Sandro Wefel forscht an der Martin-Luther-Universität Halle-Wittenberg. Am Institut für Informatik beschäftigt er sich schwerpunktmäßig mit Fragen von Cybersicherheit und Cyberabwehr. Wir haben ihn zur aktuellen Situation in der Ukraine, aber auch in Deutschland gefragt, wo es im Landkreis Anhalt-Bitterfeld 2021 den ersten Cyber-Katastrophenfall in Deutschland gegeben hat.

Inhalte der Sendung: Transkript

(Wir lassen die Sendung über das Tool Wit.ai transkribieren – leider nicht komplett fehlerfrei, aber für euch vielleicht doch interessant zu lesen.)

[0:06] Herr Wefel, vielen Dank, dass Sie so kurzfristig mit uns sprechen konnten. Gerne.
Sie forschen ja zu verschiedenen Themen. Unter anderem sind da auch ähm Abwehr, Datensicherheit, et cetera mit drinne und wir erleben ja jetzt gerade in der Ukraine den ersten Cyberkrieg der Welt. Kann man das so sagen?
Ja mit dem Begriff tue ich mich ein wenig schwer, weil Cyberkrieg ähm ist.
Schwer definierbar, da es ja im Gegensatz zu einem normalen Krieg äh keine direkten Fronten gibt, keinen Startzeitpunkt, kein Endzeitpunkt und es relativ schwer ist, äh.
Ein ein
Punkt zu bestimmen, an dem man sagen würde, okay, das ist jetzt eine Kriegshandlung oder nicht. Deswegen ähm würde ich das nicht als Cyberkrieg Beginn eines Cyberkriegs ähm
bezeichnen wollen, sondern eher das ist sozusagen eine eine Erweiterung der bisherigen ähm.
Angriffe, die es bereits im Netz gab, vielleicht etwas intensivierter, aber,
Eigentlich waren wir auch schon davor in einer Art Cyberkrieg, der jetzt aber vermutlich erst mal sichtbarer wird.

[1:22] Unabhängig von der aktuellen Situation in der Ukraine gibt es ja auch schon seit mehreren Jahren.
Durchaus Sicherheitsprobleme, auch in Deutschland seit es der äh Hack auf den Bundestag, sei das im letzten Jahr 2tausend1undzwanzig ähm der Sicherheitsvorfall im Landkreis Analt Bitterfeld. Wie gut geschützt sind eigentlich.

[1:41] Deutsche Server ist die deutsche Infrastruktur.

[1:44] Die deutsche Infrastruktur, die ähm Sicherheitsinfrastruktur ist jetzt nicht unbedingt.

[1:53] Ganz schlecht oder total löchrig, also möchte ich es nicht darstellen. Was wo ich das Problem sehe, ist, dass wir
Deutschland tatsächlich einen Mangel an Fachkräften und Spezialisten auf diesem Gebiet haben, die
vor Ort in den Einrichtungen tätig sind oder äh im Notfall zur Verfügung stehen für Rückfragen zur Verfügung stehen. Es reicht eben nicht aus, wenn dort äh
ich sage jetzt mal einer kleinen Firma oder in einer Einrichtung äh jemand, der eigentlich eine ganz andere Tätigkeit
innehat, nebenbei sich noch um die Computersysteme und Cybersicherheit kümmern uns voll äh und eigentlich was ganz anderes machen muss, das
geht nicht mehr. Auch die Administratoren, die man vielleicht in Firmen heutzutage hat, sind häufig überlastet mit dem Tagesgeschäft.
Können sich nicht um Cybersicherheit äh um die Fragen kümmern und also.

[2:48] Klar kann man sich da drum kümmern, aber sie haben meistens keine Zeit dafür, beziehungsweise sind nicht hinreichend geschult. Es fehlt einfach an Fachkräften und an Experten und der Markt dahingehend ist auch ja,
relativ
klein Leuten beziehungsweise äh an Leuten, die noch zur Verfügung stehen und noch freie Kapazitäten haben und das ist allerdings ein
hausgemachtes Problem, das in Deutschland lange Zeit. Dieser.

