Mehr IT-Sicherheit ist möglich, aber sie kostet Geld. Das sparen sich die Unternehmen gerne, so lange niemand davon erfährt, was bei ihnen in Sachen Sicherheit alles schiefgeht. Dies war eines von vielen interessanten Ergebnissen des öffentlichen Expertengesprächs zum Thema „Sicherheit im Netz“, das die im Rahmen der Enquetekommission „Internet und digitale Gesellschaft“ arbeitende Projektgruppe „Zugang, Struktur und Sicherheit“ gestern im Deutschen Bundestag veranstaltet hat. Sechs Experten diskutierten mit den Parlamentariern und Sachverständigen über angebliche und tatsächliche Bedrohungen für Bürger, Unternehmen und staatliche Einrichtungen im Internet.
Jochen Schiller vom Institute of Computer Science der FU Berlin wies darauf hin, dass die Fakten zum Thema IT-Sicherheit bekannt seien, aber nicht beherzigt würden. Dies untermauerte der von der LINKEN als Experte benannte IT-Security Analyst Thorsten Schröder mit Berichten aus seiner eigenen Erfahrung. Als externer IT-Sicherheitsprüfer finde er sich immer wieder in der Situation, seine Prüfergebnisse gegenüber den Unternehmen verteidigen zu müssen. Diese gäben Fehler oft nicht zu, sondern versuchten im Gegenteil, sie zu vertuschen. Teilweise seien den Verantwortlichen aber auch die Hände gebunden, weil Softwarehersteller mit dem Verlust der Produktgarantie drohten, falls Sicherheitspatches installiert würden. Dies sei ihm beispielsweise bei einem großen Energieversorger begegnet, erzählte Schröder. Andreas Könen vom Bundesamt für Sicherheit in der Informationstechnik plädierte in diesem Zusammenhang für eine bessere Ausbildung der IT-Sicherheitsbeauftragten. Schröder hielt dem entgegen, das Problem mit IT-Beauftragten, die im Unternehmen selbst arbeiten, sei eher, dass diese kein Geld hereinbrächten, das Unternehmen aber finanzielle Ressourcen kosteten. Insofern hätten sie strukturell einen schlechten Stand.
Diskutiert wurde, ob man Unternehmen Informationspflichten auferlegen, sie also verpflichten sollte, im Falle eines Problems mit der Datensicherheit die betroffenen Kunden unverzüglich zu informieren. Dirk Heckmann von der Forschungsstelle für IT-Recht und Netzpolitik befürwortete dies ausdrücklich. „Ich möchte mich nicht blamieren, weil das bei mir passiert ist“, dürfe nicht der einzige Grund sein, der gegen eine solche Regelung spreche. Sicherheitsforscher Sandro Gaycken von der FU Berlin pflichtete bei. Eine „Disclosure“-Pflicht sei das Einzige, wovor die Unternehmen wirklich Angst hätten, so Gaycken.
Offensichtlich wurde jedoch auch, dass man mit Informationspflichten allein nicht alle Probleme lösen kann. Mirko Manske vom Bundeskriminalamt wies darauf hin, dass viele Sicherheitsprobleme entstünden, weil Unternehmen Geld sparen wollten. So hätten die Banken das Onlinebanking nicht etwa eingeführt, weil es ein besonders sicheres System sei, sondern um Filialen schließen zu können. Es sei gut möglich, dass die öffentliche Verwaltung diesem Beispiel folgen und den Bürgerkontakt zunehmend auf unsichere Kanäle verlagern werde. Es sei auch schon vorgekommen, dass Kriminelle die per Elsterformular übermittelten Steuerdaten abgefangen hätten.
Kosteneinsparungen gingen stets zu Lasten der Sicherheit, bestätigte IT Security Analyst Schröder. Dies sei umso bedenklicher als die Kosten für die digitalen Angriffswerkzeuge immer geringer würden. Ein Gerät zum Abfangen von auf Handys verschickte mTANs sei heute für gerade mal 400 Euro zu haben.
Die Binsenweisheit, dass es eine hundertprozentige Sicherheit nicht geben kann, erfuhr gegen Ende der Diskussion noch einmal eine ganz neue Dimension. Sicherheitsforscher Sandro Gaycken wies darauf hin, dass Kriminelle es zunehmend darauf anlegten, bereits die Entwicklungsabteilungen der Hard- und Softwarehersteller zu infiltrieren, um „früh in den Produkten drin zu sein“. Viele technische Verfahren seien schon deshalb nicht vertrauenswürdig, weil der Großteil der in Deutschland eingesetzten Hardware und Software aus den USA und aus China stamme. Die Integrität solcher Produkte sei für deutsche Nutzer letztlich nicht zu kontrollieren – in den USA sei die Beteiligung der Geheimdienste an der Entwicklung sogar gesetzlich legitimiert.
Angesichts der hohen öffentlichen Aufmerksamkeit, die das Thema Cyberwar in den letzten Monaten erfahren hat, ist zu begrüßen, dass die gestrige Expertenrunde sich nicht auf die boulevardträchtigsten Themen eingeschossen, sondern fundiert und sachbezogen diskutiert hat. Ob die Politik die von den Experten aufgezeigten Lösungsansätze tatsächlich aufgreifen wird, bleibt jetzt abzuwarten.
[…] sind mit dem Entwurf die von IT-Experten geforderten Meldepflichten für Sicherheitsvorfälle unter den Tisch gefallen. Unternehmen können solche anonym an das […]