Dennis-Kenji Kipker – Warum wird digitale Souveränität immer wichtiger?

Magdalena Oehl: Lieber Dennis, wir freuen uns sehr, dass du heute hier bist und wir mit dir über den Bereich Cyber Security sprechen können. Aber erst mal wollen wir von dir wissen: Was wolltest du denn eigentlich als Kind werden?

Dennis-Kenji Kipker: Tja, die Juristerei, die stand eigentlich immer schon so ein bisschen im Vordergrund, muss man sagen, wobei ich auch sehr, sehr viel Technik gemacht habe. Das heißt, ich habe schon relativ früh angefangen, irgendwie zu programmieren, Computer auseinanderzubauen, wieder zusammenzusetzen. Also meinen ersten PC habe ich mit sechs gekriegt und dann hat sich das immer so weiterentwickelt und man fuchst sich da halt so rein.

Magdalena Oehl: Und wie kam dann das Jura dazu? Das passt da ja eigentlich gar nicht so richtig dazu, wenn man lieber Computer auseinanderbaut.

Dennis-Kenji Kipker: Ja, das kam eigentlich so durch dieses Thema staatliche Überwachung, also diese ganzen Themen, was darf der Staat eigentlich mit unseren Daten machen, irgendwie so ein bisschen in die Richtung, also aus dieser bürgerrechtlichen Perspektive kam das Ganze. Und dann hat sich das irgendwie so ein bisschen miteinander verknüpft. Also im Studium hat man dann schon gemerkt, ja, das interessiert einen nicht nur, da brennt man dann irgendwie auch für. Also solche Themen wie Vorratsdatenspeicherung beispielsweise, Online-Durchsuchung, Quellen-Telekommunikationsüberwachung oder auch polizeiliche Befugnisse. Da habe ich mich sehr, sehr viel mit befasst, also auch digitale Ermittlungsmethoden. Und so hat das Ganze dann eigentlich zusammengefunden, um es mal so zu verunglücken.

Magdalena Oehl: Sehr cool. Du gehörst für mich ja auch zu den Kandidaten – gäbe es oder würden wir noch Visitenkarten verwenden – bräuchtest du definitiv zwei Seiten, wenn das überhaupt reicht. Deswegen bitte hol uns zu Beginn einmal ab, was eigentlich deine Haupttätigkeiten gerade sind.

Dennis-Kenji Kipker: Genau. Also ich bin haupttätig als Research Director am Cyber Intelligence Institute. Das ist ein privates Forschungsinstitut in Frankfurt am Main. Und wir beschäftigen uns mit allen Fragen von digitaler Resilienz. Also einerseits, wie man beispielsweise Unternehmen schützen kann, kritische Infrastrukturen vor Cyberangriffen schützen kann, aber auch bei diesen Themen Sabotage, Spionage, Drohnenabwehr. Das sind Bereiche, in denen wir Kompetenz haben und in denen wir arbeiten. Auch die Frage, wie kann man irgendwie die Bevölkerung besser schützen vor Cyberbedrohungen? Wie kann man Awareness schaffen? Wie kann man die Menschen darüber informieren? Und wir versuchen halt, so eine ganzheitliche Perspektive auf dieses Bild geänderte Bedrohungslage, Cybergefahren, aber auch digitale Souveränität zu werfen. Das heißt, wie abhängig sind wir beispielsweise auch von digitalen Lieferketten, Cloud-Services, ausländischen Unternehmen. Und das ist so das Spannungsfeld, in dem wir uns im Rahmen unserer Forschungstätigkeit bewegen.

Magdalena Oehl: Das ist aber nicht das Einzige, ne?

Dennis-Kenji Kipker: Das ist nicht das Einzige. Also es ist natürlich so, wenn man sich mit dem Thema irgendwie lange Jahre befasst, dann kommt immer mehr dazu. Also ich bin auch tätig als Professor für IT-Sicherheitsrecht an der Hochschule in Bremen. Also genau diese Schnittstelle von Legal und Tech, die wir gerade eben besprochen haben, die passt da eigentlich perfekt zusammen. Aber ich habe natürlich auch verschiedene andere Aktivitäten, ehrenamtliche Aktivitäten. Also bei der Gematik bin ich zum Beispiel Vorsitzender des Digitalbeirats. Und da geht es ja um solche Fragen: Wie kann man die Telematikinfrastruktur sichern? Also elektronische Patientenakte ist da beispielsweise ein wichtiges Schlüsselwort. Und da merkt man eigentlich auch sehr, sehr gut, dass mittlerweile alle Bereiche von Wirtschaft, Staat, Gesellschaft durchdigitalisiert sind, durchvernetzt sind und da natürlich auch entsprechend Beratungsbedarfe bestehen. Und man sieht auch wirklich, dass die Unsicherheit in allen Domänen eigentlich noch relativ groß ist. Also Digitalisieren ist relativ leicht, ist auch vielfach kostengünstig möglich. Aber das Ganze resilient zu machen, das heißt eben vor unbefugten Zugriffen zu schützen, sicher zu machen, das ist mit viel, viel größeren Herausforderungen verbunden.

Magdalena Oehl: Und du hast ja generell auch dazu beigetragen, diesen Rechtsbereich zu systematisieren. Kannst du uns da ein bisschen was dazu sagen, wie du das genau gemacht hast oder was da der Ansatz war?

