NavigationUndService

Inhalt

12. Deutscher IT-Sicherheitskongress

Datum
10.05.2011

- Es gilt das gesprochene Wort -

Sehr geehrte Damen und Herren,
ich begrüße Sie auf dem 12. Deutschen IT-Sicherheitskongress.

Der Titel der heutigen Konferenz lautet "Sicher in die digitale Welt von morgen". Aber schauen wir zunächst auf heute. Das Internet ist integrativer Bestandteil unseres Lebens geworden. Es sind nicht nur neue Geschäftsmodelle entstanden, auch wirtschaftlich, gesellschaftlich und sozial ergeben sich ganz neue Möglichkeiten.

So positiv und chancenreich diese zunehmende Vernetzung ist, sie hat auch ihre Schattenseiten, denn die Verfügbarkeit unserer Computersysteme wird zunehmend von einer stark international tätigen organisierten Kriminalität missbraucht.Allein im März 2011 machen Schlagzeilen in der Presse wie "Hacker-Angriffe auf südkoreanische Webseiten", "Attacke durch bösartige Apps auf das Google-Betriebssystem Android für Smartphones", "Französisches Finanzministerium seit Dez. 2010 im Visier von Cyber-Kriminellen" sowie der Angriff auf das Playstation Network von Sony im April diesen Jahres die zunehmende Bedrohung deutlich.
Im Juli letzten Jahres hat das Schadprogramm Stuxnet gezeigt, dass wichtige industrielle Infrastrukturbereiche, die bisher als vom offenen Internet sicher abgetrennt galten, von gezielten IT-Angriffen nicht mehr ausgenommen sind.
In seinem Bericht "In the Dark" schildert das Sicherheitssoftwareunternehmen McAffee wie gefährdet Kritische Infrastrukturen durch IT-Angriffe sind. Die dort getroffene Analyse der Schadsoftware "Stuxnet" besagt, dass Regierungen gezielt derartige Waffen entwickeln, um die kritischen Infrastrukturen der Gegner zu sabotieren. Auch in deutschen Systemen kritischer Infrastrukturen konnte Stuxnet festgestellt werden, Schäden sind bisher jedoch nicht bekannt.

Diese Beispiele zeigen, dass es nicht selbstverständlich werden wird, "sicher in die digitale Welt von morgen" zu kommen. Unser Land braucht ein funktionierendes und sicheres Internet. Die Menschen in Deutschland wollen sich im Internet frei und sicher bewegen. Beide Bedürfnisse adressiert die im Februar diesen Jahres vom Bundeskabinett verabschiedete Cyber-Sicherheitsstrategie. Wir wollen damit in Zukunft Cyber-Sicherheit in Deutschland auf einem hohen Niveau gewährleisten, ohne dabei die Chancen, die das Internet bietet, zu beeinträchtigen.

Kernpunkte dieser Strategie sind

  • der verstärkte Schutz Kritischer Infrastrukturen vor IT-Angriffen
  • der Schutz der IT-Systeme in Deutschland einschließlich einer Sensibilisierung der Bürgerinnen und Bürger
  • der Aufbau eines Nationalen Cyber-Abwehrzentrums sowie die Einrichtung eines Nationalen Cyber-Sicherheitsrates.

