Bundeshacker: Gehälter nicht "sexy", Mission schon

Symbolbild: Hacker

Bundeshacker: Gehälter nicht "sexy", Mission schon

Am Donnerstag (14.09.2017) eröffnet die Zentrale Stelle für Informationstechnik im Sicherheitsbereich, ZITiS, auch die "Bundeshacker" genannt. IT-Experte Sandro Gaycken von der Berliner European School of Management and Technology gefällt die ZITiS-Mission - hat aber Zweifel, ob genügend gute Hacker dort anheuern werden.

WDR 5: 400 Stellen sind geplant, rund 20 erst besetzt. Natürlich fragen sich alle sofort: Ist das alles von vornherein unterdimensioniert in der Welt von NSA und Co?

Sandro Gaycken: Das ist schwierig zu sagen. Man hat ja schon vorher den Bedarf abgeschätzt, den man da hat und was man ungefähr braucht an Personal, um das abzudecken. Von daher wird das wahrscheinlich schon ungefähr hinkommen. Dazu kommt ja, dass ZITiS wohl nicht dem BND zuliefert, sondern dem Militär, also der Inneren Sicherheit. Und da ist der Bedarf noch mal deutlich niedriger als bei der Äußeren Sicherheit.

WDR 5: Was gibt’s denn für einen Bedarf genau? Für welche Aufgaben werden die Hacker denn herangezogen werden, weiß man das?

Sandro Gaycken: Na ja, das sind jetzt Hacker in Staatsdiensten sozusagen. Die sollen dann einbrechen bei all den Bösen, die wir da draußen haben, organisierte Kriminelle, Terroristen. Die benutzen natürlich auch alle Smartphones, Laptops, Rechner, teilweise auch richtige Serverfarmen, wo sie ihre kriminellen Operationen leiten. Die sind natürlich auch im Darknet unterwegs und verkaufen da Dinge. Das sind alles Technologien, in die kann man einbrechen als Hacker. Und das sollte der Staat natürlich auch in gezielter Art und Weise können.

"Bundeshacker": Skepsis wegen Personalnotstand

WDR 5 Morgenecho - Interview | 14.09.2017 | 05:51 Min.

Download

WDR 5: Weil wir den Vergleich mit NSA schon hatten: Man kann das ja auf verschiedene Arten und Weisen tun, ob man Trojaner hat, die man einsetzen kann, ob man irgendwelche Exploits oder Sicherheitslücken nutzen kann oder ob man das auf andere Arten und Weisen tut. Wie werden die vorgehen?

Sandro Gaycken, IT-Spezialist von der Freien Universität Berlin

IT-Spezialist Sandro Gaycken

Sandro Gaycken: Ganz wichtig ist an der Stelle, dass etwas getan wird, was ich auch immer empfohlen habe, dass man nämlich nicht wie die NSA seiner Industrie vorschreibt, dass sie Hintertüren einbauen müssen. Weil das natürlich ganz fatale Konsequenzen für den Exportmarkt hätte. Und dass man natürlich auch keine Massenüberwachung bei den Telekommunikationsprovidern anstrebt, wie das die USA gemacht haben, wie das natürlich auch Russland und China machen. Das ist etwas, was mit unserer Kultur von Datenschutz nicht vereinbar ist. Aber wenn man sich in die Lage versetzt, gezielte Zugriffe von außen auf diese Geräte zu machen, indem man diese Schwachstellen ausnutzt, die da drin sind, dann hat man keinen Konflikt mit Datenschutz, hat keinen Konflikt mit der Privatheit. Außer natürlich mit der einen Person, die man angreift. Aber das darf man ja in dem Fall. Und man hat auch keine Schwierigkeiten mit der Glaubwürdigkeit der Sicherheit seiner Exportprodukte. Von daher ist das ein ganz guter Weg, um da ranzugehen. Man muss dann natürlich hohe Fähigkeiten haben, um diese Sicherheitslücken auch zu finden und diese ausnutzen zu können.

Der IT- und Sicherheitsexperte Sandro Gaycken, 44, ist Direktor des Digital Society Institute an der European School of Management and Technology in Berlin. Er berät u.a. die Bundesregierung in IT- und Cyberwar-Fragen. 2008 promovierte Gaycken am Institut für Wissenschafts- und Technikforschungan der Universität Bielefeld.

WDR 5: Bezahlen die dann gut genug für die guten Hacker? Können die das überhaupt - mithalten?