Dennis-Kenji Kipker: Gerne. Also wenn man mal so zurückdenkt, irgendwie vor zehn Jahren, also sagen wir mal Jahr 2014, 2015, da war mit Cyber Security noch nicht wirklich viel. Es war so ein Insider-Thema, so ein Nerd-Thema. Und heutzutage ist es ja so, dass beispielsweise die deutsche Cyber-Sicherheitsbehörde, das Bundesamt für Sicherheit in der Informationstechnik, also BSI, irgendwie jedem bekannt ist und quasi auch jeden Tag irgendwo in den Medien auftaucht. Wir hatten eben das Glück, dass wir damals noch an der Universität Bremen eines der ersten Forschungsprojekte in dem Bereich Schutz von kritischen Infrastrukturen vor Cybergefahren reinholen konnten. Und das hat eben die Aufgabe gehabt, die Umsetzung des ersten wirklich deutschen IT-Sicherheitsgesetzes zu begleiten, was sich eben mit dem Schutz von kritischen Infrastrukturen befasst hat. Und da habe ich dann festgestellt, es gibt zwar so versprengt einzelne Paper dazu und der ein oder andere hat sich im ein oder anderen Buchkapitel vielleicht auch unter Gesichtspunkten von Compliance, Corporate Governance und so weiter mal geäußert. Ja, also Unternehmensrecht, Gesellschaftsrecht. Aber es gab nie wirklich dieses Rechtsgebiet bislang. Also Datenschutz gibt es ja schon viel, viel länger. Aber so Cyber-Sicherheitsrecht, was ja eigentlich noch mal was komplett anderes ist – das gab es noch gar nicht. Und dann bin ich irgendwann mal an den Beck-Verlag herangetreten und habe gesagt, na ja, also wollen wir denn nicht mal aufhören, immer irgendwie versuchen, das eine oder andere Paper irgendwie zu finden und unsere Unterlagen zusammenzusuchen. Und für vieles gab es auch gar nichts, sondern eben ein Kompendium zu diesem Rechtsgebiet bauen. Das fanden die eigentlich eine ganz gute Idee. Und dann habe ich einfach mal geschaut, wie kann man dieses Rechtsgebiet dann eigentlich systematisieren? Das heißt, wo haben wir im Bereich Cybersecurity-Recht Anknüpfungspunkte? Und man konnte da relativ zügig feststellen, wir haben Anknüpfungspunkte in die unterschiedlichsten Bereiche rein. Also natürlich nicht nur irgendwie Gesellschaftsrecht, sondern eben beispielsweise auch kritischer Infrastrukturschutz, in den Datenschutz hinein, ins Gefahrenabwehrrecht hinein, ins Strafrecht hinein. Bank- und Kapitalmarktrecht spielt da auch eine Rolle. Also wir haben wahnsinnig viele Anknüpfungspunkte für Cybersecurity-Recht. Und das haben wir dann in einem ersten Kompendium, also Rechts-Handbuch Cyber Security, was ich nach wie vor herausgebe und das im April 2020 das erste Mal erschienen ist, zusammengefasst. Mittlerweile haben wir natürlich viel, viel mehr Rechtsprechung, viel, viel mehr Anwältinnen und Anwälte sind auch auf dieses Thema spezialisiert mittlerweile. Und das ist ja auch sehr, sehr stark geworden in der Beratung, ja insbesondere jetzt auch seit diesem Jahr, wo wir eben auch das NIS-2-Umsetzungsgesetz in Deutschland Anfang Dezember letzten Jahres bekommen haben. Und das führt auch dazu, dass die Bedarfe da einfach gewachsen sind und natürlich auch vor zehn Jahren die Cyberbedrohungen gewachsen sind. Und so wurde quasi aus einem Rechtsgebiet, was am Anfang gar nicht bestanden hat, sondern ebenso aus versprengten Einzelmeinungen und aufsetzen, wirklich ein systematisches Rechtsgebiet, was man auch als solches bezeichnen kann, weil da mittlerweile auch genügend Fleisch dran ist.

Magdalena Oehl: Das leitet eigentlich perfekt über auf die nächste Frage. Was würdest du denn sagen, wo der Bereich Cyber Security gerade steht? Also was ist der Status quo? Du hast es gerade schon erwähnt. Also ich glaube, es gibt keinen Tag ohne Medienberichterstattung in irgendeiner Form dazu.

Dennis-Kenji Kipker: Ja, also tagtäglich. Also jetzt beispielsweise vor Kurzem ist ja noch mal bekannt geworden, dass die Sirenen ja angegriffen worden sind in Halle an der Saale und dann Fehlalarm ausgelöst worden ist und quasi dazu aufgerufen wurde, sich zu verbarrikadieren, weil irgendwie ein Amokläufer sich in der Stadt bewegt. Das war ein Cyberangriff. Das heißt, das war Fake an der Stelle. Und man sieht das an allen möglichen Stellen. Also mittelständische Unternehmen werden angegriffen. Staatliche Einrichtungen werden angegriffen aus Gründen von Spionage. Mittlerweile sind Cyberangriffe auch ein Mittel dieser hybriden Kriegsführung. Das heißt, wir reden nicht nur darüber, dass irgendwie Systeme lahmgelegt werden, sondern wir sprechen mittlerweile auch über Desinformation zum Beispiel. Das heißt, im weitesten Sinne kann man sagen, die ganze Plattform-Regulierung, also zum Beispiel Digital Services Act auf europäischer Ebene, fällt irgendwie auch im weitesten Sinne da rein. Und man kann durchaus sagen, und das hat auch das BSI in seinem Lagebericht von letztem Jahr festgestellt, die Bedrohungslage wird nicht weniger. Also man muss eigentlich konstatieren, dass sie von Jahr zu Jahr zunimmt, weil eben auch die Vernetzung zunimmt, weil wir uns immer mehr auf digitale Dienste, digitale Services verlassen. Und da ist es dann natürlich auch attraktiv für Cyber-Angreifer zu sagen, wir versuchen beispielsweise in der digitalen Lieferkette ein Unternehmen zu kompromittieren. Wir versuchen mittelständische Unternehmen zu verschlüsseln und dann zu erpressen an der Stelle oder eben auch Daten abzugreifen heimlich und dann ein Unternehmensnetzwerk wieder zu verlassen. Und die Cyber-Bedrohungslage, die ist definitiv massiv und deswegen werden da zukünftig, weil es mit der Vernetzung auch nicht weniger wird, immer größere Bedarfe auch bestehen, das dagegenzusteuern.

Magdalena Oehl: Du hast jetzt vor allem die Unternehmensebene auch angesprochen. Aber wie schätzt du denn auch die aktuelle geopolitische Lage ein? Da spielt das ja auch eine große Rolle.