Lassen Sie mich auf einige dieser Ziele näher eingehen.
Die Strategie sieht vor, dass wir ein Nationales Cyber-Abwehrzentrum einrichten; bereits zum 01.04.2011 wurde die Arbeit in diesem Zentrum aufgenommen.
Cyber-Kriminelle orientieren sich nicht an Behördenstrukturen oder Zuständigkeiten. Der bereits erwähnte Vorfall "Stuxnet" hat innerhalb der Bundesregierung aufgezeigt, dass wir für die Bewertung und Analyse von IT-Vorfällen Zeit brauchen. Zeit, an der es uns jedoch im Fall einer IT-Krise mangeln wird. Mit dem Cyber-Abwehrzentrum, das wir unter der Federführung des Bundesamtes für Sicherheit in der Informationstechnik und direkter Beteiligung des Bundesamtes für Verfassungsschutz und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe aufsetzen, schaffen wir eine Informationsplattform, die es uns zukünftig ermöglicht, schnell und abgestimmt alle technischen Informationen zu einer Schadsoftware oder einem IT-Angriff vorliegen zu haben, zu analysieren und Empfehlungen zum Schutz der IT-Systeme zur Verfügung zu stellen. Weitere Behörden sind das BKA, die Bundespolizei, das Zollkriminalamt, der BND, die Bundeswehr sowie die aufsichtsführenden Stellen über die Betreiber der Kritischen Infrastrukturen.

In der letzten Woche hat sich der neu eingerichtete Nationale Cyber-Sicherheitsrat konstituiert und die Arbeitspakete festgelegt. Die Koordinierung von Maßnahmen zur Verbesserung von IT-Systemen, die Begleitung technologischer Innovationen und der internationalen Zusammenarbeit, gehören dazu. Den Hauptschwerpunkt wird jedoch die Koordinierung des Vorgehens bei der Absicherung Kritischer Infrastrukturen gegen IT-Vorfälle bilden.

Warum haben wir diesen Schwerpunkt gelegt? Weil uns die Verletzbarkeit durch Angriffe auf Kritische Infrastrukturen zunehmend Sorge bereitet.
Die Strukturen und Werkzeuge, die wir 2007 mit dem Umsetzungsplan Kritis geschaffen haben, konnten sich unter dem Gesichtspunkt einer kooperativen Zusammenarbeitsplattform bewähren. Deshalb setzen wir diese etablierten Strukturen explizit fort. Dennoch ist zu fragen, ob es Stellen gibt, an denen wir nachjustieren müssen.
Die zunehmende Durchdringung der IT hat dazu geführt, dass Bereiche, die wir bisher noch nicht im Fokus hatten, mit in den UP Kritis einbezogen werden müssen. Das heißt für uns, dass wir gemeinsam mit dem BSI die Zusammenarbeit mit den Branchen intensivieren werden, um eine weitaus größere Sensibilisierung für dieses Thema auch in anderen Bereichen zu erreichen.
Auch die Aufsichtsbehörden für Betreiber Kritischer Infrastrukturen spielen eine wesentliche Rolle. Gemeinsam mit ihnen werden wir prüfen, welche Schutzmaßnahmen den Betreibern ggf. vorgegeben werden können und ob und an welchen Stellen wir zusätzliche Befugnisse in Form von Anordnungsmöglichkeiten brauchen. Wir kennen solche Regelungen z. B. aus dem Bereich des Verkehrsleistungsgesetzes. Dieses erlaubt es, auf der Basis eines Beschlusses der Bundesregierung die jeweiligen Verkehrsunternehmen in Krisenfällen und besonderen Notlagen zu Verkehrsleistungen zu verpflichten.
Ob und an welchen Stellen solche Regelungen auch im Falle eine IT-Krise notwendig werden könnten, werden wir mit dem Cyber-Abwehrzentrum, dem Cybersicherheitsrat und den Betreibern Kritischer Infrastrukturen erarbeiten.

Ein Element der verabschiedeten Cyber-Sicherheitsstrategie ist die unter der Federführung des Bundesministeriums für Wirtschaft und Technologie etablierte Task-Force "IT-Sicherheit in der Wirtschaft". Unzureichende Sicherheitsvorkehrungen können IT-Systeme schnell zum Einfallstor für Wirtschaftssabotage und -spionage werden lassen. Mit der Task Force werden vor allem kleine und mittelständische Unternehmen stärker unterstützt, denn auch dort können Netzangriffe erhebliche Schäden verursachen. Hierzu zählen nicht nur der monetäre Verlust, sondern auch eine mögliche Rufschädigung und der Vertrauensverlust bei der Kundschaft.

