Dr. Christian Hummert

Dr. Christian Hummert ist seit 1. Oktober 2021 Forschungsdirektor der Agentur für Innovation in der Cybersicherheit, kurz: Cyberagentur des Bundes. Der 42-jährige Informatiker lehrte zuvor als Professor an der Fachhochschule im sächsischen Mittweida zum Thema IT-Sicherheit und war Leiter der Digitalen Forensik bei der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITIS) in München. Die Cyberagentur des Bundes versteht sich als treibende Kraft einer offenen Innovations- und Wagniskultur sowie für ein lebendiges Ökosystem zur Förderung von Cybersicherheitstechnologien.

1. Wo steht Deutschland beim Thema Cybersicherheit?

Der letzte Global Cybersecurity Index der Internationalen Fernmeldeunion ITU – einer Sonderorganisation der Vereinten Nationen – ist aus dem Jahr 2020. Hier wurden 194 Staaten daraufhin verglichen, was sie für die nationale Cybersicherheit tun. Dabei werden viele Punkte bewertet, wie das Engagement gegen Cyberkriminalität, aber auch Strategien zur Verbesserung der Cybersicherheit, Forschungsförderung oder Kooperationen in diesem Bereich. In der Studie im Jahr 2020 erreichte Deutschland den 13. Platz. Das ist im Vergleich nicht schlecht, aber die Bundesrepublik kann sicher noch etwas tun, um in die Top 10 aufzuschließen. Ein Problem ist, dass Deutschland im Bereich der Cybersicherheit stark auf ausländische Partner angewiesen ist. Viel Technologie wird aus den USA, auch Israel oder China importiert. Von unseren europäischen Partnern liegen Estland, Litauen, Frankreich und Luxemburg vor Deutschland. Im Jahr 2020 gründete der Bund deshalb die Agentur für Innovation in der Cybersicherheit GmbH (kurz Cyberagentur), um die technologische Souveränität Deutschlands im Cyberraum zu stärken und technologisch im Bereich der Cybersicherheit an die Weltspitze anzuschließen. Dies sind ambitionierte Ziele, denen sich die Cyberagentur mit ihrer neuen Forschungsstrategie selbstbewusst stellen wird.

2. Vor welchen Herausforderungen stehen wir im Bereich des Gesundheitssystems? Wie können sich Kliniken aber auch generell Leistungserbringer besser vorbereiten?

Das Gesundheitssystem ist Teil der kritischen Infrastruktur (KRITIS) und muss deshalb besonders gegen Cyberangriffe geschützt sein. Die Schwierigkeiten im Cyberschutz des Gesundheitssystems liegen zum einen in der engen Vernetzung von vielen verschiedenen Akteuren. Krankenhäuser, Ärzte, Krankenkassen, Rettungsdienste und die Versorgung mit Medikamenten können nicht nur für sich, sondern müssen als gesamthaftes System geschützt werden. Bei jedem dieser Teilnehmer gibt es viele Spezialsysteme mit Sondersoftware. Das Zusammenwirken solcher heterogenen Systeme zu schützen, ist eine besondere Herausforderung.

Ein Vorteil gegenüber diesen Herausforderungen ist die weitgehend dezentrale Struktur des deutschen Gesundheitssystems. Durch einen Angriff kann nie das ganze System ausgeschaltet werden, wie das bei stark zentralisierten Systemen der Fall ist. Bei dezentralen Strukturen trägt aber jeder einzelne Teilnehmer (Kliniken und Leistungserbringer) die Verantwortung dafür, die eigenen Systeme stets aktuell und sicher zu halten. Ich habe großes Verständnis dafür, wenn Unternehmen im Gesundheitssektor sich entscheiden ihren schmalen Etat lieber für neue Medizintechnik oder mehr Intensivbetten auszugeben als für die IT-Sicherheit. Gerade in Zeiten der COVID-Pandemie scheint dies angemessen. Dennoch sollten uns Cyberangriffe gegen Klinken in der Vergangenheit eine Mahnung für die Zukunft sein.

3. Kann „Cybersicherheit made in Germany“ zu einem Exportschlager werden oder ist dafür schon der technologische Zug abgefahren?

Ein Merkmal der „Cyberindustrie“ ist es, dass das sie besonders schnelllebig ist. Akteure, die gestern noch Flaggschiffe waren, spielen heute kaum noch eine Rolle. Denken Sie zum Beispiel an die Geschichte von Yahoo oder RIM, den Hersteller von BlackBerry-Telefonen. Das bedeutet, dass es immer eine Chance gibt mit einer innovativen, disruptiven Idee große Teile des Marktes zu erobern und bestehende Platzhirsche zu verdrängen. 

Deutschland hat sich hier in der Vergangenheit nicht besonders hervorgetan. Wir sind gut darin, neue Technologien zu entwickeln, aber schlecht darin, diese wirtschaftlich zu verwerten - ich möchte hier nicht schon wieder das viel zitierte Beispiel des MP3-Players bemühen. Ich bin fest davon überzeugt, dass wir anders mit Innovationen und unseren Forschungsergebnissen umgehen müssen und als Gesellschaft hier mehr Mut brauchen. Wenn wir diesen Schritt gehen, dann kann Cybersicherheit „made in Germany“ ein Erfolg werden.