[3:18] Dieser Schwerpunkt vernachlässigt wurde, weil das ist ja auch ein Teil der Digitalisierung, die damit einhergeht. Das hat man nicht wirklich im Blickfeld gehabt und so auch bei Ausbildung, Weiterbildung bisher keinen besonderen.
Großen Wert darauf gelegt, also Schulen
Hochschulen et cetera auf diesem Gebiet zu stärken, um auch Fachkräfte vor Ort heranzuziehen und es ist illusorisch zu glauben, dass Fachkräfte aus einem anderen Land IT-Sicherheitsfachkräfte hier im großen Stils nach Deutschland kommen.
Und uns dabei zu helfen, dass in anderen Ländern durchaus ähm ja auch finanziell attraktiver ist, sodass wir hier tatsächlich aufgrund eines Fachkräftemangels und auch eines
Vernetzungsmangels eines.
Mangelt’s an Kommunikation der Einrichtungen untereinander, mit den jeweiligen Sicherheitseinrichtungen, tatsächlich Defizite haben. Die haben zwar auch andere Länder, aber es wird jetzt langsam.
Sichtbarer,
daraus entstehenden Probleme und das ist sie nicht erst seit dem Ukraine-Krieg, sondern das gab es ja schon vorher. Sie haben ja das Beispiel auch genannt, Landkreis. Bitterfeld, Anhalt Bitterfeld, der Angriff da drauf und die Folgeschäden, dass dort eben darauf hin, dass man
keinen Notfallpläne, keine hinreichende Notfallpläne vorher hatte und auch das Personal nicht sofort in der Lage war, dort äh einzugreifen.

[4:38] Sie haben ja gesagt, dass es momentan ein Problem gibt in Deutschland mit qualifizierten Fachkräften in dem Bereich. Aber es gibt ja.
Forschungsverbünde wie den Sachsen-Anhalt, mit dem sie ja selbst auch beteiligt sind. Es gibt die Cyber-Agentur des
Bundes selbst der Bundesnachrichtendienst und die Bundeswehr haben eigene Abteilungen oder Kommandos gegründet die sich mit Sicherheit also der
Deutschlands in verschiedenster digitaler Form auseinandersetzen und ähm.
Sitzen da dann einfach nur Bürokraten, die keine Ahnung von der Technik haben oder wo ist das eigentliche Problem bei uns, wenn sie sagen, dass wir halt momentan zu wenige.
Leute haben, die Ahnung haben vom Thema. Ja, das äh Problem liegt darin, dass ähm.
Cybersicherheit im Gegensatz zu
Ich sage jetzt mal, ein ätherischer Grenzverteidigung eben nicht an einer Außengrenze des Landesfest zu machen, ist nicht mal einer Grenze eines Bereiches, sondern Cybersicherheit findet im Innere statt, in den Einrichtungen.
Sozusagen in den Köpfen des dort arbeitenden Personals und es ist ähm,
quasi kaum möglich von zentraler Stelle eine Abwehr gegen Cyberangriffe zu organisieren, egal was man sich da jetzt ausdenkt.

[5:55] Oder ähnliche Strategien, mit denen man versuchen könnte, Angreifer auszuschalten. Das sind eher so na ja.
Maßnahmen, die man dann, über die man vielleicht mal reden kann, aber die nicht in aus meiner Sicht nicht wirklich effizient sind, um ähm.
Sicherheit zu leben. Das muss schon vorher anfangen. Das heißt, die Experten, die.
Es hilft nichts, wenn ausgewählte Experten an bestimmten Einrichtungen sitzen und gute Ratschläge geben. Die müssen vor Ort
in den Firmen, in den Kommunen, in den kommunalen Einrichtungen, also überall dort, wo IT-Systeme äh überhaupt
zur Arbeitsfähigkeit, das ist der der äh Einrichtung dazugehören. Dort müssen diese Experten vor Ort sein, nicht an zentraler Stelle. Da hilft es uns leider derzeit wenig und ähm das ist auch
die Denkweise, die wir erstmal ändern müssen. Also wir können keinen Burggraben um Deutschland oder um äh eine Firma herumbauen und äh.

[6:56] Denken, wir sind dann auf der sicheren Seite, sondern die Sicherheit, die muss auch von innen herauskommen. Die Leute müssen auch in gewisser Weise, na ja
Ganzheitlich an daran denken, der Rechner als solches ist vielleicht jetzt hinter einer Firewall und man denkt es, man ist geschützt vor Angriffen, weil da gibt’s ja eine Firewall, aber meistens ist das ja gar nicht so, sondern der Angriff, der kommt vielleicht vom Nachbarrechner, der hinter der
gleichen Feiervorsitz, also sozusagen gar nicht voneinander getrennt ist, nur weil er zufälligerweise jemand Stich.
Oder Ähnliches. Vielleicht ein Chart-Programm mit in äh.
Jeweilige Einrichtung hereingetragen hat. Und da hilft dann auch nicht der Cyber äh Sicherheitsexperte in irgendeinem
Bundesamt oder vielleicht, andere denken ja momentan an dem Einsatz des Militärs.
Die sind dann alle an der falschen Stelle, sondern der Schaden passiert dann innerhalb meiner Einrichtung. Und da muss eine Person sitzen, die dann auch sagt, okay, wir haben hier gerade einen Vorfall, äh lasst uns den mal analysieren, ähm
Fehler eingrenzen und den Schaden äh ja beheben, falsch schon weiter entstanden ist.
Könnte man also sagen, in Analogie auf die reale Welt. Mir bringt die Polizei nach einem Einbruch auch nur noch verhältnismäßig viel. Ich brauche vor allem die Sicherheitsexperten, die mir vor einem Einbruch in mein Haus beispielsweise Empfehlungen aussprechen wie
Bau ein Zaun, kauf den Wachhund oder vergleichbares.