Angriffe durch Wirtschaftsspionage und Konkurrenzausspähung auf das Know-how und den Wissensvorsprung deutscher Unternehmen – im Ausland sprechen manche sogar von einem "Wirtschaftskrieg" – sind eine zunehmende Bedrohung. Denn eine funktionierende Ökonomie ist Grundvoraussetzung für die innere Stabilität eines Staates. Es obliegt deshalb einer gemeinsamen Schutzverantwortung von Staat und Wirtschaft, unser Know-how und Innovationen "Made in Germany" zu schützen.

Die Bedrohung ist Realität und eine permanente Gefahr. Spionage kann aufgrund des technischen Know-Hows heute umfassender und gleichzeitig risikoärmer durchgeführt werden. Es ist eine leise, klandestine Gefahr!

Deutschland ist wegen seiner geopolitischen Lage, der wichtigen Rolle innerhalb der EU und der NATO und nicht zuletzt als Standort zahlreicher Unternehmen und Wissenschaftseinrichtungen der Spitzentechnologie in erheblichem Umfang Ziel der Aufklärung fremder Nachrichtendienste.

Die Ziele von Spionage haben sich dabei insgesamt verändert. Die klassischen Aufklärungsziele Politik und Militär stehen zwar nach wie vor im Visier fremder Nachrichtendienste, nach den Erkenntnissen der Sicherheitsbehörden richtet sich aber die Aufklärung verstärkt gegen Wirtschaft, Wissenschaft und Forschung.

Die Abwehr von Wirtschaftsspionage und der Wirtschaftsschutz sind deshalb zentrale Arbeitsfelder der Nachrichtendienste von Bund und Ländern. Auch die Polizeien von Bund und Ländern bekämpfen die Wirtschaftsspionage. BKA und LKÄ stehen hierzu in engem Kontakt.

Spionage betrifft praktisch Unternehmen jedweder Größe. Während sich "Global-Player" der Gefahren stärker bewusst sind und eigene, effektive Schutzmaßnahmen ergreifen, ist gerade bei manchen mittelständischen Unternehmen ein Gefahrenbewusstsein noch nicht hinreichend ausgeprägt. Darüber hinaus mangelt es häufig an Know-How und Werkzeugen, sich gegen hoch professionelle Cyber-Spionage zur Wehr zu setzen. Know-how-Abflüsse können sehr schnell existenzbedrohend werden. Jahrelange Forschungsarbeit kann durch "Know-how-Diebstahl" innerhalb kürzester Zeit zunichte gemacht werden.

Das Spionagerisiko erhöht sich aber insgesamt auch für große Unternehmen, da diese durch die zunehmende Vernetzung der Wirtschaft mittelbar durch Vorfälle in ihrem Zulieferumfeld und entlang der Lieferketten Schäden und Informationsabflüsse erleiden können.

Die Nachrichtendienste von Bund und Ländern unterstützen daher Unternehmen im Kampf gegen Cyber-Spionage und ermöglichen diesen so einen besseren Schutz vor Angriffen.
Nicht nur der Schutz der Wirtschaft, sondern auch der Schutz der Nutzer vor einem Identitätsdiebstahl ist ein Thema, was uns bewegt. Jüngste Beispiele aus der Tagespresse belegen, in welchem Ausmaß Lücken in den Sicherheitssystemen von Online-Diensten Schäden anrichten können. Diese wirken sich nicht nur finanziell aus, vielmehr geht es hierbei auch um den Verlust der Kontrolle über seine eigene digitale Identität und sensible Daten im Netz.

Die bis heute für persönliche Informationen am häufigsten eingesetzten technischen Schutzmechanismen stammen aus einer Zeit, in der die Vernetzung von Identitäten und Daten noch nicht so stark ausgeprägt war. Sie können gegen die heutigen Bedrohungen unserer, durch das Internet bestimmten Welt keinen adäquaten Schutz mehr bieten.
Es ist Zeit, diese Schutzmechanismen auf die bestehenden Gefahren und die Schutzbedürftigkeit unserer sensiblen Daten neu auszurichten.