Dennis-Kenji Kipker: Ja, definitiv. Also ein Schutzziel von Cybersicherheit ist ja die Vertraulichkeit von Diensten, die Integrität von Daten, aber auch die Verfügbarkeit von Diensten. Und das ist ja etwas, was wir auch seit letztem Jahr, also seit der zweiten Amtsübernahme von Donald Trump, sehr intensiv diskutieren. Weil wie wirkt sich das neu geordnete transatlantische Verhältnis, also die geänderte geopolitische Verhältnis auf uns in Deutschland oder in der Europäischen Union aus? Und die Debatte hat ja quasi zu Ende letzten Jahres ihren Höhepunkt gefunden, als ja auch der Digital Summit Ende November in Berlin stattfand, wo ja ganz klar auch das Statement gewesen ist: Europa muss technologisch unabhängiger werden, als es in der Vergangenheit der Fall gewesen ist, weil wir uns sonst vielleicht erpressbar machen, indem wir bestimmte US-Technologie nutzen, die dann aus welchen Gründen auch immer, also sanktionsrechtliche Vorschriften, Exportkontrollrecht oder Ähnliches oder präsidentielle Notstandserlaubnisse, wenn letzten Endes nicht mehr verfügbar sind in der Europäischen Union oder hierzulande. Das heißt, mittlerweile ist Cyber Security nicht nur regulatorisch wichtig, sondern auch hochpolitisch geworden. Es geht nicht mehr darum, dass man sagt, na ja, wie kann ich denn jetzt irgendwie ein Computersystem absichern durch technische Maßnahmen, sondern es geht auch darum: Wie kann ich beispielsweise Politik und Recht letzten Endes so bauen, dass ich sagen kann, was ist zum Beispiel ein vertrauenswürdiges IT-Unternehmen – die Debatte hatten wir ja auch schon in der Vergangenheit öfters – und man sich überlegen muss, wie kann ich beispielsweise auch Anreize schaffen, strukturelle Entscheidungen treffen, dass wir einfach digitale Souveränität in der Europäischen Union viel stärker herstellen können. Da kann man gut daran erkennen, Cyber Security und damit auch Cyber Security Compliance ist halt ein ganz großes Querschnittsthema, das sehr, sehr viele Bereiche umfasst und all diese Bereiche mittlerweile noch nicht endgültig durchdrungen hat.

Magdalena Oehl: Was wären denn so deine Top-3-Maßnahmen, die du treffen würdest aus der Perspektive, um Deutschland souveräner zu machen, aber das auch ausgeweitet auf europäische Souveränität natürlich?

Dennis-Kenji Kipker: Die erste und wichtigste Entscheidung ist eigentlich, dass man sämtlichen Beschaffern klarmacht, dass jede Beschaffungsentscheidung, also jeder IT-Einkauf, egal ob Software oder Hardware, eine Entscheidung für oder gegen digitale Souveränität ist. Ich glaube, das ist das Wichtigste, weil wir haben vielfach zurzeit noch die Wahrnehmung, dass digitale Souveränität etwas ist, was irgendwie dann durch so ein Bundesdigitalministerium politisch festgelegt wird und dann rieselt das irgendwie wie so ein Gießkannenprinzip über ganz Deutschland runter und bei jedem Unternehmen, bei jeder Behörde, bei jeder Privatperson kommt irgendwie so ein bisschen digitale Souveränität an. Aber so funktioniert's natürlich nicht. Also wir entscheiden uns dafür oder gegen, ob wir digital souverän handeln, mit unseren Beschaffungsentscheidungen. Das heißt also, ob ich beispielsweise WhatsApp nutze oder einen anderen Messenger, das ist natürlich eine Frage für oder gegen digitale Souveränität, und Alternativen gibt es ja genügend. Oder ob ich sage, ich verwende proprietäre Dienste, die ja natürlich auch enge lizenzrechtliche Beschränkungen haben, wie zum Beispiel Microsoft 365, oder ich verwende eben Open-Source-Technologie an der Stelle oder alternative Cloud-Dienste, um eben digital souverän zu handeln. Es wird nicht möglich sein, 100 Prozent digitale Souveränität zu bekommen. Das hat niemand, das haben auch nicht die Vereinigten Staaten. Das hat auch keine Volksrepublik China. Also es gibt nicht so was wie digitale Autarkie. Aber es gibt durchaus den Weg, dass man sagen kann, wir müssen – und das ist der zweite Punkt – Risiken erkennen und Risiken absägen. Das heißt, wir müssen einfach schauen: Was sind Dienste, auf die müssen wir uns in jedem Falle verlassen können? Die müssen unter unserer eigenen Hoheit sein. Da müssen die Daten sicher und integer gehalten werden können und eben auch vertraulich. Und wo kann man sagen, da ist es auch möglich, andere Dienste, zum Beispiel US-amerikanische Cloud-Provider oder sonstige Dienste, zu nutzen. Das wäre eben an der Stelle der zweite Schritt. Und der dritte Schritt ist, glaube ich, und das muss man glaube ich ganz klar sagen: Es ist schon fast zu spät. Also wir haben eben jahrzehntelang im Bereich IT-Entwicklung auf Globalisierung, auf Outsourcing, auf Reduzierung der eigenen Kapazitäten in Betrieben gesetzt, auch in staatlichen Einrichtungen. Und jetzt auf einmal sehen wir so eine Art Rollback. Das heißt also, wir müssen diese ganzen IT-Kapazitäten, die wir ausgelagert haben, auch gezielt aus wirtschaftspolitischen Erwägungen heraus ausgelagert haben, in relativ kurzer Zeit wieder zurückholen. Und das ist eben auch der Appell dort an der Stelle zu sagen: Das ist nicht etwas, was wir irgendwie dann in den nächsten zehn Jahren dann mal in Ruhe angehen, sondern das ist etwas, was wir eigentlich schon vor fünf Jahren hätten beginnen müssen. Also bei der Corona-Pandemie, da haben wir eben schon die ersten Verwerfungen, sage ich mal, gesehen, die Abhängigkeiten beispielsweise von Hardware aus China, die nicht mehr angeliefert werden konnte, weil die chinesischen Seehäfen dann geschlossen gewesen sind. Da hätte man eigentlich schon viel, viel stärker reagieren müssen. Aber unter juristischen Gesichtspunkten, da vielleicht noch mal einen Schlusspunkt zu setzen, ist es eigentlich ganz interessant, weil juristisch haben wir das bislang vor allem als Datenschutzproblem wahrgenommen, die digitale Souveränität. Also wenn wir uns mal zurückerinnern, die ganzen Schrems-Entscheidungen, also Schrems I, Schrems II, als der Europäische Gerichtshof 2015 und 2020 die Angemessenheitsbeschlüsse zwischen der US-amerikanischen Federal Trade Commission und der EU-Kommission für nichtig erklärt hat. Das hat dazu geführt, dass die Unternehmen weiterhin US-Cloud-Dienste genutzt haben, aber dann vielfach die Daten einfach rechtswidrig in die USA übermittelt haben, und Datenschutzaufsichtsbehörden können ja nicht einfach zigtausend Unternehmen in der Europäischen Union sanktionieren. Das ist ja auch ein politischer Selbstmord an der Stelle, wäre das ja auch gewesen. Und trotzdem hat man nicht darauf reagiert, obwohl man da schon hätte sehen müssen: Es gibt Souveränitätsprobleme und unser Rechtsrahmen, den wir haben, unser hoher datenschutzrechtlicher Rechtsrahmen, ist nicht mit der technologischen Realität, die wir zurzeit haben, vereinbar.

