Cybercrime und zivile Sicherheit: „Wir sind widerstandsfähiger als wir annehmen“
Am Bigs-Institut wird zu Themen der zivilen Sicherheit geforscht – von Cyberattacken bis zu dem Verhalten von Feuerwehrleuten. Ein Gespräch über Infrastruktur, Blackouts und Restrisiken.
Herr Stuchtey, das Land Brandenburg ist zum Jahresbeginn 2015 aus der Finanzierung des Brandenburgischen Instituts für Gesellschaft und Sicherheit – kurz Bigs – ausgestiegen. Wie geht es nun weiter?
Das Bigs ist mittlerweile so gut etabliert, dass wir eine Drittmittelbasis haben, die es uns erlaubt, das wegzustecken. Ohne einige Anpassungsschmerzen ging das allerdings nicht – natürlich ist es für uns schade, dass das Land ausgestiegen ist, aber es entlastet auch von einer Menge bürokratischem Aufwand.
Von der Uni Potsdam kommt kein Geld?
So ist es. Das war auch nie vorgesehen. Die Universität ist über eine Transfergesellschaft zwar Hauptgesellschafterin des Instituts, aber es fließen keine Mittel. Es war von Anfang an so geplant, dass die institutionelle Verbindung über die Universität kommt, die finanzielle über das Land. Von der Hochschule kommt vielmehr unsere Unabhängigkeit, der positive Druck zu wissenschaftlicher Solidität.
Ihr Geschäft ist die Sicherheit.
Wir haben uns etabliert im Bereich Ökonomie der Sicherheit – das Denken über das Thema Sicherheit aus einer wirtschaftswissenschaftlichen Perspektive heraus. Hier besetzen wir eine attraktive Nische, in der sich zumindest in Deutschland nicht viel tut. Wir wollen die Verbindung zwischen der Sicherheitswirtschaft einerseits und der öffentlichen Sicherheit andererseits untersuchen. Das machen wir in mehreren Projekten. Am bekanntesten davon ist sicherlich mittlerweile unsere jährliche „Vermessung der Sicherheitswirtschaft“ – so etwas wie ein Branchenbericht der Sicherheitswirtschaft. Das andere ist eine stärker inhaltliche Arbeit. Wenn es um Cybersicherheit geht, ist klar, dass mehr für den Schutz getan werden muss. Doch wenn es immer heißt, dass es zwar keine 100-prozentige Sicherheit geben kann, aber wenigstens eine besonders hohe Sicherheit erreicht werden müsste, dann würde ich dem aus ökonomischer Perspektive widersprechen.
Was meinen Sie?
Rational kann man überhaupt keine vollständige Sicherheit wollen, weil diese mit Schutzmaßnahmen verbunden ist, die viel Geld kosten. Eine Dönerbude beispielsweise muss sich nicht vor Cyberangriffen hochgerüsteter Nachrichtendienste schützen. Das kann sie finanziell nicht und sie muss es auch nicht.
Aber die Wasser- und Energiewirtschaft muss ihre Systeme schützen.
Die müssen sich nicht nur schützen, sondern sich auch fragen, ob sie kritische Bereiche tatsächlich an das allgemeine Internet hängen und digital steuern wollen. In einem Wasserwerk ist es vielleicht nicht verkehrt, ein ordentliches Ventil mit einem Rad dran zu behalten, mit dem man im Zweifelsfall von Hand Kreisläufe regeln kann. In jedem Fall bleibt bei allen Schutzmöglichkeiten im digitalen Bereich ein Restrisiko. Hier fragen wir uns, warum dieses nicht so einfach versicherbar ist wie das Einbruchrisiko.
Inwiefern?
Warum gibt es hier keine standardisierten Versicherungen und was hindert den Markt daran, dazu Lösungen anzubieten? Das ist ein großes, vom Bundesforschungsministerium gefördertes Forschungsprojekt, an dem wir derzeit mit einigen Partnern arbeiten. In einem anderen Projekt geht es um kulturelle Abhängigkeiten des Handelns von Sicherheitskräften wie Feuerwehrleuten.
Das müssen Sie genauer erklären.
Wir führen Untersuchungen mit freiwilligen und Berufsfeuerwehrleuten aus Berlin und Indien durch. Sehr vereinfacht gesagt gehen wir der Frage nach, ob sie in ihrem Handeln dadurch dominiert sind, dass sie Feuerwehrmann sind, oder dass sie Inder oder Deutscher sind. Die Frage ist, was die Art und Weise ihres Vorgehens prägt. Neben solchen klassischen Forschungsprojekten kommt noch etwas gewerbliche Forschung hinzu sowie Lehre und zahlreiche Veranstaltungen.
Das Bigs geriet vor einigen Jahren in die Kritik von Studierendenvertretern, weil Betriebe der Verteidigungswirtschaft zu ihren Gesellschaftern gehören. Es hieß, das Institut betreibe Militärforschung. Ihr Gegenargument?
Diese Unternehmen haben sich ja gerade am Bigs beteiligt, weil sie mehr über den Markt der zivilen und eben nicht der militärischen Sicherheit wissen wollen und hier einen öffentlichen Forschungs- und Analysebedarf gesehen haben. Es gibt sicherlich bessere Institute, die tiefergehendes Wissen über militärische Fragen haben. Wir machen zivile Sicherheit – was im Übrigen ein sehr viel stärker wachsender Markt ist als der militärische Bereich.
