Verwundbar und sorglos
20. Mai 2015Vergangene Woche wurde ein Angriff auf das IT-System des deutschen Bundestages entdeckt. Wahrscheinlich waren auch Rechner der Bundesregierung Opfer des Cyberangriffes. Und erst im April hatte eine Umfrage des Branchenverbandes der digitalen Wirtschaft, BITKOM, ergeben, dass über die Hälfte der befragten deutschen Unternehmen bereits digital angegriffen worden sind. Der aktuelle NSA-BND Skandal und die Enthüllungen Edward Snowdens über die massive Ausspähung von Daten durch Geheimdienste haben ein Übriges getan: Das Thema Datensicherheit steht auf der Tagesordnung.
Den Bedrohungen und Gefahren aus dem weltweiten Netz widmete sich jetzt zum 14. Mal der IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik, BSI. Rund sechshundert Besucher füllten drei Tage die Stadthalle Bad-Godesberg: Männer in Uniformen, Männer mit Anzügen, Männer mit Glatzen, Männer mit Pferdeschwänzen – und nur sehr wenige Frauen. Zwischen 200 und 750 Euro haben die Vertreter von Behörden, Unternehmen, Forschungseinrichtungen oder Stiftungen bezahlt, um den größten Kongress zur IT-Sicherheit in Deutschland zu besuchen: Gelockt wurden sie von rund 50 Vorträgen und Podien zu Themen wie "Sichere mobile Kommunikation", "Recht und Datenschutz", "Sicheres Cloud Computing" oder auch einer Live-Hacking Vorführung.
De Maizieres Bedrohungsszenarien
Die Denkmalgeschütze Stadthalle aus den 1950er Jahren bot mit Ihrem etwas altertümlichen Charme einen seltsamen Kontrast zu den hypermodernen Fragestellungen, die sich aus der digitalen Durchdringung aller Lebensbereiche ergeben. Bundesinnenminister Thomas de Maiziere warnte in seiner Rede ausdrücklich vor den zunehmenden Verwundbarkeiten und machte einige Bedrohungsszenarien auf: "Ein Finanzplatz, der wegen eines IT-Fehlers in schwere Turbulenzen gerät. Der flächendeckende Ausfall eines Verkehrsleitsystems. Oder der Ausfall der Wasserversorgung in einer ganzen Region." De Maiziere kritisierte zugleich, dass digitale Verwundbarkeit vielerorts auf "digitale Sorglosigkeit" treffe.
Der Innenminister forderte zugleich von der Industrie, IT-Sicherheit bei der Entwicklung neuer Produkte von Anfang an mitzudenken – und zwar so, dass sie über den ganzen Lebenszyklus der Produkte erhalten bleibe. De Maiziere sieht auch Handlungsbedarf bei der Bundesregierung selbst: "Eine Ende 2013 durchgeführte Bestandsaufahme hat ergeben, dass die IT der unmittelbaren Bundesverwaltung mit ihren knapp 200 Behörden auf über 1300 Rechenzentren und Serverräumen an unzähligen Standorten verteilt ist." Diese zersplitterte IT-Landschaft will die Bundesregierung zusammenführen. Dazu will sie auch ein neues Rechenzentrum einrichten. Ein entsprechendes Konzept hat das Bundeskabinett bereits am Tag nach de Maizieres Rede gebilligt.
Industrie 4.0 lässt die Probleme wachsen
Die Probleme werden eher noch wachsen. Denn die digitale Durchdringung geht weiter. BSI-Präsident Michael Hange war der Trend hin zur Industrie 4.0 besonders wichtig. Weil hier ganze Wertschöpfungsketten von der Entwicklung über die Produktion bis zum Vertrieb über das Internet vernetzt werden: "Die große Herausforderung ist hier, das Maß an Sicherheit einzubringen, dass wir nicht nur Security erhalten, Sicherheit der Daten, sondern dass wir am Ende auch Security, Betriebssicherheit, erhalten," so Hange im Gespräch mit der DW.
Ein nächster Schritt soll die Verabschiedung eines IT-Sicherheitsgesetzes noch in diesem Sommer sein. Der Entwurf dazu wird bereits im Parlament beraten. Einer der wesentlichen Punkte befasst sich mit den Betreibern von sogenannten kritischen Infrastrukturen – etwa Strom-, Wasser-, Energieversorger oder Branchen wie Verkehrstechnik, Telekommunikation oder Finanzwesen. Der BSI-Präsident erläutert, dass hier jetzt reguliert werde: "Wir machen das so, dass die Branchen gemeinsam Mindeststandards entwickeln aber auch erhebliche Sicherheitsvorfälle melden müssen an das BSI."
350 Millionen Schadprograme
Das BSI veranstaltet die IT-Sicherheitskonferenz alle zwei Jahre. Im Unterschied zu früheren Konferenzen, so Teilnehmer auf den Fluren, sei der Glaube an einfache Lösungen abhanden gekommen. Häufig ist deshalb in Bonn von Risikomanagement die Rede oder von Schadensminimierung. Angesichts von rund 350 Millionen Schadprogrammen und von etwa 4,5 Millionen speziell für Smartphones entwickelter Malware muss man ständig mit Angriffen rechnen. Für Thomas Tschersich, Leiter IT-Sicherheit der Deutschen Telekom, ließen sich wenigstens die häufigsten Gefahren deutlich reduzieren: Die gehen von Schwachstellen in Softwareprodukten aus. Die von den Herstellern angebotenen Softwareupdates würden aber häufig nicht eingespielt, klagt Tschersich: "Softwareupdates sind meines Erachtens der Schlüssel für mehr Sicherheit. Die würden 90 Prozent unserer Probleme lösen."
Lösungen für mindestens einen Teil der übrigen 10 Prozent bieten zwei Dutzend IT-Sicherheitsunternehmen an, die auf den Fluren der Stadthalle ihre Stände aufgebaut haben. Es kommt fast so etwas wie Messe-Stimmung auf. Am Stand der Fraunhofer Gesellschaft zum Beispiel wird für ein Produkt geworden, dass dem Durchschnittsverbraucher die Verschlüsselung seiner Kommunikation näher bringen soll. Bislang war das vielen technisch weniger versierten Internetusern zu kompliziert. Dem wollen die Fraunhofer-Forscher mit dem Projekt Volksverschlüsselung begegnen. Was Innenminister de Maiziere nicht gefallen wird: Die laientaugliche Software ermöglicht eine Verschlüsselung, die auch von den Sicherheitsbehörden nicht ohne weiteres zu knacken sein wird.