Magdalena Oehl: Wie handhabst du das? Bist du noch WhatsApp-Nutzer?

Dennis-Kenji Kipker: Na, ich habe WhatsApp schon seit Langem abgeschaltet. Also WhatsApp benutze ich gar nicht mehr. Also wenn, dann verschlüsselte Dienste wie zum Beispiel Signal oder Threema an der Stelle, und wir als Institut versuchen auch – nicht in allen Bereichen haben wir es geschafft, aber in den größten Bereichen – digital souverän zu werden, also dass wir beispielsweise auch unsere eigenen Server hosten, wenn wir zum Beispiel Web- und Videokonferenzen durchführen. Das ist ein Beispiel.

Magdalena Oehl: Gibt es da auch noch ein paar Tipps, die du auch Privatpersonen sozusagen mitgeben kannst? WhatsApp, glaube ich, ist schon der erste Tipp. Aber was kann man selbst tun, um da unabhängiger zu werden?

Dennis-Kenji Kipker: Also es kommt vor allen Dingen bei Privatpersonen darauf an, dass man einfach mal schaut, welche Art von Software benutze ich überhaupt zum einen. Und was für Hardware habe ich vor allen Dingen auch in meinen Haushalten. Ich glaube, das ist schon fast das größere Problem bei vielen Privatpersonen, weil Hardware ja oftmals auch, gerade IoT-Devices, nicht aus der Europäischen Union stammt und vielfach natürlich auch über billige Importe, beispielsweise aus der Volksrepublik China, hier nach Deutschland dann eingeführt wird. Und da teilweise Funktionalitäten drin sind, die nicht immer erkennbar sind. Teilweise ist es auch schon so gewesen, dass auf Smartphones, auf günstigen Smartphones Schadsoftware installiert gewesen ist, ohne dass dies feststellbar gewesen ist ab Werk. Und da kann man eigentlich vielen Privatpersonen nur empfehlen, möglichst auf diese Black Boxes im Haushalt zu verzichten. Das heißt also, Hardware oder Software von Drittanbietern einfach zu kaufen, die aus dem Ausland stammen, die zwar vielleicht funktionieren, aber man weiß nicht, welche Daten die erheben, wo die Daten hingeschickt werden. Und vielleicht, um das noch mal auf das Softwarethema zu beziehen, da auch einfach zu schauen – und digitale Souveränität hat natürlich auch viel mit Cybersicherheit zu tun: Wo kommt eigentlich diese Software genau her? Und nur weil sie gut bewertet ist, heißt das nicht, dass sie auch Datenschutz und Datensicherheit wahrt. Und man kann eigentlich alle nur davor warnen, auch Software zu installieren von außerhalb der App-Stores beispielsweise.

Magdalena Oehl: Jetzt gehörst du zu den wenigen Kindern, die schon mit sechs Jahren einen Computer auseinandergebaut haben. Wie passt denn eigentlich dieser technische Hintergrund noch zu unserer juristischen Ausbildung? Also das, was du gerade machst, erfordert einen technischen Hintergrund. Was müsste sich ändern, damit man das stärker miteinander verbinden kann?

Dennis-Kenji Kipker: Also das ist eine sehr gute Frage, und wir sehen vielfach, dass die juristische Ausbildung, die ja seit Jahrzehnten klassischerweise dieselbe geblieben ist, an ihre Grenzen kommt. Weil, also beim Datenschutzrecht, da geht das noch, weil da viel juristisch bewertet werden muss. Also was ist ein gesetzlicher Erlaubnistatbestand? Was ist eine Einwilligung? Wie müssen Betroffenenrechte geltend gemacht werden? Das ist sehr juristisch an der Stelle. Beim Cybersecurity-Recht, da geht es beispielsweise darum, dass ein Unternehmen verpflichtet ist, bestimmte Sicherheitsmaßnahmen umzusetzen. Aber da muss ich natürlich auch als Jurist bewerten können: Was ist denn jetzt eigentlich der Stand der Technik? Und nur wenn ich den einhalte, kann am Ende nicht gesagt werden, ich habe fahrlässig gehandelt und falle möglicherweise in eine Haftung rein als Unternehmen. Die Verantwortlichkeit und das sind Fragestellungen, die sind hochtechnisch an der Stelle, und das hat erst mal relativ wenig mit Juristerei zu tun. Und man sieht es halt mittlerweile auch, dass sich viele Anwälte da auch schwertun, diesen Spagat zwischen juristischer Compliance und der Auslegung von eigentlich technischen Vorschriften hinzubekommen. Es gibt mittlerweile auch Möglichkeiten, Fortbildungen zu machen und so weiter. Aber das ist natürlich immer on top der juristischen Ausbildung. Und da muss ich leider auch irgendwo konstatieren, dass die juristische Ausbildung meiner Meinung nach nicht mehr den aktuellen Marktgegebenheiten genügt. Also gerade im Bereich Cyber-Sicherheit ist das ganz klar feststellbar, weil da auch deutlich ist, dass nicht jeder Jurist – ich verwende jetzt bewusst diesen offenen Begriff Jurist – am Ende auch als Anwalt oder Richter tätig wird oder dementsprechend auch eine Zulassung haben will, sondern vielfach eben beispielsweise auch in IT-Abteilungen von Unternehmen am Ende tätig ist und dann dabei unterstützen muss an der Stelle, welche Maßnahmen denn letzten Endes ein Unternehmen umsetzen muss im Bereich der technischen Sicherheit, um compliance-konform mit diesen ganzen gesetzlichen Regularien zu sein, die in den letzten Jahren auf den Markt gekommen sind. Und da würde ich mir einfach viel stärker auch schon in der Ausbildung wünschen, dass angehende Juristinnen und Juristen darauf aufmerksam gemacht werden, dass eben auch die Berufsfelder sich nicht nur in den klassischen Bereichen bewegen, sondern eben auch vielfach andere Kompetenzen mittlerweile gefragt sind und man sich da durchaus die Frage stellen darf. Also mal angenommen, man hat dann sein erstes juristisches Examen oder einen Master, wenn man jetzt eben auf Wirtschaftsrecht studiert, in der Tasche, ob es da nicht Sinn macht, beispielsweise anstelle einer zweijährigen Referendarszeit zu überlegen, ob man nicht einfach noch mal eine komplementäre Qualifikation sich besorgt. Das heißt also eben in den Bereich Business Management reingeht oder beispielsweise in den Bereich Informatik reingeht oder auch in den Bereich Cyber Security reingeht, wo es mittlerweile auch Masterstudiengänge gibt, die bedauerlicherweise aber oftmals nicht direkt für juristische Studienabschlüsse offen sind. Da haben wir noch ein erhebliches Problem, diese Interdisziplinarität, die auf dem Arbeitsmarkt immer mehr gefragt wird, herzustellen.

