Eine weltweite Welle von Cyber-Attacken hat Zehntausende Computer von Unternehmen, Behörden und Verbrauchern getroffen. In Deutschland erwischte es Rechner bei der Deutschen Bahn. (Foto: P. Götzelt/dpa)
Cyber-Attacken

Der Feind im Netz

Interview Eine weltweite Cyber-Attacke versetzt die Gesellschaft in Aufruhr. Ulrike Lechner ist Inhaberin des Lehrstuhls Wirtschaftsinformatik an der Universität der Bundeswehr München. Sie sagt: Wir unterschätzen Bedrohungen oft, wenn es um uns selbst geht.

Frau Professor Lechner, sind Sie selbst schon einmal Opfer von Cyber-Attacken geworden? Wir schützen Sie sich?

Ich war in der Tat schon einmal Opfer einer Cyber-Attacke – ich hatte auf einen Link geklickt und mir einen Virus eingefangen. Das klassische Beispiel für alltäglichen Leichtsinn mit der Folge, dass mein Rechner neu installiert werden musste. Heute sehe ich mir alle Links in Emails und Textnachrichten genau an, habe einen Virenscanner installiert, denke darüber nach, ob die WLAN Hotspots, zu denen ich mich verbinde, vertrauenswürdig sind, höre meinem Rechenzentrum der Universität der Bundeswehr zu und halte mich an die Sicherheitsrichtlinien der Universität.

Unterschätzen wir als Gesellschaft die Gefahren solcher Attacken?

Der Vorfall mit Ransomware am vergangenen Wochenende war ein Beispiel für eine neue Art von Schadsoftware. Ich gehe davon aus, dass das nicht die letzte Neuerung im Bereich der Cyberbedrohungen war. Wir sehen in unseren Umfragen, dass die Bedrohungslage für das eigene Unternehmen geringer eingeschätzt wird als für die eigene Branche. Die Bedrohungslage für die eigene Branche wird wiederum als geringer einschätzt als für Deutschland. Analoges gilt für die Fähigkeit, Cyberbedrohungen abzuwehren. Wir als Gesellschaft unterschätzen die Gefahren nicht – wir unterschätzen tendenziell diese Bedrohungen, wenn es um die eigene Organisation, das eigene Unternehmen oder uns selbst geht.

Was könnte eine großangelegte Cyberattacke mit unserem Alltag machen? Was mit unserem Staat?

Ich will hier nicht spekulieren. Die Ransomware, die am Wochenende aktiv war, konnte keinen großen Schaden anrichten. Deutschland ist mit dem BSI und dem IT-Sicherheitsgesetz gut aufgestellt und speziell in München und ganz Bayern gibt es ein IT-Sicherheitscluster und eine Vielzahl anderer IT-Sicherheitsaktivitäten. Ich finde es wichtiger, den Fokus in der Diskussion auf die notwendigen Schritte in Forschung und Technologieentwicklung zu lenken und die Menschen zu sensibilisieren.

Halten Sie es für eine realistische Gefahr, dass Cyberattacken die bevorstehenden Wahlen gefährden könnten?

Ich verfolge die aktuellen Diskussionen über Einflussnahmen auf Wahlen in den Medien. Die Situation in Deutschland ist sowohl was die Sicherheit von Daten, als auch die Zuverlässigkeit der Behörden in der Organisation von Wahlen und die Medienlandschaft betrifft, nicht mit den aktuell diskutierten Fällen zu vergleichen. Kurz: Ich sehe keine realistischen Cyberbedrohungen für die demokratische Durchführung der bevorstehenden Wahlen in Deutschland.

Wie sollte Politik mit der Bedrohung umgehen? Geschieht hier schon genug?

Das IT-Sicherheitsgesetz, das 2015 verabschiedet wurde und aktuell novelliert wird, wirkt: Wir haben in unserer Umfrage „Monitor IT-Sicherheit kritischer Infrastrukturen“ gesehen, dass die Mehrzahl der befragten IT-Sicherheitsverantwortlichen einen deutlichen Effekt des Gesetzes auf die IT-Sicherheit bejahen. Gleichzeitig werden die Anforderungen an kleine und mittlere Unternehmen von der Mehrheit der Befragten als realistisch eingeschätzt. Wir sehen in unseren Zahlen, dass die kritischen Infrastrukturen anderen Unternehmen in Bezug auf die IT-Sicherheit voraus sind – auch das ist ein positiver Effekt des IT-Sicherheitsgesetzes. Die Politik hat mit dem IT-Sicherheitsgesetz einen guten Rahmen geschaffen, investiert viel in Forschung und Entwicklung von Technologie und den Aufbau von Kompetenzen, Cyberbedrohungen abzuwehren und auch Cyberkriminelle dingfest zu machen. Die Politik tut viel und auch die richtigen Dinge für die IT-Sicherheit.

Wie sieht Deutschlands Rolle in der Welt aus, sind andere Länder uns im Schutz voraus?

Diese Frage pauschal zu beantworten, wäre Spekulation. In Deutschland werden Privatsphäre, Persönlichkeitsrechte und der Schutz der Daten sehr hoch gehalten – das finde ich wichtig und gut. Andere Länder haben hier andere Schwerpunkte. Ein zentrales Thema ist der Schutz der kritischen Infrastrukturen – also von allem, was für die Sicherheit der Gesellschaft wichtig ist. Die kritischen Infrastrukturen in Deutschland funktionieren zuverlässig und auf hohem Niveau, die Unternehmen investieren und der Schutz der Infrastrukturen wird laufend weiterentwickelt. Hier wird in Deutschland für die Sicherheit viel richtig gemacht.

Zum Heulen: Die Erpressungs-Software „Wanna Cry“

Die Erpressungs-Software „Wanna Cry“ hat sich seit dem Auftauchen am 13. und 14. Mai 2017 in rasender Geschwindigkeit auf Hunderttausenden Rechnern weltweit eingenistet und dort die Daten verschlüsselt – bei Unternehmen ebenso wie in Krankenhäusern oder bei Privatnutzern. Nur zufällig glückte eine Notabschaltung. Die Ziele der Angreifer sind bislang noch sehr unklar. In der Regel steht bei Erpressungsoftware (Ransomware) das finanzielle Interesse im Vordergrund. Auch mit „Wanna Cry“ wurden die Opfer aufgefordert, ein Lösegeld zu zahlen, um ihre verschlüsselten Daten wieder entschlüsseln zu lassen. (dpa)