Ein entscheidendes Element in diesem Prozess ist der Einsatz von branchenübergreifenden Infrastrukturlösungen auf der Basis zertifizierter und vertrauenswürdiger Technologien. Dabei muss die Verwendung und Integration dieser Infrastrukturlösung in bestehende und neue Prozesse von Unternehmen und Verwaltung in einfachen, mit geringem Aufwand verbundenen Schritten möglich sein.
Eine solche Basis zum wirksamen Schutz vor aktuellen Bedrohungen bietet der neue Personalausweis mit seiner BSI-zertifizierten Sicherheitsinfrastruktur.

Mehr als 70 Prozent aller deutschen Bürger sind täglich im Internet unterwegs und erledigen online, wofür früher ein Gang in die Stadt, zur Bank oder zum Bürgeramt notwendig war. Dazu gehören personen- und organisationsbezogene Transaktionen und Dienstleistungen, wie das Abschließen von Versicherungen oder der Einkauf im Online-Shop.

Dadurch hat sich aber auch die organisierte Kriminalität in das World Wide Web verlagert. Statistiken über Internetkriminalität und jüngste Pressemeldungen deuten auf Schäden in 3-stelliger Millionenhöhe, die besonders häufig durch Identitätsdiebstahl entstehen, hin.

Mit der Einführung des neuen Personalausweises haben wir ein Instrument vorliegen, welches das Internet ein Stück weit sicherer macht und unsere Identitäten schützt. Seit dem 1. November kann der neue Personalausweis beantragt werden, er macht auch das Ausweisen im Internet möglich. Bisher besitzen etwa vier Millionen Bundesbürger das neue Identitätsdokument, bis Ende des Jahres sollen es ca. zehn Millionen sein.

Durch die neue Online-Ausweisfunktion, auch eID-Funktion genannt, ist es jedem Ausweisbesitzer möglich, seine Identität online jederzeit verlässlich zu beweisen. Auch der Anbieter weist sich gegenüber dem Anwender mit einem Zertifikat aus, das ihn zusätzlich berechtigt, bestimmte Daten aus dem Ausweis abzufragen. Von der neuen Technologie profitieren damit sowohl Anwender als auch Anbieter. Sie stärkt das Vertrauen und wirkt Bedrohungen im Internet, wie dem Identitätsdiebstahl, entgegen.

Der neue Personalausweis schafft so die Voraussetzung, dass Bürger mit Unternehmen und Verwaltungen sicher, einfach und medienbruchfrei arbeiten können. Online-Dienste können durch den Personalausweis die Registrierungs- und Login-Verfahren für Nutzer vereinfachen und so eine bessere Service-Qualität bieten.

Bisher sind ca. 30 Dienste verschiedener Branchen online verfügbar.

Beispiele sind:

  • Die Abfrage von Informationen zum Kindergeld von der Bundesagentur für Arbeit
  • Die Antragstellung von Leistungen und Abfrage des Rentenkontostandes der Deutschen Rentenversicherung
  • Die Abfrage des Punktestandes aus dem Verkehrszentralregister beim Kraftfahrt-Bundesamt in Flensburg
  • Der Fujitsu-Online-Shop mit IT-Waren

Verbreiten wird sich der Personalausweis in den nächsten Jahren von selbst; er wird damit zum Standard- Identitätsnachweis im Netz. Nunmehr ist es erforderlich, dass viele Angebote im Netz bereitgestellt werden, die den Personalausweis integrieren. Nur dann lassen sich die Mehrwerte und Potentiale des neuen Dokumentes tatsächlich realisieren. Ich setze deshalb darauf, dass jetzt viele Diensteanbieter bereit sind, in die Umstellung ihrer Online-Angebote zu investieren.

