Wie anfällig sind die europäischen Institutionen für Cyber-Sabotage - und was wären die Folgen eines solchen Angriffs? Dieser Frage ist der SWP-Wissenschaftler Raphael Bossong nachgegangen, gemeinsam mit seinen Kollegen Matthias Schulze und Marcel Dickow.
SZ: Herr Bossong, Sie befördern uns ins Jahr 2023. Nach einem riesigen Hacker-Angriff auf europäische Datenbanken sind 110 Millionen Datensätze gestohlen, Millionen Bürger betroffen. Was ist neu am Szenario - die Dimension oder dass die Hacker auch Daten manipulieren?
Bossong: Beides. Bis 2023 ist eine große EU-Reform zur Zusammenlegung von Datenbanken durchgeführt worden. Diese wachsen schnell, und mit vielen Schnittstellen wächst die Verwundbarkeit. Manipulation ist besonders sensibel, wenn es wie beim Schengen-Informationssystem auch um polizeiliche Fahndungsgesuche geht. Es geht es nicht nur einfachen Betrug mit finanziellen Interessen, sondern um schwerwiegende Angriffe auf die innere Sicherheit. Unbescholtene könnten in Fahndungsmaßnahmen geraten.
Haben Hacker schon mal Daten in Polizeicomputern manipuliert?
Nein, das lässt sich nicht aus öffentlichen Informationen nachvollziehen. Aber es gibt Hinweise, dass Hacker zeitweise Zugriff auf Daten des Schengen-Informationssystems hatten. Dass das organisierte Verbrechen Interesse daran hat, solche Daten einzusehen, ist bekannt. Hat man einmal Zugang, ist der Unterschied von Klauen und Manipulieren nicht mehr so groß.
Sie nennen den Aufbau des Systems als einen Faktor, der einen Angriff ermöglicht, aber auch menschliches Verhalten - etwa eine Person, die sich bestechen lässt.
Das Schengen-System ist alt, es wurde zwar modernisiert, ist aber dezentral aufgebaut. Im Kern geht es darum, dass immer mehr Datenspeicher verbunden, also zentralisiert werden. Das ist für die Behörden sinnvoll. Aber je einfacher man als Behörde man von einer in die andere Datenbank gelangt, desto einfacher ist das auch für Angreifer. Die Agentur EU-Lisa, welche die europäischen Sicherheitsdatenbanken verwaltet, stellt neue Leute ein und macht zwar Sicherheitschecks. Aber wenn eine interessierte Macht es will, ist nicht undenkbar, dass jemand von innen an die Daten kommt. Der menschliche Faktor spielt bei fast allen Cyber-Vorfällen eine Rolle.
Es bleibt ein Widerspruch: Behörden kämpfen mit dem Austausch von Daten, aber wenn alles in einem Topf landet, steigt das Risiko. Ein spannender Begriff Ihrer Arbeit ist "Datensparsamkeit" als Schutz vor Verwundbarkeit . Ist das praktikabel, ohne den Informationsfluss zu behindern?
Wir skizzieren ein Worst-Case-Szenario. Es ist nicht so, dass die Behörden alles in einen Topf werfen wollen. Die EU will Single-Search-Portale schaffen: Man gibt einen Suchbegriff ein und fragt parallel mehrere Datenbanken ab, die weitgehend getrennt bleiben. Es gibt weitere technische Ansätze um das Datenaufkommen zu verringern. Momentan dreht sich die Diskussion aber vor allem darum, Barrieren einzureißen. Risiken von Zusammenführung und erleichterter Datenabfrage sollten in Ruhe abgewogen werden. Nicht nur im Sinn von klassischem Datenschutz, sondern mit Blick auf Informations- und Cybersicherheit. Aber in der politischen Diskussion ist das Thema nicht sehr prominent.
Die Politik ist sich nicht hinreichend bewusst, wie verletzbar Staat und Gesellschaft durch Cyber-Attacken sind?
Es gab Vorfälle wie die gehackten Bundestags-Computer. Aber der Bewusstseinswandel geht nicht schnell genug. Dass man den ganzen öffentlichen IT-Bereich noch mal unter dem Sicherheitsaspekt betrachten sollte, ist auf politischer Ebene nicht wirklich angekommen.
Liegt das auch daran, dass oft nicht klar ist, wo die Täter zu suchen sind? Ob der Angriff Werk von Geheimdiensten, Hobby-Hackern oder Kriminellen ist?
Wenn etwas passiert ist, hat man Schwierigkeiten festzustellen, wer war es und warum. Das Zuordnungsproblem ist gewichtig und macht politisches Krisenmanagement sehr schwierig. Uns ist bekannt, dass einige Staaten sich direkt oder indirekt mit Hackern zusammentun. So wird Nordkorea wird bezichtigt, staatlich gesponserte Cyber-Kriminalität zu unternehmen, um an Geld zu kommen. Bei Russland geht esmutmaßlich um höherrangige politische Interessen, aber auch hier gibt eine mögliche Überlagerung krimineller und politischer Motive bei Cybervorfällen. Wir haben uns daran gewöhnt, dass wir als Individuen auf allen Ebenen im Cyberraum angegriffen werden können, mit Falschinformation, Betrug. Noch nicht richtig eingestellt sind wir darauf, wie weit großflächige Cyberangriffe zentrale staatliche und gesellschaftliche Strukturen betreffen könnten. Unser Szenario einer Unterwanderung von Datenbanken von Polizei und Grenzschutz würde Millionen Bürger betreffen. Bisher wurde in Deutschland und Europa kein wirklich schlagkräftiges Krisenmanagement für große Cyberangriffe aufgebaut. Da braucht es mehr aktive politische Führung.
Man bräuchte ein Cyber-Ministerium?
Das ist vorstellbar. Oder man müsste die Sicherheit der öffentlichen Daten und Infrastrukturen als zentrale politische Verantwortlichkeit des der Innenminister sehen .
Wir sehen, dass etwa Russland mit der Fake-News-Maschinerie versucht, unsere Systeme zu destabilisieren. Ist das der Krieg der Zukunft, auf den wir uns einstellen müssen?
Sollte es zu einem schärferen Konflikt zwischen Großmächten kommen, muss man sich darauf einstellen, dass Desinformation und Destabilisierung ihren zentralen Schauplatz im Cyberspace haben. Unser Szenario ist eine denkbare, neue Evolutionsstufe von Desinformation. Auch wenn wir nur die Weiterentwicklung der Cyberkriminalität ansehen, argumentieren wir dafür, Angriffsflächen zunehmend vernetzter IT-Systemen mitzudenken.
