Der russische Angriffskrieg auf die Ukraine hat in den vergangenen Monaten gezeigt, wie weit Konflikte im Cyberspace ausgetragen werden. Wie der Google-Bericht „Fog of War“ zeigt, gehören Cyberangriffe zum festen Repertoire des Krieges: Zu Beginn des Ukraine-Kriegs nahmen solche Attacken auf staatliche Institutionen, aber auch Mobilfunk-, Medien- und Finanzdienstleister zu. Im Vergleich zu der Zeit vor dem Krieg stiegen die Cyberangriffe auf die Ukraine um 250 Prozent, die auf Nato-Mitglieder sogar um 300 Prozent. Cyber- und Informationskriege sind zum Handwerkszeug geworden, mit dem Staaten versuchen, Schwachstellen auszunutzen und Volkswirtschaften und Demokratien zu destabilisieren.
Eine gemeinsame Aufgabe: Die Sicherheit der digitalen Welt
Das Internet muss ein vertrauenswürdiger und sicherer Ort werden, aber wie gehen wir dafür bestmöglich vor? Ganz im Sinne des Mittelalters: Burgen bauen, mit Mauern abschirmen und den Zugang bei grenzüberschreitenden Diensten beschränken und überwachen? Alle essenziellen Daten mit hohen Mauern versehen und nur ausgewählte Personen haben Schlüssel, um auf die Daten zuzugreifen? In einer globalisierten Welt keine einfache Aufgabe – und wer überwacht und bestimmt den Datenzugang? Auch wenn es paradox klingt, digitale Sicherheit wird besser durch Offenheit, transparente Analysen und Zusammenarbeit. In der mobilen, hybriden Umgebung von heute ist Cybersicherheit ein Teamsport. Wenn wir zusammenarbeiten, treiben wir Innovationen voran und entwickeln bewährte Verfahren, von denen alle profitieren. Das klingt zunächst nach Phrasen, aber warum nicht gemeinsam schützen, wenn wir doch alle von denselben Problemen betroffen sind?
Die Einstellung, dass Cybersicherheit nur als Team gelingen kann, entstand nicht nur durch lange Forschung, sondern eben auch aus eigenen schmerzhaften Erfahrungen, wie beispielsweise dem großangelegten Angriff aus dem Jahr 2009, Codename „Operation Aurora“ und weiteren Attacken. Mit den Lehren aus diesen Cyberattacken im Gepäck haben wir uns daran gesetzt, weltweit agierende Teams von Spezialist:innen aufzusetzen und obwohl Googles Infrastruktur heute täglich immensen digitalen Angriffen ausgesetzt ist, können wir diese inzwischen deutlich erfolgreicher abwehren als damals. Die bleibende Lektion aus dem Aurora-Angriff zeigt die Notwendigkeit, Offenheit und Transparenz in die Struktur einer Cybersicherheitsreaktion einzubauen. Das ist nicht immer einfach – wir mussten auf dem Weg dorthin einige schwierige Gespräche mit Partnern und unseren eigenen Teams führen – aber es ist notwendig, um die Branche voranzubringen und sicherzustellen, dass Fehler schnell behoben werden, bevor sie in freier Wildbahn ausgenutzt werden können.
Open Security – was heißt das?
Ein entscheidendes Prinzip für Organisationen ist das sogenannte Zero-Trust-Konzept: Zero-Trust ist eine Vorgehensweise, bei der die Zugangsdaten von Nutzer:innen, alle Geräte und Anwendungen kontinuierlich auf Sicherheit und Vertrauenswürdigkeit überprüft werden und nur dann Zugriff auf sensible Anwendungen oder Daten bekommen, wenn die Sicherheit und das Vertrauen auch erfolgreich Ende zu Ende verifiziert werden konnte – ganz im Sinne von Sicherheit als gemeinsame Aufgabe.
Gleichzeitig sollten wir bedenken, dass wir uns von fehleranfälligen Legacy-Technologien und Perimeter-Verteidigungsmodellen verabschieden und uns modernen Infrastrukturen zuwenden sollten, die den zunehmend globalen, hybriden Arbeitskräften von heute gerecht werden können, ohne dass die Sicherheit darunter leidet. Genauso wie die Welt sich beeilt, die Verschlüsselung zu verbessern, um beispielsweise der Bedrohung durch die Quantenentschlüsselung zu begegnen, müssen wir in Spitzentechnologien investieren, die uns helfen, den immer raffinierteren Bedrohungen einen Schritt voraus zu sein.
Neben Prinzipien wie Zero-Trust oder der Nutzung neuer Technologien sind Maßnahmen für den Schutz der Informationsfreiheit aus meiner Sicht dringend notwendig. Webseiten-Server müssen vor Überlastung durch DDoS-Angriffe geschützt werden, damit Informationen etwa von Journalist:innen, NGOs und politischen Organisationen immer, überall und zuverlässig zur Verfügung stehen. Die Förderung offener Sicherheitsgrundsätze, Investitionen in das Ökosystem, der Austausch von Informationen zur Bekämpfung der Cyberkriminalität oder auch der Cyberschutz von Risikogruppen müssen zu den obersten Prioritäten zählen, um unsere Gesellschaft auch zukünftig abzusichern!
Aus diesem Grund sind wir Gründungsmitglied des Hacking Policy Council, einer Gruppe von gleichgesinnten Organisationen und Führungspersönlichkeiten, die sich gezielt dafür einsetzen werden, dass neue Richtlinien und Vorschriften für den Umgang mit Schwachstellen und deren Offenlegung unterstützen und nicht die Sicherheit der Nutzer:innen untergraben.
Des Weiteren leisten unabhängige Sicherheitsforscher:innen einen enormen Beitrag zur Sicherheit, auch bei Google. Dafür stellen wir eine Anschubfinanzierung für die Einrichtung eines Rechtsverteidigungsfonds (Security Research Legal Defense Fund) zum Schutz von Sicherheitsforscher:innen bereit. Denn die Forschenden brauchen Rechtsbeistand, wenn sie aufgrund von wohlwollender Sicherheitsforschung und der Offenlegung von Sicherheitslücken in Fällen, die die Sicherheit der Öffentlichkeit fördern, verklagt werden.
Partnerschaften und Vereinbarungen zwischen demokratischen und rechtsstaatlichen Gesellschaften sind der Schlüssel zu mehr Sicherheit. Wir müssen uns von isolierten Ansätzen verabschieden und ein Ökosystem der Innovation schaffen, in dem Sicherheitsexpert:innen Bedrohungen austauschen, bewährte Praktiken weiterentwickeln und neue Technologien einsetzen können. Schon allein deshalb haben wir uns zur Transparenz bei der Ausnutzung von Schwachstellen verpflichtet: Daher wird öffentlich bekannt gegeben, wenn Beweise vorliegen, dass Schwachstellen in einem unserer Produkte ausgenutzt wurden.
Heutzutage ist Cybersicherheit in einer mobilen, hybriden Welt etwas, das wir nur als Team sicherstellen können. Mit einem Ansatz, der auf offenen Grundsätzen wie Transparenz, Zero-Trust und Partnerschaften beruht, können wir die Cybersicherheit voranbringen – unserem gemeinsamen Ziel, das Internet zu einem vertrauenswürdigeren und sicheren Ort zu machen, kommen wir somit Schritt für Schritt näher.
Wieland Holfelder ist Leiter des Google-Entwicklungszentrums in München, in dem auch das Google Safety Engineering Center, sowie die Entwicklung zur Sovereign Cloud in Europa angesiedelt sind.