„Die Lage im Cyber-Raum eskaliert!“ – so beschrieb der oberste IT-Sicherheitsfachmann der Bundesregierung, BSI-Präsident Michael Hange, anlässlich der offiziellen Eröffnung des Nationalen Cyber-Abwehrzentrums am 16. Juni 2011 die Bedrohungslage im Cyberraum.
Denn ob privat oder beruflich, das Internet durchdringt unser tägliches Leben heutzutage mehr denn je. Längst sind Unternehmen und Verwaltung im Tagesgeschäft fast vollständig von IT-Technologie abhängig. Neben einem signifikanten Wachstumspotential für die deutsche Wirtschaft – Stichwort Industrie 4.0 und eGovernment - eröffnet die zunehmende Digitalisierung unserer Gesellschaft aber auch ganz neue Bedrohungspotentiale für Staat, Bürger und Wirtschaft.
In Kooperation mit der T-Systems International GmbH veranstaltete die Bundesakademie am 30. und 31. Oktober daher zum sechsten Mal eine Konferenz zum Themenkomplex Cybersicherheit. Unter dem Titel »Catch me if you can - Identitäten im Netz« befassten sich Experten und Entscheidungsträger aus Wirtschaft, Verwaltung und Zivilgesellschaft dieses Jahr besonders mit den Gefahren durch den Missbrauch von digitalen Identitäten, also den Möglichkeiten, sich selbst und seine - leider nicht immer nur gutartigen - Aktivitäten im Cyberraum erfolgreich zu verschleiern.
Im Rahmen seiner einleitenden Dinnerspeech zur Auftaktveranstaltung am Abend des 30. Oktober führte Dr. Bernhard Rohleder, Hauptgeschäftsführer der BITKOM e.V., die Teilnehmer an die komplexe Thematik heran. Ausgewiesene Experten aus BSI, BMI, großen deutschen und amerikanischen IT-Unternehmen, sowie der Forschung gaben den Teilnehmern am folgenden Tag weiterführende Einblicke in aktuelle Bedrohungslagen sowie Entwicklungen im Bereich der Cyberkriminalität und präsentierten auch Lösungsansätze.
Die Referenten führten übereinstimmend aus, dass sich die Möglichkeiten zum Schutz gegen Cyberattacken über die letzten Jahre merklich verbessert hätten. Mit den heute am Markt verfügbaren Sicherheitsprodukten könne man sich bereits gegen 90 Prozent der Bedrohungen effektiv schützen. Gleichzeitig mahnte andererseits ein Insider, dass sich ebenfalls eine zunehmende Professionalisierung der Hackerszene beobachten lasse.
Unterschiedliche Einschätzungen gab es allerdings bei der Sensibilisierung gegenüber Bedrohungen aus dem Netz. Während ein hochrangiger Vertreter aus der Wirtschaft erklärte, dass „Cybersecurity heute durchaus bereits Vorstandssache“ sei, sah ein ausgewiesener Experte im Bereich IT-Sicherheit immer noch „zu viele Quasselbuden, bei denen in Wirklichkeit aber wenig getan wird.“ Was fehle, sei ein Bewusstsein dafür, dass Sicherheit kein Produkt sei, welches man einfach einkaufen könne, sondern ein Gesamtkonzept erfordere, das zunächst eine angemessene Sensibilisierung, sodann neue Prioritätensetzungen und schließlich eine Abkehr von angestammten Gewohnheiten beinhalten müsse. Denn gerade die Unwissenheit und Bequemlichkeit von Nutzern bilde nach wie vor ein bedeutsames Risiko, das auch die besten Sicherheitslösungen zwecklos mache.