Ein Beispiel, bitte.
Die IT-Sicherheitswirtschaft und der Cyberschutz von kritischen Infrastrukturen sind ein Markt, der sicherlich deutlich stärker wächst als das Bruttoinlandsprodukt. Das kann man von dem Verteidigungsmarkt in Deutschland und Europa nicht gerade behaupten.
Müssen die Soldaten von morgen programmieren können?
Nicht unbedingt. Aber sie werden auch mit Instrumenten und Werkzeugen ausgestattet werden, die nicht fürs Militär entwickelt wurden, sondern aus einem zivilen Bereich kommen, aber dann für eine militärische Nutzung adaptiert werden. Das sind dann Dinge, die im Wesentlichen erst einmal für den zivilen Massenmarkt entwickelt werden, der wegen seiner Größe für IT-Unternehmen viel interessanter ist als der militärische. Außerdem ist er viel schnelllebiger.
Worum handelt es sich dabei beispielsweise?
Am plastischsten sind vielleicht die Handheld-Computer. Die heute viele zu Hause oder am Arbeitsplatz nutzen. Aber auch Soldaten bekommen sie in einer gehärteten Fassung, um noch im Einsatz aktualisierte Informationen und Kartenmaterial zugespielt zu bekommen.
Es heißt immer wieder, Deutschland sei für einen großen Cyberangriff nicht gewappnet – Politik und Gesellschaft würden bei solch einem Ereignis schnell zusammenbrechen. Teilen Sie diese Sorge?
In Bezug auf die Bedrohung Deutschlands durch Cyberangriffe mit Sicherheit. Aber den Defätismus, der aus solchen Warnungen spricht, teile ich nicht. Ich glaube, unsere Gesellschaft ist wesentlich widerstandsfähiger als wir das manchmal annehmen. Wir werden bei einem Strom-Blackout sicherlich nicht in wenigen Stunden übereinander herfallen. Das würde, ohne Ordnung und Hilfsperspektive, schon einige Tage dauern, bis die Zivilisation beginnt sich aufzulösen. Insgesamt darf man aber auch die Hilfsbereitschaft der Mitmenschen nicht unterschätzen.
Es müssten natürlich die Staatlichen Institutionen dazu richtig aufgestellt sein – und das sind sie bis dato doch nicht.
Wenn der Strom ausfällt, ist zuallererst die Frage, wie weitläufig der Stromausfall ist. Dann, ob Strom von befreundeten Staaten importiert werden kann. Der Strom muss auch nicht wegen eines mutwilligen Cyberangriffs ausfallen, Fehler bei der Energiewende können das gleiche Ergebnis bewirken. Für so ein Ereignis können wir ganz konventionell vorgehen, dafür gibt es dann zum Beispiel das Technische Hilfswerk, das zumindest bestimmte Bereiche mit Notstrom versorgen kann, Krankenhäuser und andere kritische Infrastrukturen haben ja auch selbst Notstromaggregate. Für solche Ereignisse sind wir vorbereitet. Auch eine Region wie Berlin-Potsdam dürfte eine gewisse Durchhaltefähigkeit haben, selbst wenn sie ein paar Tage ohne Strom ist. Aber das ist natürlich endlich. Und wenn keine Hilfe kommt, landen wir am Ende tatsächlich in einem wie auch immer gearteten Chaos.
Ist das Bigs auch in Brandenburger Sicherheitsfragen involviert?
Nicht besonders. Ich sage immer halbernst, das Massachusetts Institute of Technology – das berühmte MIT – arbeitet auch nicht für Massachusetts, sondern weltweit. Unsere Forschung ist nicht regionalspezifisch. Natürlich arbeiten wir aber auch mit Unternehmen und Institutionen aus der Region zusammen. Aber wir untersuchen nicht die Cybersicherheit der kritischen Infrastrukturen in Brandenburg.
Sie können aber auch nicht alles öffentlich sagen?
Es gibt einen Unterschied zwischen der öffentlich geförderten Forschung, die 80 Prozent unserer Arbeit ausmacht – dazu werden alle wesentlichen Ergebnisse publiziert. Wir können fast alles erzählen. Immer nur dann, wenn es sich um gewerbliche Auftragsforschung handelt, müssen wir den Wunsch des Auftraggebers respektieren. Bei gewerblicher Forschung gehört das Ergebnis dem Auftraggeber, der dann über die Veröffentlichung entscheidet.
Ein Teil Ihrer Antwort würde die Öffentlichkeit sicher verunsichern?
Nein, wohl kaum (lacht). Es heißt zwar gewerbliche Forschung, aber die meisten unserer Aufträge stammen von Ministerien. Also auch Analysen mit Steuergeldern, nur dass uns dabei das Thema der Studie vorgegeben wird und das Ergebnis beim jeweiligen Auftraggeber landet.
Das Gespräch führte Jan Kixmüller
Tim Stuchtey (47) hat in Wirtschafts- und Infrastrukturpolitik promoviert. Er ist geschäftsführender Direktor des Brandenburgischen Instituts für Gesellschaft und Sicherheit (Bigs).
Jan Kixmüller