Interview mit Kiersten Todt

Wie Regierung, Forschung und Wirtschaft Cybergefahren abwehren sollen

Uhr
von Coen Kaat und Julia Schlegel

Kiersten Todt ist im Rahmen des Speaker-Programms des US-Aussenministeriums in die Schweiz gekommen, um mit der Regierung über Cybersecurity zu sprechen. Sie war Executive Director einer Kommission des Präsidenten Obama, in der es darum ging, eine Roadmap für die Cybersecurity-Strategie der neuen Administration zusammenzustellen.

Kiersten Todt (Source: Netzmedien)
Kiersten Todt (Source: Netzmedien)

Hatten Sie Zeit, die Cyber Defensiven der Schweiz einzuschätzen?

Kiersten Todt: Ich tauschte mich mit der Regierung aus, die Faszinierendes darüber erzählte, was in der Schweiz bereits getan wird. Die interessantesten Diskussionen drehten sich darum, was die Schweiz schon herausfinden konnte und die USA nicht, aufgrund ihrer schieren Grösse. Ich traf den Leiter der eidgenössischen IT-Systeme, seine Herausforderungen sind unseren sehr ähnlich. Es stellen sich ihm dieselben Fragen wie uns, wie bringt man Industrie und Regierung zusammen, wer ist dafür verantwortlich, die Nation zu schützen, wie bringt man Cyber Defense und -Offense in Einklang? Wir tauschten Best practices, Lessons learned und Herausforderungen aus. Viele Fragen ergeben sich unabhängig von der Grösse eines Landes, viele Bedrohungen und Möglichkeiten ebenso.

Was hat die Schweiz denn schon herausgefunden, dass die USA noch nicht hat?

Es geht um die Offensive, um die Frage: Wie verteilt man Shared Services, über die Bundesbehörden, die nicht missionsspezifisch, aber kritisch für die jeweilige Behörde sind? Wir wollen ein System für die gesamte Regierung benutzen, aber wie macht man das effizient? Bei der Skala?

Was haben Sie in der Schweiz gelernt, das sie wieder mit nach Hause nehmen?

Die Kommission betonte von Anfang an, wie wichtig die internationale Zusammenarbeit ist. Und wie wichtig eine Harmonisierung der Regulierungen weltweit ist. Die USA konzentriert sich zuerst auf die unmittelbaren Bedrohungen, und dann erst auf eine langfristige Strategie. Ich glaube, wenn wir Normen international globalisieren, bringen wir Regierungen und Industrie näher zusammen. Das zu tun, wird dann auch für die einzelnen Länder einfacher. Ich hoffe auf eine vermehrte Zusammenarbeit, so dass wir einander helfen können, mit den Bedrohungen zurechtzukommen.

In der Schweiz wird derzeit über den Aufbau eines nationalen Cyber Defense Centers debattiert und zugleich soll auch die Armee eine Cyber-Defense-Truppe aufbauen. Halten Sie das für den richtigen Weg?

Es ist sehr wichtig, auch militärische Möglichkeiten zu haben, um die Cyberabwehr zu untersrützen. In den USA bemühen wir uns gerade, unsere militärischen und zivilen Anstrengungen in Einklang zu bringen, denn wir möchten bezüglich Cyber Security keine Kriegsmentalität fördern.

Ist Cyber Defense wirklich Aufgabe des Staats?

Eine gute Frage, denn in den USA sind 85 Prozent unserer kritischen Infrastruktur in Händen des Privatsektors. Wir diskutieren das auch ausgiebig: Warum überlassen wir die Firmen im Cyber Space sich selbst? An Land und im Wasser tut die Regierung das ja auch nicht! Was kann die Regierung also tun, um Firmen zu unterstützen und umgekehrt? Die Regierung muss im Cyber Defense nicht notwendigerweise die tragende Rolle spielen, aber Industrie und Regierung müssen auf jeden Fall kollaborieren, und ihre Rollen müssen klar sein. Idealerweise noch bevor etwas passiert.

Und wie kann man diese Zusammenarbeit fördern?

Sie muss vor einem Ereignis passieren, Routine sein, und aus mehr bestehen als dem bisherigen Gedanken «Wir müssen Informationen teilen». Jeder Sektor weiss sehr gut über die Bedrohungen für das eigene Netzwerk Bescheid, kann aber nichts Branchenübergreifendes sagen. Hier kommt die Threat Intelligence der Regierung ins Spiel. Die Industrie muss der Regierung aber auch genauer sagen, was sie von ihr braucht.

Sind Regierungsstrukturen nicht zu starr, zu langsam für die sich sehr schnell verändernden Cyber-Bedrohungen?