[8:19] Richtig. Also zum einen man braucht die davor agierende, also dass man Maßnahmen ergreift.
Erst einmal Schäden möglichst zu verhindern, aber es gibt auch keinen absoluten Schutz. Soll
Dass man dann denken muss, wenn ein Schaden auftritt, wie kann ich dann schnell wieder äh ja arbeitsfähig werden. Also wenn ich zum Beispiel von den IT-Systemen abhänge und die fallen jetzt grade mal aus aufgrund eines Handgriffs, wie kann ich dann zum Beispiel
Aus Backup-Maßnahmen, aus äh Reservesystemen, die man zur Verfügung stehen, dass ich vielleicht redundante Strukturen baue, wie kann ich dann auf.
Ja am besten auf Knopfdruck gleich wieder arbeitsfähig sein und dann im Nachgang mal angucken, was ist dann passiert, wie sind denn die da eigentlich eingedrungen in mein System? Wo kam denn der Schaden her? Aber das dann nicht gleich die gesamte Produktion steht und noch schlimmer wäre es, wenn das natürlich
irgendwo im Kritikssektor, also in kritischen Infrastrukturen, in Versorgungsinfrastrukturen passieren würde. Ähm das hätte dann gleich nicht nur ähm Auswirkungen auf die Einrichtung, sondern dann gleich eben auch die jeweilige versorgte,
Umgebung.

[9:24] Was kann ich jetzt aber nun als einzelner unternehmen, wenn ich ein kleiner Mittelständler bin, ähm kleine Kommunalverwaltung und selbst gar keine Ahnung von der Technologie habe, an wen kann ich mich da vielleicht wenden? Gibt’s da irgendwelche Ansprechpartner, die beim Aufbau von solchen Strukturen helfen können?

[9:40] Genau, hier haben wir auch noch ein kleines Defizit. Zum einen ähm müssen wir erst einmal ähm.
Überlegen, wie wir denn in Zukunft ähm Firmen oder Einrichtungen, die eben sich nicht äh selber ein derartiges Personal leisten können, wie wir denen aktive Unterstützung zukommen.
Lassen können. Da war der, den wir ja gegründet haben, ähm ein Versuch in der Richtung, etwas zu bewegen, aber es ist natürlich auch eine gewisse Hürde da, wenn jetzt eine
kleines mittelständisches Unternehmen ein Tagesgeschäft gar nicht groß die Zeit hat, sich um IT-Sicherheit zu kümmern, dass die sich dann überhaupt erstmal ähm.
Mit uns in Kontakt setzen, um möglicherweise von uns eine Beratung zu erhalten. Das Angebot war aber auch diese Zeit äh können sich äh viele Firmen eben, hatten sie viele Firmen ja nicht vorstellen können, weil eben Sicherheit äh.

[10:32] Etwas ist, was wenn sie funktioniert, man sie nicht bemerkt, man bemerkt sie erst, wenn sie
nicht funktioniert. Also wenn die Sicherheitsinfrastruktur versagt hat. Das heißt also auch wenn irgendwo an Zeit und Geld gespart werden kann dann spart man gerne mal an Sicherheit, weil ja wenn da nichts passiert ist, hat man tatsächlich noch Geld gespart wie bei einer Versicherung, auch wenn was passiert, wäre es gut gewesen, hätte das Geld
vorher ausgegeben. Das heißt, man muss erst einmal sich überlegen, wie viel Ressourcen man dafür bereitstellen kann und damit meine ich jetzt nicht nur
finanzielle Ressourcen, sondern auch zeitliche Ressourcen. Das heißt also auch in Firmen müssen Leute, die dort die IT-Struktur pflegen, gewisse Zeit äh investieren, um sich selbst erstmal zu bilden in der Richtung,
die Weiterbildungsmaßnahmen haben unter anderem eben wir und dem Verbund ähm.
Gibt’s aber auch an anderer Stelle. Es gibt private Einrichtungen, die da Weiterbildungen tätigen und es gibt auch.
Firmen in der Region, die in gewisser Weise Sicherheitsdienstleistungen äh verkaufen, an die man sich wenden kann, die dann auch beratend zur Seite stehen.
Ich möchte an der Stelle aber auch gleich darauf hinweisen, es gibt nicht die Sicherheitslösung, die man sich einmal einkauft.

