Prosperität ist uns wichtiger als IT-Sicherheit
Veröffentlicht am 12.06.2020
Prof. Dr. Udo Helmbrecht war Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) und Direktor der Agentur der Europäischen Union für Cybersicherheit (ENISA). Heute lehrt er an der Universität der Bundeswehr München IT-Sicherheit, mit Fokus auf staatliche IT-Sicherheit und kritische Infrastrukturen. Ein Interview über staatliche IT-Sicherheit und mangelnde digitale Souveränität der EU gegenüber den USA und China.
Werden wir die digitale Souveränität in der EU hinbekommen?
Herr Prof. Dr. Helmbrecht, was ist nach so vielen Berufsjahren rund um IT-Sicherheit Ihre wichtigste Erkenntnis zu diesem großen Thema?
Awareness. Das Bewusstsein, wie man sich im Internet bewegt und worauf in der digitalen Welt zu achten ist. Im analogen Leben ist das für uns selbstverständlich, etwa im Straßenverkehr. Viel zu viele Menschen pflegen jedoch leider einen naiven Umgang mit digitalen Technologien. Das erkennt man schon daran, wie erfolgreich Phishing-Mails noch immer sind.
Kriminelle nutzen die neuen Technologien aus. Früher gab es Banküberfälle, heute gibt es das Hacking von Online-Banking-Accounts. Im Prinzip ist beides das Gleiche: Es wird Geld gestohlen, das auf der Bank liegt. Um beim Straßenverkehr zu bleiben: Wir haben ein Gefühl für Physik, etwa das Schleudern unseres Autos auf nassen Straßen – aber kein Gefühl für das Internet. Wir klicken hier und da und wundern uns, wenn etwas passiert.
Gilt das nur für Privatpersonen und User?
Nein, auch in der Industrie wird die Vernetzung von Maschinen-IT und Office-IT oft naiv durchgeführt. Ein trauriges Beispiel war der WannaCry-Virus: Der hat unter anderem Medizingeräte betroffen, die ursprünglich als Stand-alone-Systeme eben nicht für das Patchen gedacht waren – aber trotzdem vernetzt und über das Internet mit Schadsoftware infiziert wurden.
Wie ist generell die Haltung und Einstellung des Staats zur IT-Sicherheit?
Der Staat hat hier zwei unterschiedliche Interessen und Aufgaben, die sich in Teilen widersprechen: Zum einen soll er sichere Technologien und Vorgaben zur Verfügung stellen, etwa den BSI-Grundschutz oder die Datenschutz-Grundverordnung. Andererseits wollen die Sicherheitsbehörden möglichst alles über uns wissen.
Persönlich finde ich es erstaunlich, wie sich unsere Gesellschaft seit dem 11. September 2001 entwickelt hat. Die Möglichkeiten der Strafbehörden sind massiv ausgeweitet worden, zulasten der freiheitlichen Bürgerrechte. Die Frage ist doch: Welchen Preis zahlen wir für Sicherheit – und welchen Preis wollen wir zahlen? Es ist die klassische Abwägung zwischen Sicherheit und Freiheit.
Klar ist: Es gibt keine 100-prozentige Sicherheit, weder analog noch digital. Banken und Anbieter von Kreditkarten haben einen gewissen Prozentsatz an Schäden in die Gebühren eingepreist. Es bleibt eben ein Restrisiko, das jedoch meist verdrängt wird. Für den digitalen Bereich gilt: Viele Bürger sagen, der Staat ist verantwortlich dafür, uns zu schützen. Im analogen Bereich akzeptieren wir gewisse Risiken, in der virtuellen Welt wollen wir es aber noch sicherer haben.
Wenn viele Bürger also den Staat bei der IT-Sicherheit noch stärker in der Verantwortung sehen, müsste der Staat in IT-Fragen entsprechende Handlungsspielräume haben, also souverän sein, um möglichst unabhängig entscheiden und agieren zu können. Bekommen wir Ihrer Einschätzung nach die digitale Souveränität hin in der EU, vor allem gegenüber den USA und China?
Kurz gesagt: nein.