In den USA ist das momentan definitiv so. Regierungen müssen aber nicht so starr sein. Auch sie können sich mit der digitalen Evolution verändern und agiler werden.

Könnte der private Sektor sich selbst schützen?

Wahrscheinlich schon. Aber Firmen könnten das vermutlich besser, wenn die Regierung involviert ist. Was man häufig von der Industrie hört, ist, dass ihr die Informationen über die landesweiten und auch weltweiten Aktivitäten im Bereich Cybersecurity der Regierung fehlen. Hier sollte die Regierung die Information vermehrt teilen, im Moment will sie das nur, wenn die Industrie ihr hilft.

Hilft es der Industrie wirklich, wenn sie über die grossen Angriffe auf Staaten Bescheid weiss?

Ja, ich denke schon, denn wir lernen immer von dem, was passiert ist und welche Art von Angriffen existieren. Als Infrastrukturfirma kann man natürlich nicht sagen, man habe den Kampf verloren, man muss immer besser werden, und über andere Taktiken da draussen Bescheid zu wissen, kann nur helfen. Wir können nur besser werden

Woran wird in den USA derzeit in Sachen Security geforscht?

Man hört viel über Security-Forschung, wie zum Beispiel zu Identity Management. Aber die Übertragung in praktische Anwendungen fehlt zum Teil. Ich glaube, wir sind bisher nicht effektiv genug darin, reale Probleme auf die Forschung zu übertragen, sie da zu lösen und dann zurück in die echte Welt zu transferieren. Es gibt eine grosse Lücke zwischen Forschung und Industrie-Anwendungen.

Und wie könnte man diese Lücke schliessen?

Man muss die Industrie vermehrt ins Labor bringen. In den USA arbeiten grosse Firmen wie Mastercard, IBM eng mit Forschungsinstituten wie dem MIT und Stanford zusammen. Universitäten ziehen die Firmen für Pilotversuche hinzu, sie haben die Industrieverbindungen, wenn da noch die Regierung dazukommt, verzögert sich das Ganze, denn die richtigen Stakeholder sind nicht dabei.

Gefährdet das nicht auch die unabhängige Forschung?

Doch, deshalb haben wir regierungsfinanzierte R&D-Unternehmen. Die Struktur wurde aber dadurch unübersichtlich, diese Unternehmen sind nicht koordiniert und schaffen es nicht, ihre Erkenntnisse in nützlicher Frist im Markt anzubringen.

Gibt es besondere Forschungsprojekte, die Sie kennen, die praxisbezogener sein sollten?

Identity Management ist ein Bereich, von dem ich gerne genauer wüsste, inwiefern die Forschung in dem Bereich denn nun Lösungen hat. Denn es heisst schon seit langem: Das kommt in fünf Jahren. Ebenso Kryptologie, da wird so viel geforscht - Anwendungen im Markt sieht man aber nicht.

Wie offensiv sollte Cyber Security sein?

Militäroffiziere diskutierten in den USA, ob das Militär physisch auf Cyberangriffe reagieren darf. Die USA verwendet Cyber Security offensichtlich als Angriff wie Verteidigung. Aber wir müssen sehr vorsichtig sein, denn der psychologische Effekt ist bei Cyber Security von den Aktionen abgetrennt.

Kann ein Cyberangriff wirklich als Entschuldigung für einen physischen Angriff benutzt werden?

Es kommt darauf an, was für ein Angriff. Wenn die Sicherheit eines Lands bedroht ist, kann es entscheiden, was das beste Mittel ist, diese zu verteidigen.

Kämpfen wir einen hoffnungslosen Kampf gegen Cyber Crime?

Cyber Security ist mehr und mehr eine Frage des Managements. Man versucht, zu verhindern, was verhindert werden kann, und wenn etwas passiert, versucht man den Unterbruch so gering wie möglich zu halten. Die Art, wie man auf Angriffe reagiert, wird wichtiger, denn man kann nicht alle Angriffe verhindern.

Was sind die grössten Gefahren?

Wenn Cyberkriminelle etwa psychologische Mittel anwenden, das Verhalten von Menschen ausnutzen. Wenn sie Verhaltensanalysen, Social Media-, Informations- und Datenmanipulationen mit bösartiger Absicht nutzen. Diese raffinierten Angriffsarten sind kaum zu erkennen, und sie greifen die Grundlagen von Gesellschaft, Nationen, Kulturen an.

Was können wir dagegen tun?

Das einzige, was uns in dem Bereich voranbringen kann, ist die internationale Zusammenarbeit auf allen Ebenen.

Webcode
DPF8_74780