Magdalena Oehl: Du hast selbst auch Informatik zusätzlich zu Jura studiert, richtig?

Dennis-Kenji Kipker: Genau.

Magdalena Oehl: Hast du das nacheinander oder parallel?

Dennis-Kenji Kipker: Ja genau, also nebenher ist es leider nicht möglich, aber ich bin dann tatsächlich noch mal hergegangen nach meinem Studium und habe das Ganze dann noch mal hinterher studiert. Das ist nämlich genau dieser Aspekt, zu sagen: Mache ich jetzt irgendwie klassisch juristisch weiter und bilde mich dann irgendwie nebenher in dem Bereich oder in meiner Freizeit fort oder versuche dann eben ganz konkret ein Hochschulstudium noch mal anzuschließen? Das ist sicherlich nicht immer notwendig. Das muss man vielleicht dazu sagen. Es gibt einige wenige Juristen, ich kenne auch einige, die eben beides an der Stelle studiert haben. Aber das ist nicht zwingend notwendig, jetzt ein komplettes Informatikstudium oder Ähnliches hinterherzuziehen.Hier ist die zweite Hälfte des Transkripts, ebenfalls korrigiert (Rechtschreibung, Zeichensetzung) und mit den Sprecherzuordnungen versehen. Der Satzbau und die Grammatik wurden, wie gewünscht, nicht verändert. Es gibt, wie gesagt, auch gute Masterstudienprogramme, die sich mit technischen fachlichen Inhalten befassen, aber dann auch dementsprechend nicht ganz so lange dauern.

Magdalena Oehl: Ja genau, dieses lange Dauern, glaube ich, ist ein wichtiger Aspekt. Das Jurastudium ist ja an sich schon ein sehr langes Studium im Verhältnis zu anderen Studiengängen. Das schreckt natürlich auch viele ab, danach noch mal eine Ausbildung dranzuhängen, wie auch immer die dann genau aussieht, sei das jetzt ein Master oder wirklich noch mal ein Hochschulstudium. Und ich glaube, da beißt sich die Katze natürlich auch wirklich so ein bisschen in den Schwanz, weil... Genau diese Expertise bräuchten wir aber, um dann schneller in diese Themen einsteigen zu können. Und gleichzeitig werden sich nicht viele trauen, diesen Schritt zu gehen.

Dennis-Kenji Kipker: Ja, also ich glaube, da muss man eben auch einfach schauen. Es ist so, wenn ich mit dem Studium, mit dem Jurastudium durch bin, viele wollen dann auch erst mal Geld verdienen, was ja auch völlig legitim ist und auch notwendig ist. Da macht es aber vielleicht auch mal Sinn zu schauen, welche berufsbegleitenden Angebote gibt es. Und das wird eben oftmals auch durch Arbeitgeber unterstützt. Dann zu sagen, vielleicht zwei Tage in der Woche studiere ich und drei Tage in der Woche gehe ich dann arbeiten. Weil man natürlich dann auch jemanden am Ende hat, der ein superspannendes Profil hat, womit man auch als Arbeitgeber sehr, sehr viel anfangen kann. Und das ist, glaube ich, etwas, was ich an der Stelle dann empfehlen würde, weil es gibt noch nicht diese Interdisziplinarität, Recht und Technik ab Werk, wie man sie sich eigentlich wünschen würde. Und da muss man nach wie vor noch Workarounds finden. Aber ich hoffe zumindest, dass die Hochschulen, dass die Universitäten diesen Bedarf auch in Zukunft viel, viel stärker erkennen und sagen, wir müssen auch dafür Sorge tragen, wir müssen die Studierenden auch darüber informieren, dass es solche Angebote gibt, und da, finde ich, wird noch viel zu wenig getan in dem Bereich.

Magdalena Oehl: Und ihr habt ja, glaube ich, auch ein Programm an eurem Forschungsinstitut, das Young Talents Programm. Was kann man sich darunter vorstellen und kann man sich da vielleicht auch bewerben?