Wieso nicht?
2013 gab es einen Einschnitt durch die Snowden-Enthüllungen. Das Ausmaß hat uns alle erschreckt. Die damalige EU-Kommissarin Neelie Kroes fragte: Was können wir tun? Was heißt das für uns und den Binnenmarkt? Der EU-Abgeordnete Claude Moraes aus England hat einen kritischen und aufrüttelnden Untersuchungsbericht1 verfasst. Es gab eine Diskussion über eine europäische Cloud und europäisches E-Mail-Routing. Snowden war ein Weckruf – leider haben wir ihn verschlafen.
Ein ähnliches Beispiel war die Diskussion um die Fusion der Bahnsparten von Alstom und Siemens: Nach EU-Recht war die Fusion einfach nicht möglich. Unser Modell ist eine freiheitlich-liberale Ordnung, in der wir insbesondere Wettbewerb über alles stellen.
Das hatte und hat Folgen in der IT-Industrie: Manche Fähigkeiten und Märkte haben wir amerikanischen oder chinesischen Unternehmen überlassen: siehe Siemens und seine Mobilfunksparte. Wussten Sie, dass Telefunken in den 1960er-Jahren Großrechner gebaut hat? Allerdings waren die Rechner global auf Dauer nicht wettbewerbsfähig, und so wurde die Produktion eingestellt oder verlagert.
Frühere deutsche Staatsunternehmen wie die Deutsche Telekom sind mittlerweile – weitgehend – privatisiert und zumeist den Aktionären verpflichtet. Der Vorstand eines solchen börsennotierten Unternehmens wird wohl kaum aus Vaterlandsliebe deutsche Router einbauen. Zudem verfolgen insbesondere US-Firmen aggressiveres Marketing.
2019 hat US-Präsident Trump öffentlich darauf hingewiesen, es könnte sein, dass die Chinesen Spionage betreiben. Die Diskussion in Deutschland etwa um die 5G-Netze zeigt, wie schwierig die Gemengelage von Politik und Wirtschaftssystemverständnis ist und dass letztlich meistens wirtschaftliche Interessen den Ausschlag geben.
Sind wir in Europa mittlerweile einfach technologisch abgehängt gegenüber den USA oder China?
In der EU haben wir kluge Köpfe und auch die entsprechende Technologie. Bestes Beispiel war Nokia: Der ehemalige Weltmarktführer für Mobiltelefone hatte mit dem Start des iPhone den Anschluss an die Konkurrenz verloren und stieg in die Bedeutungslosigkeit ab. Was passierte danach? Huawei hat viele Nokia-Mitarbeiter wegen ihres Know-hows eingestellt. Das zeigt erstens die strategische Weitsicht von Huawei und zweitens, dass das Know-how in Europa vorhanden ist.
Warum arbeiten dann so viele kluge europäische Köpfe für Unternehmen aus China und den USA – mangelt es europäischen ITK-Unternehmen an Weitsicht?
Es gibt viele Statistiken, die zeigen: Die großen IT-Unternehmen aus den USA kaufen gezielt europäische Start-up-Technologieunternehmen. Deutsche Großunternehmen fragen sich: Lohnt sich ein Einstieg oder Kauf bei einem Start-up betriebswirtschaftlich? US-Investoren fragen sich vielmehr: Welche Köpfe und Technologien sind dort vorhanden, welche Services oder Produkte des Start-ups können wir integrieren oder zumindest vom Markt nehmen? Aus Vaterlandsliebe investiert kein deutscher Geldgeber. Solange unsere Wirtschaftspolitik so ist, wie sie ist, können wir lange lamentieren.
Und wenn Ordnungspolitik dann doch mal von der EU oder Deutschland angewendet wird, also staatlich eingegriffen wird? Dann gibt es eine Gegenreaktion aus China oder den USA, und wir reagieren dann sehr ängstlich.
Sie sprechen sich also für mehr Eingriffe und ein selbstbewusstes Auftreten des Staats aus?
Ich wünsche mir aus staatlicher Sicht mehr ordnungspolitisches Eingreifen, ja.