Der neue Personalausweis hilft dabei, das Sicherheitsniveau der Registrierung bei verschiedenen Online-Diensten zu verbessern. Weit verbreitete Authentisierungsverfahren basieren heute meist nur auf dem Wissen eines Benutzernamens und Passwortes. Der neue Personalausweis verlangt dagegen ein Zusammenspiel von Besitz und Wissen. Während eines Authentifizierungsverfahrens muss sowohl der Ausweis, als auch die 6-stellige PIN vorliegen. Der standardisierte Einsatz dieses innovativen Systems kann den Identitätsmissbrauch im Netz wirksam unterbinden.

DE-Mail ist ein weiterer Baustein für mehr Sicherheit im Netz. Sie ist für die Nutzer ähnlich einfach zu bedienen wie eine gewöhnliche E-Mail. Doch im Unterschied zur E-Mail sind Nachrichten und Dokumente bei De-Mail auf ihrem Weg durch das Internet verschlüsselt, die Identität von Absender und Empfänger ist sichergestellt und der Absender kann nachweisen, dass eine De-Mail beim Empfänger eingegangen ist.

Am 3. Mai ist das De-Mail-Gesetz in Kraft getreten. Interessierte Anbieter können jetzt beim Bundesamt für Sicherheit in der Informationstechnik die Akkreditierung als De-Mail-Diensteanbieter (sog. "De-Mail-Provider") beantragen. Im Rahmen der Akkreditierung müssen die Provider nachweisen, dass sie mit ihren De-Mail-konformen Produkten die durch das Gesetz geforderten, hohen Anforderungen an die organisatorische und technische Sicherheit erfüllen.

Bis jetzt haben United Internet (mit GMX und WEB.DE), Mentana Claimsoft, die Deutsche Telekom AG und die Deutsche Post AG angekündigt, De-Mail-konforme Produkte anzubieten. Ich bin deshalb zuversichtlich, dass wir mit De-Mail einen großen Schritt hin zu mehr Datensicherheit im Internet machen können.

Von staatlicher Seite sind mit dem De-Mail-Gesetz und mit der Möglichkeit zur Akkreditierung die Voraussetzungen für mehr Sicherheit im Netz geschaffen worden. Jetzt ist es entscheidend, dass im zweiten Schritt die De-Mail-konformen Produkte bald am Markt verfügbar sind und im dritten Schritt Unternehmen, Bürgerinnen und Bürger als Nutzer von den Möglichkeiten für mehr Sicherheit auch Gebrauch machen. Mehr Sicherheit im Netz - und über dieses Ziel sind sich ja alle einig - werden wir nur erreichen, wenn jeder Akteur, also staatliche Stellen, Anbieter, Hersteller und Nutzer ihre Verantwortung wahrnehmen und an einem Strang ziehen. Am besten auch in die gleiche Richtung.

Sehr geehrte Damen und Herren,

die Bundesregierung wird ihrer Verantwortung zur Verbesserung der IT-Sicherheit in Deutschland gerecht. Durch die Cyber-Sicherheitsstrategie, deren Umsetzung nun konsequent erfolgen wird, sind wir auch für die Zukunft gut aufgestellt. Staatliches Handeln allein wird jedoch nicht ausreichend sein, um uns "sicher in die digitale Welt von morgen" zu bringen.
Mit Angeboten wie dem neuen Personalausweis und De-Mail bieten wir Lösungen zur Verbesserung der IT-Sicherheit an. Diese Angebote müssen nicht nur vom Staat, sondern auch von der Wirtschaft und der Bevölkerung genutzt werden. Nutzen Sie diese kreativ, finden Sie neue Anwendungsmöglichkeiten und entfalten Sie Potentiale, an die wir bisher noch nicht gedacht haben. Gemeinsam leisten wir einen Beitrag zur Verbesserung der IT-Sicherheit, wecken Vertrauen und übernehmen Verantwortung für unser Gemeinwohl.
Ich wünsche Ihnen nun drei informative Tage und ein gutes Gelingen des Kongresses.