Dennis-Kenji Kipker: Ja, also da können sich – klar, da können sich alle drauf bewerben, die eben an dieser Schnittstelle Recht, Technik im Bereich Cyber Security, digitale Resilienz arbeiten. Der Hintergrund ist, dass wir genau das leben, was wir – oder fördern, was wir eigentlich dann auch erreichen wollen. Das heißt, wir wollen insbesondere auch Menschen mit juristischen Studienabschlüssen die Perspektive geben, sich mit Unternehmen zu vernetzen, die aus dem technischen Bereich kommen. Wir wollen ihnen die Möglichkeit geben, entsprechende Menschen in dem Bereich kennenzulernen. Laden sie auch beispielsweise zu Veranstaltungen ein und bieten auch gezielte Förderungen an. Das heißt, wenn Einzelfallfragen vorhanden sind, wenn es um Bachelorarbeiten geht, Masterarbeiten, Studienarbeiten, dass man da auch gezielt vernetzt. Das ist an der Stelle unser Ansatz. Und tatsächlich ist es auch so, dass wir aus diesem Young Talents Programm selbst Menschen übernommen haben, die bei uns jetzt am Cyber Intelligence Institute als Wissenschaftler tätig sind und arbeiten. Aber genauso ist es auch, dass wir zum Beispiel auch Informatiker haben oder Menschen aus technischen Berufen, die sagen, ich möchte das Juristische jetzt kennenlernen. Das wird ja auch nicht so richtig wahrgenommen teilweise, weil ich muss ja auch dann irgendwie, wenn ich technischer Berater sein will, irgendwie auch juristische Hintergründe haben, weil es wird sofort gefragt, wie bin ich denn jetzt beispielsweise mit der NIS-2-Richtlinie konform oder nicht? Und das muss man ja auch irgendwo ansatzweise bewerten können. Das heißt, wir sehen die Bedarfe in beide Richtungen. Und das ist eben auch das, was wir mit diesem Young Talents Programm am Cyber Intelligence Institute abzudecken versuchen.

Magdalena Oehl: Lass uns auch noch mal kurz zur öffentlichen Anhörung im Bundestag zum Thema hybride Resilienz kommen. Was steckt denn da genau dahinter?

Dennis-Kenji Kipker: Ja, also genauso wie wir sagen müssen, wir leben in einer geänderten geopolitischen Bedrohungslage, hat sich, glaube ich, auch die Bedrohungslage im Allgemeinen verändert. Also wo wir auch in den letzten Jahren gesagt haben, Cyberbedrohung, das ist das Maß der Dinge, erleben wir mehr und mehr auch, dass es auch um physische Bedrohungen geht. Also Sabotage beispielsweise hat sich in den letzten Jahren zu einem sehr, sehr großen Themenfeld entwickelt. Und wir haben dort zur Zeit im Gesetzgebungsverfahren – da hat die Anhörung im Bundestag am 1. Dezember stattgefunden letzten Jahres, wo ich auch als Experte dabei war. Und das wird eben durch eine europäische Critical Entities Resilience Directive umgesetzt, die CER-Richtlinie, die zur Zeit auf nationaler Ebene leider mit Verspätung in ein sogenanntes KRITIS-Dachgesetz umgesetzt wird. Da geht es darum zu definieren für kritische Infrastrukturen, also zum Beispiel bei der Energieversorgung, Wasserversorgung, Stromversorgung : Wie können die eigentlich ihre physische Infrastruktur, also zum Beispiel Kabeltrassen, Bahnanlagen , davor schützen, dass eben Dritte, also Kriminelle in erster Linie, Aktivisten ja, das sabotieren, außer Gefecht setzen, außer Funktion setzen? Und das ist etwas, was eine ganz große Rolle spielt. Und man kann eigentlich sagen, seit dem Jahr 2020, das ist so ein bisschen der Schnittpunkt für mich, hat sich ja viel im Bereich der hybriden Bedrohung da getan. Also Corona-Pandemie mit dem Thema Desinformation, Russland-Ukraine-Krieg – wir hatten den Krieg – jetzt reden wir über die geopolitischen Spannungen zwischen Taiwan und der Volksrepublik China, die ja auch nicht weniger werden, wo ja auch Truppenübungen etc. stattfinden. Das ist alles etwas, was auf diese hybride Bedrohungslage einzahlt und damit verbunden, vielleicht auch noch mal von dem Thema Sabotage weg, Halbleitersouveränität. Also Halbleiter kommen ja größtenteils in der Entwicklung und Fertigung aus Fernost und da sind auch die Vereinigten Staaten nach wie vor von abhängig. Und die Europäische Union beispielsweise hat schon im Jahr 2022 eine entsprechende Strategie veröffentlicht, die dann teilweise jetzt auch in das nationale Recht umgesetzt wird. Das heißt also auch diese ganzen geopolitischen, geökonomischen Umwälzungen, die finden mittlerweile auch Eingang in das Recht. Also das ist ein hochdynamisches Rechtsgebiet, das Cybersecurity-Recht.

Magdalena Oehl: Wie ist denn deine Einschätzung auch zu den noch recht aktuellen Geschehnissen in Berlin, wo plötzlich auch ganze Stadtteile lahmgelegt wurden, was Heizungen anging?

Dennis-Kenji Kipker: Also man kann, glaube ich, relativ klar sagen, dass wir unvorbereitet sind oder verhältnismäßig unvorbereitet sind und die Krisenreaktionsmaßnahmen, die haben ja auch relativ lange gedauert, gemessen auch an der großen Zahl an Menschen, die betroffen gewesen sind und zu den erheblichen wirtschaftlichen Schäden, zu denen das Ganze auch geführt hat. Und wir haben einfach festgestellt, wir haben zu wenig für Redundanz im Bereich der physischen Infrastruktur getan. Und das liegt natürlich einerseits daran, dass das Gesetzgebungsverfahren so lange aufgeschoben wurde. Also wenn wir ein vernünftiges KRITIS-Dachgesetz im Rahmen der Umsetzungsfrist schon gehabt hätten, wäre es vielleicht nicht ganz so schlimm gewesen, wie es sich tatsächlich jetzt vor kurzem in Berlin dargestellt hat. Aber durch ein Gesetz allein kann man natürlich nur begrenzt mehr Resilienz bringen. Das heißt, es braucht auch die Erkenntnis bei den Betreibern von kritischen Infrastrukturen, wie wichtig das Ganze ist. Und das war in der Vergangenheit eben nicht so richtig der Fall, obwohl wir schon verschiedene Sabotageakte natürlich auch hatten, was Hochspannungsleitungen anbelangt hat oder beispielsweise auch Bahntrassen in Norddeutschland im Herbst 2022, wo dann quasi der gesamte Zugverkehr im Norden Deutschlands lahmgelegt ist.