Als Staat gilt doch: Eine starke Exekutive braucht starkes Militär und starke Nachrichtendienste.
Das Berufsleben von Prof. Dr. Udo Helmbrecht begann bei einem Vorgänger des Flugzeug- und Rüstungskonzerns EADS, danach war er unter anderem CIO der Bayerischen Versorgungskammer. Seit Oktober 2019 lehrt er an der Universität der Bundeswehr München unter anderem IT-Sicherheit, speziell zu den Themen staatliche IT-Sicherheit und kritische Infrastrukturen. Im März 2020 hat er die Funktion des Technischen Direktors des Forschungsinstituts CODE übernommen.
Wir überleben nur als starker Staat mit starker Wirtschaft. Wenn es keine starken Sicherheitsorgane gibt, müssen wir als Folge Kompromisse eingehen. Die Frage ist doch: Wovon will und wird diese Gesellschaft leben? Zugegebenermaßen sehr zugespitzt: Wollen wir nur von Tourismus und Landwirtschaft leben?
Wir müssen uns ehrlich die Frage beantworten: Wollen wir im globalen Spiel Einfluss haben? Falls die Antwort „Ja“ lautet, dann müssen wir bei diesem Spiel der starken Staaten und Standorte mitmachen, sonst sind wir ausgeliefert.
Welche Hebel und Stellschrauben hat der Staat überhaupt in Deutschland, um seine technologische Souveränität zu stärken?
Beispielsweise gibt es für das BSI die Möglichkeit, einheimische bzw. europäische Angebote im hoheitlichen Bereich einzusetzen.
Der öffentliche Bereich ist ein großer Investor.
Für den Bereich des öffentlichen Sektors könnten die Beschaffungsregeln angepasst werden. Das zeigt auch das bereits erwähnte Beispiel 5G-Netze und Huawei: Private Unternehmen sehen das Thema aus ökonomischer, nicht aus sicherheitspolitischer Perspektive.
Wenn wir nicht den Mut haben, ordnungspolitische Maßnahmen zu ergreifen und wirtschaftliche Konflikte in Kauf zu nehmen, werden wir keine Souveränität bekommen. Wir erhalten sie jedenfalls nicht über die Marktwirtschaft.
Wie kann uns die EU hierbei helfen? Immerhin ist die EU ja – noch – der wichtigste Wirtschaftsraum der Welt.
Eine öffentliche ENISA-Risikoanalyse ergab: Die verschiedenen EU-Länder haben unterschiedliche Blickwinkel, das macht gesamteuropäische Lösungen leider schwierig – auch wenn sie dringend nötig wären. Ein kleiner Trost für uns ist: Wir in Deutschland verstehen die EU und die verschiedenen Interessen der Mitglieder besser, weil wir unser föderales System haben.
Wie sind wir als EU denn bei den neuen Zukunftstechnologien aufgestellt? Können wir dort in Zukunft wieder souveräner agieren?
Es gibt ja derzeit einige Hypethemen wie künstliche Intelligenz, Robotik und Quantencomputing. Leider sind wir auch hier spät dran. Nun gibt es immerhin einige Flaggschiffprojekte in der EU dazu. Viele Politiker sagen, dass wir jetzt in diese neuen Technologien investieren müssen, um dort an die Spitze zu kommen. Allerdings bin ich skeptisch, ob das gelingt. Denn: In der IT haben wir es eigentlich nicht geschafft, irgendwo Marktführer zu sein.
Wirklich nirgendwo?
Na ja, zwei Ausnahmen fallen mir ein. Zunächst einmal SAP. Und in der Kryptografie sind wir in Europa sicherlich gut. Das zeigt auch die sogenannte NIST-Challenge in den USA.
Die vergangenen 15 Jahre haben gezeigt: Die sogenannten GAFA-Unternehmen in den USA, also die IT-Konzerne Google, Apple, Facebook und Amazon, haben sich eine beherrschende Stellung auf dem IT-Markt aufgebaut, die Chinesen haben diese Unternehmen zum Teil erfolgreich nachgebaut mit Tencent, Baidu und Alibaba. Es geht also, aber offensichtlich nicht in Europa – und das liegt eben an unserem Wirtschafts-, Gesellschafts- und Systemverständnis.
