Cybersicherheit in Berlin: Basisarbeit statt Zauber-KI

»Ich mag KI, wenn es gut gemacht wird. So wie ich eben auch Autos mag, die funktionierende Bremsen haben«, sagt Manuel Atug am Montag im Berliner Innenausschuss. Zusammen mit anderen Fachleuten beschäftigt sich der IT-Experte in der AG Kritis mit kritischer Infrastruktur. Seit mehr als 20 Jahren ist er jetzt schon in der Cybersicherheit tätig.

Gehe es um Konzepte, mit denen man sich besser gegen Hackerangriffe schützen kann, sei schnell die Rede von Künstlicher Intelligenz, kurz KI. Doch zuerst soll das geschehen, was Atug »solide Cyberresilienz« nennt: regelmäßige Back-ups, aktuelle Software und Hardware, »die das leistet, was von ihr gefordert wird«. Nach wie vor werde in der Verwaltung mit überholten Systemen gearbeitet.

Generell, so Atug, werde der IT-Sicherheit nicht genügend Bedeutung zugemessen. »Wir haben 300 000 Polizist*innen in Deutschland. Jeder und jede davon kann Ihnen ein Knöllchen ausstellen«, führt er aus. »Aber weniger als ein Prozent ist in der Lage, eine Online-Strafanzeige entgegenzunehmen.« Zugleich spiele Medienkompetenz an den Schulen so gut wie keine Rolle.

Von der Berliner Landespolitik fordert Atug: »Machen Sie Cybersicherheit durch Basissicherheitsmaßnahmen.« Vor Kurzem erst seien in Deutschland 1,6 Milliarden Euro für KI-Forschung freigegeben worden, führt Atug aus. »Raten Sie mal, ob und wie viel Sicherheit damit erforscht wird.«

»Künstliche Intelligenz allein wird uns nicht retten«, stellt auch Sven Herpig fest, der ebenfalls zur Anhörung in den Ausschuss geladen wurde. Bei der Stiftung Neue Verantwortung leitet Herpig die Abteilung Cybersicherheitspolitik und Resilienz. Der IT-Spezialist gibt zu bedenken: Mit dem »Heilsbringer KI« kommen andere Probleme, die es zu kontrollieren gilt, und eine »ganz neue Angriffsoberfläche«, die verteidigt werden muss.

Muckefuck: morgens, ungefiltert, links

nd.Muckefuck ist unser Newsletter für Berlin am Morgen. Wir gehen wach durch die Stadt, sind vor Ort bei Entscheidungen zu Stadtpolitik – aber immer auch bei den Menschen, die diese betreffen. Muckefuck ist eine Kaffeelänge Berlin – ungefiltert und links. Jetzt anmelden und immer wissen, worum gestritten werden muss.

Schon jetzt werden in Deutschland pro Tag knapp 70 neue Schwachstellen in Software-Produkten entdeckt. Sogenannte Ransomware, also Schadprogramme, mit denen Betroffenen der Zugriff auf eigene Daten oder Daten von Kund*innen genommen wird, bildet dabei den größten Anteil. Wer einer solchen Attacke zum Opfer fällt, wird in der Regel um hohe Geldsummen erpresst. Auch in den Fällen des Naturkundemuseums und des KaDeWe kam Ransomware zum Einsatz.

Die Bedrohungslage, erklärt Herpig, sei im Moment so hoch wie nie zuvor. Zugleich fehle es an einem umfassenden Lagebericht, der die jüngsten Fälle in Berlin zusammenfasse und analysiere. »Ohne zu wissen, was wirklich passiert, kann man nicht zielführend agieren«, hält Herpig fest. Unternehmen müssten rechtlich dazu verpflichtet werden, Attacken zu melden – und auch sanktioniert werden, sollten sie es nicht tun. Statt bei der Polizei könnten die Daten dann an einem zentralen Verwaltungspunkt zusammenlaufen, etwa beim Cyber Defence Center der Landesverwaltung.

Nicht alles liegt dabei in den Händen der Landespolitik. Herpig plädiert für weiterreichende Befugnisse, bisher sei es auf höherer Ebene allerdings versäumt worden, eine »rechtliche Basisabsicherung für Kommunen« zu schaffen. Um der EU-Richtlinie gerecht zu werden, sei ein entsprechender Rechtsakt wahrscheinlich unumgänglich. »Oder kurzum: Berlin braucht zeitnah ein IT-Sicherheitsgesetz oder Ähnliches.«

Wie in so vielen Bereichen fehlt es aber auch beim Thema Cybersicherheit derzeit an Fachkräften. Etwa 100 000 zusätzliche Beschäftigte braucht es Herpig zufolge in Deutschland, um der Herausforderung gerecht zu werden. Betrugsversuche, sogenannte Scams, gebe es schon lange, nur fehle es an Personal, um die Fälle abzuarbeiten. »Berlin sollte die Aus- und Weiterbildung zur Priorität machen«, rät der Experte.

Zur Vorsicht mahnt derweil Caroline Krohn, IT-Sicherheitsexpertin bei der Arbeitsgemeinschaft Nachhaltige Digitalisierung: »Wir haben es hier nicht nur mit einer rein rechtlichen oder einer technischen Aufgabe zu tun. Es geht darum, welche Kultur der Digitalisierung wir umsetzen wollen.« Für Verwaltung und Wirtschaft biete die Digitalisierung große Chancen, die Rechte der Bürger*innen dürften dabei jedoch nicht aus den Augen verloren werden.

Derzeit, so Krohn, werde die Debatte um IT-Sicherheit vor allem mit Blick auf Unternehmen geführt. In Wirklichkeit seien häufig jedoch Einzelpersonen betroffen, die sich ihre Sicherheit nicht leisten könnten. »Es geht hier um eine Bedrohung für die persönliche Sicherheit, für die psychische und physische Sicherheit«, führt Krohn aus. Daten auf privaten Smartphones seien höchst sensibel, gehörten mit zu dem Persönlichsten, über das ein Mensch verfüge.

Bei der Gesetzgebung dürfe Berlin nicht nur die Bedrohung durch Hacker*innen im Ausland, etwa aus Russland, vor Augen haben. Der Senat müsse auch bedenken, ob sich neu eingeführte Schutzmaßnahmen negativ auf die Bürger*innen auswirken und ihnen schaden könnten. Als Stichworte nennt Krohn die umstrittene Vorratsdatenspeicherung oder die in anderen Bundesländern bereits eingeführte Polizei-Software des US-Unternehmens Palantir. »Digitale Rasterfahndung ist keinen Deut besser als die Rasterfahndung, die wir aus den 60er Jahren schon kennen«, hält die IT-Expertin fest. Das Land Berlin dürfe keine neuen Probleme aufmachen, zu deren Lösung es eigentlich beitragen wolle.

Werde Mitglied der nd.Genossenschaft!

Seit dem 1. Januar 2022 wird das »nd« als unabhängige linke Zeitung herausgeben, welche der Belegschaft und den Leser*innen gehört. Sei dabei und unterstütze als Genossenschaftsmitglied Medienvielfalt und sichtbare linke Positionen. Jetzt die Beitrittserklärung ausfüllen.
Mehr Infos auf www.dasnd.de/genossenschaft