Magdalena Oehl: Was glaubst du, sind da die wichtigsten Maßnahmen, die jetzt passieren müssen?

Dennis-Kenji Kipker: Also ich glaube, wir müssen als Erstes überhaupt mal bestimmen, inwieweit unsere kritische Infrastruktur voneinander abhängig ist. Weil, was in Berlin auch das Problem gewesen ist, sind sogenannte Kaskadeneffekte. Das heißt, wo kein Strom ist – und Strom ist ja die Urversorgung, die Urproduktion, weil nichts läuft ohne Strom. Mittlerweile funktionieren auch andere kritische Infrastrukturen nicht und das wurde ja lang und breit in Berlin diskutiert bei dem Thema Mobilfunkversorgung, Telekommunikationsversorgung. Das ist der nächste wichtige Sektor. Wenn ich keine Telekommunikation habe, kann ich ja nicht mal Zahlungen vornehmen beispielsweise. Einkäufe können nicht erledigt werden und so weiter und so fort. Und das ist ein ganz großes Problem, dass vor allen Dingen die kritischen Infrastrukturen in ihrer Sicherheit einzeln betrachtet werden, aber eben nicht in der Gesamtheit. Das heißt, das ist etwas, was wir definitiv angehen müssen. Dazu haben wir am Institut auch ein neues Forschungsprojekt, was jetzt zum 1. Februar startet, wo wir insbesondere so diese Interdependenzen zwischen Energieversorgung, weiteren Bereichen – also wie gesagt, Telekommunikationsversorgung, Informationstechnologie, aber auch Versorgung mit Nahrungsmitteln, Logistik, Transport und Verkehr – ganz klar rausarbeiten wollen und dann so eine Art Terminal auch erstellen wollen, wo man dann klar erkennen kann, wo bestehen Interdependenzen und wo besteht auch vielleicht eine kritische Versorgungslücke oder könnte sie drohen, damit beispielsweise auch Behörden wie so ein Bundesamt für Bevölkerungsschutz und Katastrophenhilfe dabei geholfen werden kann, rechtzeitig Gegenmaßnahmen einzuleiten.

Magdalena Oehl: Jetzt können wir über das Thema, das du beackerst, eigentlich gar nicht sprechen, ohne auch einmal kurz über KI gesprochen zu haben. Wie siehst du denn, wie sich die Bedrohungslage auch durch AI-KI noch mal verändert?

Dennis-Kenji Kipker: Ja, da hat sich schon einiges getan. Also genauso wie sich irgendwie Privatpersonen, Studierende oder Unternehmen AI zunutze machen, um irgendwie produktiver und effizienter zu arbeiten, können das natürlich auch genauso gut organisierte Cyberkriminelle tun, indem sie zum Beispiel Codeschnipsel durch KI schreiben lassen, indem sie beispielsweise Phishing-Mails, also für Social Engineering, vorformulieren lassen oder vielleicht sogar so weit gehen, wenn sie jetzt irgendwie mit einer Ransomware IT-Systeme eines Opfers verschlüsselt haben, nicht mehr selber mit dem Opfer verhandeln müssen über das Lösegeld, was zu zahlen ist, sondern dann einfach eine KI, quasi einen Chatbot, das Ganze übernehmen lassen. Und da hat sich wirklich sehr, sehr viel in den letzten Jahren auch getan. Und es geht aber nicht nur um Cyberkriminelle, sondern auch darum, wie wir natürlich selbst künstliche Intelligenz einsetzen. Und gerade im Hochschulkontext, wo ich jetzt auch diese Woche noch auf einer Anhörung im Landtag in Niedersachsen bin, geht es ja auch um die Frage, ob gängige Prüfungsformate, und das betrifft ja auch die Juristerei, wie zum Beispiel Hausarbeiten, noch ein vernünftiges Format sein können im Zeitalter, wo ich mir vieles auch durch KI recherchieren und generieren kann, um eben Leistungsnachweise durchzuführen.

Magdalena Oehl: Wie siehst du das?

Dennis-Kenji Kipker: Also, wir brauchen auf jeden Fall klare KI-Leitlinien an den Hochschulen. Vieles findet da völlig unreguliert statt. Das führt zu Unsicherheit bei den Lehrenden, Unsicherheit bei den Studierenden. Teilweise hört man auch, es müssen KI-Verbote irgendwie geschaffen werden. Das ist natürlich kein Weg, also man wird KI nicht verbieten können. Und schon jetzt nimmt KI in Lehre und Forschung einen großen Stellenwert ein und teilweise auch einen sehr nützlichen Stellenwert. Und es müssen einfach Leitlinien geschaffen werden, die vielleicht weniger das Ergebnis einer Arbeit in den Vordergrund stellen, sondern vielleicht auch die Struktur, die Systematik einer Bearbeitung. Es wird vielleicht auch darauf ankommen zu sagen, es müssen regelmäßige Zwischenstände erklärt werden und veröffentlicht werden oder von den Studierenden eben an die Lehrenden weitergegeben werden, damit eine Nachvollziehbarkeit der eigenen Denkleistung da auch entsteht. Das heißt, ich würde nicht mal sagen, dass bestehende Formate jetzt komplett obsolet sind, aber man muss vielleicht auch die Wertigkeit von Bewertungen, also was jetzt wirklich wichtig ist für eine Bewertung, so ein bisschen ändern in dem Bereich, dass es darum geht, Ergebnisse erklärbar zu machen und nicht nur Ergebnisse am Ende darzustellen.

Magdalena Oehl: Um aber auch positiv zu schließen: Wo siehst du denn gleichzeitig aber auch Potenziale, die Bedrohungslage auch wiederum durch AI einzudämmen?

