsetzt, dass dort Schlagkraft entsteht, um diese Themen zu regeln. Wir brauchen in der Europäischen Kommission einen Digitalkommissar, damit die Zuständigkeiten klar sind.
Höttges: Wir können selber viel tun. Wir brauchen zum Beispiel ein Frühwarnsystem für Angriffe auf unsere Computernetze. Wir Unternehmen müssen in der Lage sein, kollektiv zu reagieren, wenn es beispielsweise neue Viren gibt.
Die Welt: Schöne Theorie. In Deutschland wehren sich die Unternehmen gegen eine Meldepflicht bei Cyberangriffen.
Höttges: Unternehmenschefs haben Angst vor der Doppelstrafe. Zum einen werden sie bestohlen, das ist die erste Strafe. Zum anderen werden sie anschließend öffentlich an den Pranger gestellt, was die zweite Strafe wäre. Ich glaube, dass die Meldepflicht ein Ruf nach der falschen Medizin ist. Wichtiger ist es, sicherzustellen, dass wir uns die Fähigkeit bewahren, unsere Produkte auch zu schützen. Jedes zehnte Unternehmen wird einmal pro Tag aus dem Cyberspace attackiert. Die Sensibilität dafür wächst, inzwischen ist Datensicherheit in den Unternehmen Chefsache. Das war vor wenigen Jahren noch ganz anders.
Die Welt: Welches Ergebnis erhoffen Sie sich vom Sicherheitsgipfel?
Ischinger: Erst einmal stelle ich fest, dass der Gipfel im unmittelbaren zeitlichen Zusammenhang mit der Bildung der neuen Bundesregierung stattfindet. Das nenne ich eine Punktlandung, mit der ich sehr glücklich bin. Die Wirtschaft kann hier artikulieren, welche Schritte sie national, europäisch und international auch im Umgang mit den USA für das Jahr 2014 in diesem Bereich von der Regierung erwartet. Deutschland hat in Europa eine starke Stimme und sollte sie einsetzen. Umgekehrt kann auch die Politik ihre Erwartungen an die Wirtschaft äußern, das gilt natürlich auch für die Meldepflicht.
Die Welt: Wird sich der Cyber Security Summit mit dem Verdacht beschäftigen, dass die USA das Handy von Bundeskanzlerin Angela Merkel abgehört haben?
Ischinger: Leider gibt es bisher kein bindendes internationales Regelwerk, nicht einmal einen digitalen Code of Conduct. Dies wäre sicher ein richtiger und notwendiger Schritt. Sonst bleibt eine sichere digitale Umwelt, basierend auf Vertrauen und Transparenz, eine Illusion. Die Vorstellungen von Chancen und Gefahren im Cyberraum sind international sehr unterschiedlich, auch weil das Verhältnis zwischen Freiheit und Sicherheit sehr unterschiedlich bewertet wird. Der Cyberspace und Cybersicherheit ist so zu einer ganz wichtigen neuen sicherheitspolitischen Herausforderung geworden. Auf dem Cyber Security Summit werden wir versuchen, einen Schritt in Richtung Problemlösung zu gehen. Wir möchten die Debatte um ein internationales Regelwerk anregen und bereichern, indem wir diese Fragen in Bonn mit Politikern, Unternehmensführern und IT-Spezialisten diskutieren.