Sandro Gaycken: Das ist natürlich ein ganz wunder Punkt. Bei ZITiS ist es einmal der Standort. Der ist jetzt nicht so überragend sexy für die meisten Hacker. Das ist ja ein Vorort von München. Und das Zweite sind natürlich die Gehaltsstrukturen, die jetzt auch nicht so überragend sexy sind. Wir haben ja auch nur sehr, sehr wenige sehr gute Hacker. Man überschätzt das immer. Leute, die wirklich gut sind und so was können auch auf eine Art und Weise, die jetzt nicht von einfachen Werkzeugen schon abgedeckt wird - da gibt es in Deutschland vielleicht 50, 60 Leute. Maximal!

WDR 5: Oh, okay!

Sandro Gaycken: Von daher hat man da schon etliche Strukturprobleme. Die 50, 60 will natürlich jeder haben, weil die natürlich für den Schutz eines Dax-Konzerns extrem nützlich sind. Und die zahlen schon sehr aberwitzige Gehälter. Der Vorteil, den ZITiS hat, ist die ganz tolle Mission. Wenn ich bei einem Dax-Konzern arbeite, dann verdiene ich vielleicht 200.000 oder so. Aber dann muss ich da eine Firewall davor bewahren auseinanderzubrechen. Das ist furchtbar langweilig. Und bei ZITiS dann in sehr gut geschützte Geräte von Kriminellen einzubrechen, hat natürlich einen gewissen Reiz.

WDR 5: Aber worüber wir vorher schon gesprochen haben, dass man Sicherheitslücken nutzt, die es schon gibt: Es gibt ja diese Kritik, die wir auch bei anderen Behörden dieser Art schon gehört haben, dass in dieser Welt Sicherheitslücken für viel Geld verkauft und nicht aufgedeckt werden, damit man sie noch länger nutzen kann. Muss man sich gefallen lassen, Spieler in einem zweifelhaften Business zu werden?

Sandro Gaycken: Den Vorwurf habe ich noch nie mitgehalten. Das ist völliger Unsinn. Das würde ja voraussetzen, dass die Zahl der Sicherheitslücken endlich und gering ist, so dass man mit der Mitteilung und der Schließung der Sicherheitslücken statt der Ausnutzung einen signifikanten Sicherheitseffekt oder eine Erhöhung der Sicherheit erreicht. Aber das ist völliger Unsinn. Es sind in normalen Geräten hunderte bis tausende Sicherheitslücken drin. Teilweise sind die trotzdem schwer zu finden. Das sehen wir an den Schwarzmarktpreisen ganz klar. Aber es sind trotzdem sehr, sehr viele. Von daher: Ob jetzt diese eine Sicherheitslücke in einem Telefon oder einem Laptop gemeldet wird und dann eine relativ irrelevante Erhöhung der Sicherheit insgesamt bringt oder ob sie genutzt wird, und dann kann man dadurch wichtige kriminelle Strukturen nachverfolgen und aufdecken - da ist, glaube ich, der Sicherheitsgewinn ganz klar auf der Seite der Ausnutzung dieser Schwachstellen.

WDR 5: Hört sich aber insgesamt so an, als würden Sie einen Daumen nach oben geben für diese Einheit. Weil ja sonst immer schnell gesagt wird, ah, Deutschland wieder so ein Klein-Klein, und das bringt nichts, da wird nur Steuergeld versenkt. Sie scheinen ganz zufrieden da drauf zu gucken.

Sandro Gaycken: Na ja, die haben natürlich erhebliche Schwierigkeiten. Es bleibt erst mal abzuwarten, ob sie auch das können, was sie sollen und was sie liefern wollen. Da ist natürlich erhebliche Skepsis. Insbesondere aufgrund dieses unglaublichen Personalnotstands, den man quasi national hat. Und daran hängt natürlich alles. Aber auch die NSA hat 15 bis 20 Jahre gebraucht, bis sie dahin gekommen ist, wo sie jetzt ist. Von daher müssen wir einfach mal ein paar Jahre abwarten.

Das Gespräch führte Max von Malotki im WDR 5 Morgenecho vom 14.09.2017.

Für eine bessere Rezeption weicht die schriftliche Fassung des Interviews an einigen Stellen vom gesendeten Interview ab und kann teilweise gekürzt sein. Die intendierte Ausrichtung der Fragen und Antworten bleibt dabei unberührt.

Stand: 14.09.2017, 11:31