[11:41] Und man dann abgesichert ist, obwohl das viele Produkte ähm.
Hersteller suggerieren. Das ist aber eine Marketingmaßnahme, wenn dort ein Produkt heißt halt
360 Grad Sicherheit und man ist gegen alles geschützt. Ähm das ist ein Verkaufsargument. Das ist aber keineswegs so, dass es dann in der Praxis man tatsächlich schon längeren Zeitraum
gegen alle Angriffe geschützt ist, sondern hier braucht man regelmäßige Updates und
insbesondere auch eine Ausbildung der Personen, die diese Systeme einsetzen und das kostet Zeit und ich weiß, dass es gerade in den kleinen Einrichtungen besonders kritisch ist, ähm diese Zeit zu erübrigen, auch wenn man die sich nicht nimmt und man.
Ausfälle in der IT-Struktur hat, muss man tatsächlich die Kosten dagegen rechnen, wie es denn dann mit sich bringen würde,
man jetzt ja mal ein paar Tage oder gar Monate nicht mehr auf die Daten zugreifen kann oder gar historische Daten verloren hat, weil man eben keine.
Backups oder Ähnliches hat, auf die man zurückgreifen kann. Das heißt, das ist jetzt erstmal so ein.

[12:49] Punkt, den muss ich jede Firma selber überlegen, wie viel Zeit man da investieren kann und dann können sie zum Beispiel auf uns den Cybersec-Verbund oder auf andere ähm private Anbieter hier in der Region ähm.
Drauf zugehen und wir unterbreiten dann gerne entsprechende Angebote. Also das gibt es. Haus kostet Zeit.
Im Kontext für ganzen Sicherheitsdebatten wird auch immer wieder davon gesprochen, dass Deutschland ein Cyber-Hilfswerk bräuchte. Was ist das eigentlich? Was halten Sie davon?
Begriff als solches kann ich auch schwer einordnen. Ich habe das auch schon gehört, aber es ist gewisserweise gedacht, dass wir auch eine ähm.
Eine sehr Einrichtungen aufbauen, äh die ähm beratend ähm zur Verfügung stehen, auch unterstützend äh im Sinne, dass man auch vor Ort dort etwas tun. Ähm.

[13:37] Würde und dass dieses quasi von zentraler Stelle aus finanziert wird, also eine Struktur, die dann schon äh ja.
Auf Abruf äh bereitsteht und äh
für Cybersicherheitsmaßnahmen unterstützend wird. Die muss natürlich dann aber erst einmal geschaffen werden. Da ist auch wieder die Frage, woher nimmt man die Immobilie? Welche Leute sollen da arbeiten und was ist und wie werden diese
Das ist noch gar nicht geklärt. Also
Es wäre sicherlich eine interessante Sache dadrüber nachzudenken, aber ähm es sollte auch nicht so etwas sein, dass einen dann wieder eine ja ein großer Hersteller äh da einfach nur über so etwas ja wie ein Cyber Hilfswerk seine Produkte versucht an.
Äh zu verkaufen, sondern das musst du dann tatsächlich auch unabhängig sein, herstellerübergreifend und äh neutral ähm
beratend und aber auch eben nicht nur beraten, sondern darüber hinaus im Notfall so als Emergency Response Team, Inzidenz Points Team äh zur Verfügung stehen, um dann auch äh tatsächlich äh.

[14:40] Ja bei akuten Vorfällen äh Hilfe leisten zu können.
Wir merken also, in Deutschland ist noch einiges zu tun, aber wenn wir’s nicht gemeinsam starten, dann wird es niemals entwickeln. Insofern ähm Herr Doktor Wefel, vielen vielen Dank für das Gespräch. Das war Sandro Befehl vom Institut für Informatik, der Martin Luther Universität Halle.
Gerne.

Moderatoren & Gäste

An dieser Episode haben in zunehmender Follower-Zahl mitgewirkt:

• Moderation und Musik: Christian Allner (Tools und Tipps für New Work)
• Interviewgast: Dr. Sandro Wefel (Uni Halle)

Quellen & Links

• siehe Link zu SocialMediaStatistik

Gespielte Musik in der Radioversion

• siehe Spotify-Playlist

Erwähnte Folgen

Hören & Download

• Abonniert uns über RSS, bei Apple Podcasts, Spotify, Google Podcasts oder einem Podcatcher eures Vertrauens!
• Unterstützt uns und bringt euch in die Sendung ein!
• Sorgt für spannendere Themen und schreibt euer Feedback!
• Oder sprecht euer Feedback auf unsere Voicemail!

Der Beitrag Interview mit Sandro Wefel zur Cybersicherheit | Podcast erschien zuerst auf #Onlinegeister.