Nicht zuletzt vor diesem Hintergrund wurde in der abschließenden Diskussion besonders das Spannungsfeld zwischen Sicherheit und Praktikabilität deutlich, was von den Referenten als ein Hauptproblem für den oftmals unzureichenden Schutz angesehen wurde. Viele der verfügbaren Sicherheitslösungen und Produkte würden die Nutzer nicht abholen, IT-Sicherheit sei immer noch zu schwer zugänglich, es fehle an Lösungen, Sicherheit und Benutzerfreundlichkeit zu kombinieren, lautete der Konsens der Experten. Dies zeige sich nicht zuletzt deutlich am Beispiel der Politik. Viele Politiker würden lieber ein (nicht angemessen gesichertes) iPhone oder iPad für ihre Arbeit benutzen, anstatt auf die verfügbaren Kryptohandys zurückzugreifen.
Gerade im Mittelstand, der laut Bundesamt für Verfassungsschutz besonders von Cyberattacken bedroht ist, bestehe außerdem Nachholbedarf in Sachen IT-Sicherheit. Denn in kleinen und mittleren Unternehmen fehlten oftmals die Mittel und Expertise zur Sicherung der eigenen Netzwerke. Die Einführung von bindenden staatlichen Mindeststandards in der IT-Sicherheit sowie die Nutzung von Zertifizierungen und vertrauenswürdigen Cloud-Anbietern wurden von den Experten als wichtige Maßnahmen zur Verbesserung der IT-Sicherheit auch in kleineren Unternehmen angeführt.
Trotz der bisherigen Erfolge, wurden ebenfalls die staatlichen Aktivitäten, nicht zuletzt des BSI, im Bereich der IT-Sicherheit kritisch unter die Lupe genommen. Die Einführung des gemeinsamen Cyberabwehrzentrums wurde hier ausdrücklich als Schritt in die richtige Richtung gelobt, allerdings wünschten sich viele Firmen statt ausführlicher wissenschaftlicher Studien vor allem „weniger Papier, weniger „Warum“, und mehr Rezepte oder Anleitungen, kurz und knackig.“ Zudem müsse langfristig aufgrund der Professionalisierung der Angreifer auch ein rechtlicher Rahmen geschaffen werden, der Unternehmen nicht nur Prävention, sondern auch mehr Kompetenzen zur Erkennung und Abwehr von Cyberattacken ermögliche.
Schließlich wurde die Abhängigkeit von amerikanischer und asiatischer Technologie als potentielles Bedrohungsszenario für alle Nutzergruppen von den Teilnehmern im Zuge der aktuellen Enthüllungen um PRISM, Tempora und Co. thematisiert. „Müsse man nicht eine europäische Alternative zu Diensten wie Google und Konsorten schaffen?“, wollte ein Teilnehmer wissen.
Die Antwort, zumindest eines Branchenkenners: „Technologische Souveränität wird niemals funktionieren!“ Das Problem lasse sich nicht mithilfe von Industriepolitik lösen, die Metapher vom „IT-Airbus“ etwa hinke. Zu unterschiedlich seien die Rahmenbedingungen zwischen der langatmigen Luftfahrtindustrie, und dem fragmentierten, schnelllebigen IT-Sektor. Stattdessen müsse man sich auf das Bilden von Kompetenzen im Prüfen - und erforderlichenfalls „Entschärfen“ - von ausländischer Technologie konzentrieren. Hierzu müsse die Bundesregierung im Sinne der Sicherheit mehr Anreize, Förderungsmöglichkeiten und bessere Rahmenbedingungen für Unternehmen, Universitäten und Forschung schaffen.
Präsident Heumann verlieh am Abend seiner Überzeugung Ausdruck, dass die zweitägige Veranstaltung zu einer weiteren Bewusstseinsschärfung bei allen Betroffenen beigetragen habe und betonte am Beispiel der Kooperationsveranstaltung mit T-System, wie wichtig der Austausch und die Kooperation zwischen Wirtschaft, Experten und Behörden gerade im Bereich der IT-Sicherheit sei. Eine vernetze Bedrohung verlange eben auch eine vernetzte Antwort.