Dennis-Kenji Kipker: Ja, das ist ein durchaus kritisch beleuchtetes Thema. Also natürlich, wir reden über AI und Cyber Security schon lange, bevor es Large-Language-Models gegeben hat. Also ich habe schon im letzten Jahrzehnt an Kapiteln bei Büchern geschrieben, wo es um die Frage ging, wie kann beispielsweise künstliche Intelligenz im Bereich der automatisierten Anomalieerkennung in Computernetzwerken unterstützen, oder wie kann künstliche Intelligenz automatisiert auf Vorfälle in Computernetzwerken reagieren, natürlich viel schneller als der Mensch. Die ganzen Debatten, die wurden schon im letzten Jahrzehnt nicht nur theoretisch geführt, sondern auch praktisch umgesetzt. Was man auch sagen muss, also sicherlich, KI hilft auch bei der Bedrohungserkennung, ersetzt aber letzten Endes nicht menschliche Expertise. Das heißt, wir sehen dieselben Grenzen von KI, die wir auch in vielen anderen Bereichen letztlich sehen. Also den Fachexperten bedarf es zurzeit immer noch, auch im Bereich der Cyber Security. Bei der letzten Entscheidung – die kann nicht durch eine KI getroffen werden, sondern die muss letzten Endes durch den Menschen getroffen werden. Und es ist halt so ein bisschen so ein Wettlauf, ja, also was überwiegt jetzt: KI-Cybersecurity oder KI-Angriffsvektoren oder Unterstützung von Cyber-Angreifern? Und ich glaube, da kann man zurzeit nicht sagen, dass das eine oder das andere überwiegt. Definitiv kann KI eingesetzt werden, um Cybercrime zu bekämpfen. Aber andererseits sehen wir eben auch, dass KI eingesetzt wird gezielt, um Cyberkriminalität zu begehen, und das in großem Ausmaß.

Magdalena Oehl: Und was sind da so die typischen oder die häufigsten Anwendungsfälle, die du jetzt gerade schon siehst?

Dennis-Kenji Kipker: Du meinst jetzt im Bereich?

Magdalena Oehl: Im Bereich Cybersecurity mit oder beziehungsweise Cyberkriminalität mit KI.

Dennis-Kenji Kipker: Ja, also Cyberkriminalität mit KI ist eben so, dass Phishing-Mails automatisiert erstellt werden können. Wie ich das eben auch schon gesagt hatte, dass man eben hingehen kann und einen Chatbot programmiert, der dann mit Ransomware-Opfern verhandelt, dass man Source Code, schädlichen Source Code, Malware durch KI generieren lässt, teilweise auch funktionsfähige Malware. Das sind so die Hauptanwendungsfälle in dem Bereich.

Magdalena Oehl: Seht ihr auch schon viel, was mit dem Bereich Deepfakes zu tun hat?

Dennis-Kenji Kipker: Ja, also definitiv. Also wo wir gerade eben über Desinformation gesprochen haben, da spielen natürlich Deepfakes eine ganz große Rolle. Man hat es das erste Mal so richtig, glaube ich, gesehen im Krieg in Nahost. Das war wirklich so ein KI-Desinformationskrieg, wo auch viele AI-generierte Videos, AI-generierte Bilder veröffentlicht wurden. Es hat teilweise sogar komplette Nachrichtensender gegeben, die nie existiert haben. Kein Studio, keine Moderatoren, keine Inhalte, wo einfach nur KI-generierte Inhalte laufend abgespielt worden sind. Und das ist etwas, was sehr, sehr schwer zu regulieren ist, weil es um internationale Sachverhalte geht, und zum anderen natürlich auch teilweise schwer für einen Betroffenen oder für einen Zuschauer zu erkennen ist, ob es sich wirklich um KI handelt oder eben nicht um KI-generierte Inhalte.

Magdalena Oehl: Lass uns doch noch damit abschließen, dass du uns vielleicht noch einen kleinen Ausblick gibst. Wie sieht das in drei bis fünf Jahren aus? Also was müssen wir jetzt tun, um da auch nicht in noch größere Probleme mit zu geraten?

Dennis-Kenji Kipker: Also ich glaube, wir müssen uns der Bedrohungslage bewusst werden. Das ist ganz wichtig. Und das fehlt an vielen Stellen noch. Also ich sehe teilweise, dass das Verständnis in der Politik fehlt, dass das Verständnis bei den mittelständischen Unternehmen fehlt. Und wir müssen einfach sagen: Wo wir im letzten Jahrzehnt viel digitalisiert und vernetzt haben – vielleicht in den letzten 20 Jahren, kann man sagen – geht es jetzt darum, diese Vernetzung funktionsfähig zu halten, datensicher zu halten und eben auch compliance-konform zu halten. Das heißt, das Jahrzehnt, in dem wir jetzt leben, ist eben das Jahrzehnt der digitalen Resilienz. Und diese digitale Resilienz, die wird nicht nur bis 2030 andauern, die wird auch noch locker bis 2035, 2040 andauern. Weil je stärker wir vernetzen und digitalisieren, umso vulnerabler werden wir natürlich auch. Wir sehen es ja an den Lieferketten. Letztes Jahr zum Beispiel, als der Berliner Flughafen außer Betrieb gesetzt war – nicht weil der Berliner Flughafen Opfer eines Cyberangriffs gewesen ist, sondern weil ein Unternehmen, ein Zulieferer quasi in der digitalen Lieferkette des Flughafens, grundlegende Cybersecurity-Maßnahmen unterlassen hat, kein vernünftiges Software-Patchmanagement installiert hat und dann auf einmal eine kritische Infrastruktur nicht nur in Deutschland, sondern europaweit nicht mehr funktioniert. Und da müssen wir einfach viel, viel stärker reinwägen. Deswegen ist es auch gut , dass wir zunehmend auch juristische, regulatorische Rahmenwerke dort bekommen seitens der Europäischen Union, aber auch seitens des nationalen Gesetzgebers. Und deswegen ist es auch wichtig, dass wir eben auch interdisziplinär agierende Juristen haben, die eben auch darauf hinweisen auf diese Problematik und Unternehmen auch effektiv dabei unterstützen können, diese Anforderungen umzusetzen. Weil wenn ich nicht weiß, was ich zu tun habe, wenn ich ein Gesetz vor mir liegen habe, dann sagen viele Unternehmen: Okay, ich verstehe das nicht, deswegen ignoriere ich das erst einmal.

Magdalena Oehl: Danke, Dennis, dass du heute deine Expertise zu diesem hochspannenden Thema mit uns geteilt hast. Ich habe extrem viel mitgenommen aus diesem Podcast. Vielen, vielen Dank.

Dennis-Kenji Kipker: Sehr gerne. Danke für die Einladung.