0
Altstadt: Die Bürger von Tallinn leben deutlich digitaler als hierzulande. Darum ist auch alles doppelt so sicher: Der baltische Staat gilt als Vorzeigeland für Datensicherheit. - © Matthias Schwarzer
Altstadt: Die Bürger von Tallinn leben deutlich digitaler als hierzulande. Darum ist auch alles doppelt so sicher: Der baltische Staat gilt als Vorzeigeland für Datensicherheit. | © Matthias Schwarzer

Expedition EU Was Europa bei der Datensicherheit von Estland lernen kann

2007 legte ein Hackerangriff halb Estland lahm. Seitdem hat sich in dem baltischen Staat einiges geändert. Inzwischen gilt Estland sogar als Aushängeschild für Datensicherheit.

Joris Gräßlin
16.05.2019 | Stand 16.05.2019, 18:44 Uhr |
Tom Sundermann

Matthias Schwarzer

Tallinn. Der 26. April 2007 hat nicht nur Estland, sondern ganz Europa aufgerüttelt: Über vier Tage hinweg nahm eine Hacker-Gruppe das baltische Land ins Visier und legte durch eine Vielzahl von „Denial-of-Service-Attacken" wichtige Server lahm. Neben Webseiten von Schulen, Banken und Zeitungen griffen die Hacker auch Plattformen von Behörden, Ministerien und des Präsidenten an. Die Attacke gilt bis heute als einer der größten Hacker-Angriffe auf ein EU-Land. Grund waren seinerzeit nach aktuellem Kenntnisstand die angespannten Beziehungen zwischen Estland und Russland. 2009 bekannte sich die russische Pro-Kreml-Jugendorganisation „Nashi" zu der Tat. Uru Särekanno bezeichnet den Angriff als „einschneidendes Erlebnis". Das Bewusstsein für Cyber-Angriffe habe sich nach der Attacke massiv geschärft. Särekanno arbeitet in der Hauptabwehrstelle für Hacking-Attacken RIA (Information Systems Authority), die wir während der Expedition EU in Tallinn besuchen. In einem unscheinbaren Bürokomplex an einer lauten Hauptstraße hat die Behörde aus dem siebten Stock den vollen Überblick über alles, was im Netz passiert. Verfolgen Sie unsere drei EU-Reporter live auf Instagram. Estland ist digitales Vorzeigeland Die RIA ist verantwortlich für das Regierungs-Netzwerk sowie diverse Ministerien. Auch die Weiterentwicklung des Wahl-Systems ist Aufgabe der RIA: In Estland können Bürger seit 2006 online wählen - 43 Prozent haben das bei der letzten Wahl getan. Zudem hat die Behörde Sensoren in privaten Netzwerken, um Malware zu entdecken. Diese umfassen auch lebenswichtige Dienste wie Banken, Energieunternehmen oder Krankenhäuser. Das ist auch bitter notwendig, denn in Estland leben die Bürger deutlich digitaler als hierzulande: Estland hat  erfolgreiche Unternehmen wie Skype und eine Vielzahl an Tech-Startups, etwa Transferwise, Playtech und Taxify. Schüler lernen Programmieren schon in der ersten Klasse, jeder Bürger hat ein Grundrecht auf einen Internetzugang. Freies Internet im öffentlichen Raum ist eine Selbstverständlichkeit. Die RIA ist eine Institution, die seit dem großen Hackerangriff von 2007 massiv ausgebaut wurde. „Die Standards wurden aber schon vorher dafür geschaffen", erklärt Särekanno. Er bezeichnet die Attacke „von IT-Seite" eher als „Test, wie unsere Systeme funktionieren - und wie man sie verbessern kann." Die Politik habe der Fall jedoch massiv aufgerüttelt. Eigener staatlicher Internet-Dienst Konkret hat sich in Estland seit dem Vorfall Folgendes geändert: Jede Behörde hat verpflichtend einen Verantwortlichen für Informationssicherheit — alle 400 Behörden halten sich daran. Der Staat hat einen eigenen Internetdienst. Statt privaten Providern wird hier ein eigenes staatliches Netzwerk für Behörden mit eigener Hardware genutzt. So soll Malware kontrolliert werden. Seit 2007 wurden zudem Krisenübungen eingeführt. Mindestens zehn Mal im Jahr proben die Behörden den Ernstfall. Seine Kenntnisse zur Datensicherheit gibt Estland übrigens auch weiter. In Tallinn steht das NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) — eine militärisch abgeschirmte Institution, die Forschung betreibt und Vertreter der Mitgliedsstaaten schult. „Das Herzstücks des CCDCOE ist ein buntes Team von Experten mit militärischem, akademischem und regierungs-Background", erklärt Sprecher Aari Lemmik. „Diese Experten kommen nicht nur aus Estland, sondern aus allen 21 Mitgliedsstaaten." Der Podcast zur Expedition EU kann bei Spotify, Apple Podcasts und weiteren Portalen abonniert werden. Vor Ort in Estland ist Mairi Heinsalu für die Verfolgung von Cyber-Attacken verantwortlich. Erst vor wenigen Wochen habe es wieder eine Phishing-Attacke auf estnische Banken und ihre Kunden gegeben, erklärt die Staatsanwältin und Expertin für Datensicherheit. Geschehen solche Vorfälle, handele man in Estland effektiv und schnell: „Alle Behörden arbeiten Hand in Hand", so Heinsalu. Behörden informieren die Banken, die wiederum zügig ihre Kunden. Auch die Kommunikation mit den Medien sei gut. Das habe sich inzwischen eingespielt. Außerdem seien die Wege kurz: Direkt neben der RIA ist beispielsweise die Polizei ansässig. Die Bemühungen zahlen sich aus: 2017 war Estland eines der wenigen Länder, das vom Schadprogramm und Computerwurm „WannaCry" unberührt blieb. Auch wenn Uru Särekanno den Fall ein wenig relativiert: „Wahrscheinlich hatten wir auch einfach Glück", sagt er. Was können andere Länder von Estland lernen? Dennoch können andere EU-Staaten in Sachen Datensicherheit einiges von Estland lernen. „Das BSI in Deutschland beispielsweise macht einen verdammt guten Job", betont Uru Särekanno. „Es gehört sogar zu den erfolgreichsten Behörden dieser Art in der EU. Deutschland hat deutlich mehr Möglichkeiten als wir." Dennoch gebe es Probleme: „Was Deutschland fehlt, ist ein zentrales, elektronisches Identitäts-Management-System." Das sei bei der Bekämpfung von Cyber-Angriffen sehr hilfreich - jedoch eine Frage der politischen Einstellung. In Estland sei das Sammeln von Identitätsdaten grundsätzlich kein Problem - in Deutschland sieht das anders aus. „Was andere EU-Staaten definitiv von uns lernen können, ist die Zusammenarbeit untereinander", erklärt Särekanno. „Jeder in der Datensicherheitsbranche kennt sich, wir arbeiten eng zusammen und tauschen Informationen aus." Staatsanwältin Mairi Heinsalu ergänzt: „Auch bei der Prävention kann man von uns lernen." Die Bevölkerung in Estland habe inzwischen ein großes Bewusstsein für Datensicherheit und potenzielle Gefahren entwickelt. „Prävention ist das A und O", macht sie deutlich. Die Expedition EU wird von der Bertelsmann Stiftung unterstützt.

realisiert durch evolver group