© DBT/ Frier

Was genau wollen wir schützen?

Zunächst, sagte einer der eingeladenen Experten, müsse klar sein, was der Schutzgegenstand ist. Die Sicherheit des Internets, die Sicherheit im Internet – diese Dimensionen müssten von einer Gesamtstrategie abgedeckt werden. Die Fachleute – Dirk Heckmann, Andreas Könen, Jochen H. Schiller, Sandro Gaycken, Thorsten Schröder und Mirko Manske – waren sich allerdings einig, dass es in der Bevölkerung nur ein sehr gering ausgeprägtes Sicherheitsbewusstsein gebe. Das zeige sich am Verhalten von Privatpersonen ebenso wie in unsicheren IT-Systemen von Unternehmen. Hier seien in der Vergangenheit vornehmlich schnelle und kostengünstige IT-Lösungen gefragt gewesen. Es gehe am Ende immer um ein Abwägen von Sicherheit, Kosten und Komfortverlust.

Kriminalität mit und ohne Internet

Viele Fälle von Kriminalität stellen keine originäre Internetproblematik dar, erläuterten mehrere Experten. So sei früher auf "klassische Weise" Schutzgeld erpresst worden. Heute würden Unternehmen, die auf das Internet angewiesen sind, mit DDoS-Angriffen bedroht. Zu einer Einstellung der Attacken komme es erst dann, wenn Geld gezahlt wurde. Hier habe sich die Kriminalität nur verschoben. Es gebe jedoch auch Formen der Kriminalität, die es ohne das Internet nicht gegeben hätte. Viele Delikte seien auch nicht so einfach zu begehen gewesen. Früher mussten die Täter zwangsläufig am Tatort sein, wenn sie etwa eine Bank ausrauben wollten. Heute finde der virtuelle Bankraub aus einem Internetcafé oder von zu Hause statt.

Qualifizierte Spezialisten gegen Internetkriminalität

Um Internetkriminalität wirksam zu bekämpfen, brauche es mehr qualifizierte Spezialisten, sagten die Fachleute einhellig. Uneinig waren sie sich dabei, inwieweit Qualifikationen und Zertifizierungen für Administratoren die Situation verbessern können. So sei es immer eine Einzelfallentscheidung, welche Art der Sicherung für ein Unternehmen wichtig sei. Für eine andere Firma müsse der Schwerpunkt womöglich ganz anders gesetzt werden. Eine einmalige Qualifikation reiche oft nicht aus und müsse regelmäßig wiederholt werden, sagte ein Experte. In der Realität gebe es dafür häufig kein Budget oder kein Interesse im Unternehmen. Deshalb sei es wichtig, so die Sachverständigen, dass die Notwendigkeit von nachhaltiger Weiterbildung an die Hochschulen und in die Wirtschaft hereingetragen werde.

Was kann die Politik tun?

Sensibilisierung und Bildung des Nutzers sei ein entscheidender Baustein, sagten die Experten auf die Frage, was die Politik leisten könne. Wie beim Thema Auto müsse den Nutzern klargemacht werden, dass es das übergeordnete Ziel der Sicherheit gebe. Autohersteller würden damit werben, im Bremstest gut abgeschnitten zu haben. Genauso sollten auch Netzbetreiber mit einer geringen Anzahl an Angriffen pro Monat werben können. Hier lägen zudem die Bereiche Sicherheit und Medienkompetenz nah beieinander, sagte ein Experte, denn die Bürger seien einerseits gefährdet, andererseits würden sie durch ihr Unwissen, etwa mit einem infizierten Rechner, selbst zu Gefährdern. Mit E-Government und E-Commerce müsse man umgehen lernen, am besten schon in der Schule. Medienkompetenz müsse so früh wie möglich vermittelt werden  – allerdings nicht als "Feigenblattunterricht".

Sind deutsche Behörden ausreichend gegen Attacken gesichert?

Diese Frage stellte ein Abgeordneter im Namen eines Twitternutzers. Im Moment ja, so die Expertenantwort – die Behörden müssten aber permanent wachsam bleiben, neue Angriffsmuster identifizieren und die Maßnahmen laufend anpassen. Dies gelte im Übrigen nicht nur für Behörden, sondern auch für Unternehmen.