Ähnliches gilt für Betriebssysteme, hier führen Android, MacOS und Windows. Das Open-Source-System Linux wurde einst in Europa entwickelt – was haben wir daraus gemacht?
Grundsätzlich gilt: Die meisten global erfolgreichen europäischen IT-Unternehmen bieten eher Nischenprodukte an. Aber die Frage lautet: Wo stehen sie in der Wertschöpfungskette? Die Erfahrung zeigt: Wenn man dort nicht vorn in der Kette steht, also nah am Endprodukt und an den Endkunden, ist es sehr fraglich, wie lange man noch mitspielt.
Es gibt ja das Bonmot: Die USA haben die Innovationen und das Geld, China hat die Daten und den Staat und die EU die Werte – aber reichen Werte zum Leben?
Werte sind hehre Ziele und wichtig, etwa beim Klimaschutz auf globaler Ebene. Aber die Realität ist doch erschreckend: Auf der Welt gibt es mehr diktatorische und autoritäre Staaten als Demokratien. Die ITU (International Telecommunication Union, eine Sonderorganisation der Vereinten Nationen und die einzige Organisation, die sich weltweit mit technischen Aspekten der Telekommunikation beschäftigt) hat einen chinesischen Chef – hier wird wohl nie wieder ein Europäer an die Spitze gewählt werden.
Das heißt?
Unsere Welt lebt von Kompromissen. Die Frage ist: Mit welchen Kompromissen können wir leben? Unsere derzeitige Position ist: Unternehmen, die für unser Wirtschaftswachstum sorgen sollen, sollen gleichzeitig IT-Sicherheit implementieren. Doch private Unternehmen werden selten aus Vaterlandsliebe nationale Produkte kaufen.
Dazu noch eine Randbemerkung aus eigener Erfahrung: Wie viele Chefs reden über die Wichtigkeit von IT-Sicherheit, erwarten das entsprechende Wissen aber vor allem von ihren Mitarbeitern – und wollen selbst das hippste Mobiltelefon mit allen möglichen Apps haben?
Spätestens seit Snowden ist klar: Es ist erschreckend, wie Geheimdienste agieren. Allerdings braucht man als souveräner starker Staat starke Geheimdienste, es braucht starke Befugnisse und starke einheimische Produkte.
Was heißt das alles für die staatliche Souveränität?
Staatliche Souveränität heißt auch: Es braucht einen global verantwortungsvoll agierenden Staat. Dafür braucht es Fähigkeiten, die im globalen Umfeld eingesetzt werden können. Staaten sind eben nicht nur lieb und nett zueinander. Es braucht Polizei, Militär, Inlands- und Auslandsgeheimdienste mit entsprechender Ausstattung. Wenn man all das nicht will, was ja als Ansicht in Ordnung und nachvollziehbar ist, dann muss man daraus auch die Konsequenzen ziehen.
Die schon angesprochene Diskussion um Huawei und die 5G-Technologie zeigt: Wirtschaftliche Prosperität ist uns wichtiger als IT-Sicherheit.
Zum Schluss noch ein aktueller Ausblick: Wie wird sich aus Ihrer Sicht die Corona-Pandemie auf die IT-Welt und die digitale Souveränität auswirken?
Auf der einen Seite ist die COVID-19-Pandemie natürlich ein schreckliches Ereignis, andererseits sehen wir auch, dass das Internet ein unverzichtbares Werkzeug ist, um unsere Gesellschaft virtuell zusammenzuhalten: Homeoffice, Videokonferenzen, kulturelle Veranstaltungen im Internet, Anleitungen zum Selbstbau von Schutzmasken im Internet und ähnliche Aktivitäten zeigen die positiven Seiten des Einsatzes neuer Technologien.
1 https://www.europarl.europa.eu/meetdocs/2014_2019/documents/libe/dv/
inquiry_publication-/inquiry_publication-en.pdf