Interview: ING-DiBa zum neu gegründeten Verein G4C zur Bekämpfung von Computerkriminalität
Der neu gegründete Verein „German Competence Centre against Cyber Crime e.V.“, kurz G4C genannt – ist eine von privaten Wirtschaftsunternehmen getragene Initiative gegen Computerkriminalität. Im G4C haben sich Commerzbank, ING-DiBa und HypoVereinsbank sowie die Kooperationspartner Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammengeschlossen. kartensicherheit.de sprach mit Heiko Wolf, einem der Vereinsvorstände des G4C und Ressortleiter Information Risk Management bei der ING-DiBa AG.
kartensicherheit.de: Herr Wolf, wer hatte die Idee, den Verein zu gründen und was war die Antriebsfeder?
Heiko Wolf: Die Motivation für die Gründung des Vereins war das steigende Bedrohungspotenzial durch Cyberkriminalität und die Erkenntnis, dass eine erfolgreiche und effiziente Bekämpfung nur durch eine enge Kooperation zwischen den Betroffenen und den Strafverfolgungsbehörden geschehen kann. Industrie und Behörden können durch den Verein in einer in dieser Form einmaligen „institutionalisierten public-private partnership“ unter einem Dach kooperieren.
„G4C“ steht für „German Competence Center against Cybercrime e.V.“ Was versteht der Verein unter „Cybercrime“ bzw. welche Angriffsszenarien sind damit gemeint?
Grundsätzlich werden im Verein alle Angriffsszenarien rund um das Thema Informationssicherheit und Netzkriminalität adressiert. Im Bankenbereich reden wir hier primär über die Angriffe auf das Online Banking und Kartengeschäft sowie über Cyberangriffe auf Geldautomaten.
Aktuell fokussieren wir uns auf das Thema Advanced Persistent Threats (APT), also fortgeschrittene und gezielte Bedrohungsszenarien, die auch Unternehmen abseits der Finanzindustrie verstärkt betreffen.
Auf welchen Zweck ist der Verein ausgerichtet bzw. wer profitiert alles von dem Verein?
Der Verein ist gemeinnützig, eine Gewinnerzielungsabsicht gibt es daher nicht. Die Vereinsmitglieder profitieren von den gemeinsamen Arbeitsergebnissen, dem Austausch von Best Practices oder den engen persönlichen Kontakten zum Bundeskriminalamt oder dem Bundesamt für Informationssicherheit. Eine vertrauensvolle Zusammenarbeit im selben Gebäude macht offene Gespräche leichter und Prozesse effizienter.
Wir konnten lesen, dass zu den Gründungsmitgliedern des Vereins die Commerzbank AG, die Hypo Vereinsbank und die ING-DiBa zählen. Für welche Unternehmen/Institutionen könnte eine Teilnahme als Mitglied im Verein interessant sein?
Grundsätzlich ist der Verein für alle Unternehmen interessant, die der Gefahr der Cyberkriminalität ausgesetzt sind – damit ist es eigentlich einfacher Unternehmen aufzuzählen, für die der Verein nicht interessant ist. So gut wie jedes Unternehmen besitzt heute IT-gestützte Prozesse und schützenswertes geistiges Eigentum. Der G4C ist daher für ein breites Spektrum an Unternehmen potenziell interessant, unabhängig von Branche und Größe. Auch wissenschaftliche Organisationen sind willkommen.
Wie kann ein Institut Mitglied werden? Welche Voraussetzungen müssen erfüllt sein und wie ist die Beitragsordnung im Verein?
Voraussetzung für Aufnahme ist eine grundsätzliche Bereitschaft zur aktiven Mitarbeit und zum Informationsaustausch. Wir verstehen uns als operativ tätiger Verein, in dem auch konkrete Arbeitsergebnisse entstehen – daher ist die aktive Mitwirkung der Mitglieder eine wichtige Voraussetzung für die Mitgliedschaft.
Die Beitragsordnung ist nach Unternehmensgröße gestaffelt, aktuell arbeiten wir zusätzlich auch noch an speziellen Mitgliedschaftsmodellen. Details können gern beim Verein direkt erfragt werden.
Wo kann ein interessiertes Unternehmen die Satzung des Vereins einsehen?
Die Vereinssatzung schicken wir Interessenten gern auf Anfrage zu.
Sie unterscheiden zwischen Mitgliedern und Kooperationspartnern. Ihre Kooperationspartner sind momentan zwei Behörden: das BKA und das BSI. Können Sie uns das Zusammenspiel zwischen Mitgliedern und Kooperationspartnern näher erläutern?
Die Vereinsmitglieder aus dem Bereich der Privatwirtschaft stellen den Kern des Vereins. Die Mitglieder tauschen Erkenntnisse aus und arbeiten gemeinsam an Maßnahmen zum Schutz vor Cyberkriminalität. Die Kooperationspartner liefern zusätzlichen Input mit Ihrem übergreifenden Blick über die Cyberkriminalität sowohl in Deutschland als auch über Kontakte wie beispielsweise zu Europol auf internationaler Ebene. Außerdem stehen Sie als direkte Ansprechpartner für die Strafverfolgung zur Verfügung.
Was sind die kurz-, mittel- und langfristigen Ziele der Kooperation? Können Sie Ihre Arbeit vielleicht an einem Beispiel verdeutlichen?
Ein mittelfristiges Ziel besteht in der Ausarbeitung von attraktiven Produktangeboten im Bereich der Advanced Persistent Threats, daran arbeiten wir aktuell mit Hochdruck. Dies unterstützt auch gleichzeitig unser langfristiges Ziel, das Vereinswachstum weiter voranzutreiben und neben Mitgliedern aus der Finanzwirtschaft weitere Partner aus anderen Bereichen zu akquirieren. Nur durch Partnerschaften aus den diversen Bereichen der Verwertungskette von Cyber- Kriminellen kann es uns gelingen, effektiv gegen diese vorzugehen.
Cybercrime ist ein über die Länder grenzüberschreitendes Thema. Wie und für welche Themen möchten Sie die länderübergreifenden Kompetenzen ausweiten?
Wir verstehen uns zum jetzigen Zeitpunkt als deutscher Verein, der lokal Potenzial entfalten kann um aktuell noch ungenutzte Synergien in der Zusammenarbeit auszuschöpfen. Nichtsdestotrotz sind wir auch an internationalen Partnerschaften interessiert. Konkrete Gespräche oder Vorhaben gibt es hier aktuell aber noch nicht. Die aktuellen Vereinsmitglieder sind über ihre Konzerngesellschaften allerdings auch international vertreten und bringen dies in die Arbeit mit ein.
Welche Qualifikationen erwarten Sie von den Vertretern der Mitglieder?
Eine gewisse Grundkompetenz im Bereich der Informationssicherheit sollte natürlich vorhanden sein. Da die Vertreter der Unternehmen aber als Single Point of Contact dienen, wird Spezial-Expertise bei Bedarf ohnehin aus den Häusern in den Verein geholt – niemand kann alles wissen. Wichtiger als Expertenwissen sind daher gute Vernetzung im Unternehmen sowie eine gewisse Kompetenz, Ressourcen punktuell für den Verein zur Verfügung stellen zu können (z.B. im Rahmen von themenspezifischen Workshops).
Herr Wolf, wir bedanken uns für das Gespräch