NavigationUndService

Inhalt

Sichere IT – die Rolle des Staates in der Informationsgesellschaft

Datum
16.12.2011

Sehr geehrte Damen und Herren,

"Sichere IT – die Rolle des Staates in der Informationsgesellschaft" lautet das Thema meiner Rede. Hierüber möchte ich gerne sprechen und dabei natürlich auch besonders auf die Rolle des Staates eingehen. – Nur, eines möchte ich jetzt schon vorwegschicken: IT-Sicherheit geht uns alle an! Niemand kann sie alleine gewährleisten. Wenn wir IT-Sicherheit heute v.a. als Cybersicherheit begreifen, ist ein vernetztes Vorgehen aller Akteure im Cyberraum erforderlich. Staat, Wirtschaft und Gesellschaft müssen Hand in Hand arbeiten.

Lassen Sie mich Ihnen zunächst die Situation, in der wir uns bewegen, vor Augen führen:

Wesentliche Abläufe und Prozesse in allen Bereichen der Gesellschaft sind heute in hohem Maße von der eingesetzten Informationstechnik abhängig. Größere Störungen oder gar Totalausfälle können binnen kürzester Zeit auf Grund bestehender Vernetzung und daraus folgenden Interdependenzen erhebliche Auswirkungen weit über das betroffene System hinaus haben. Der Ausfall oder die Störung von IT-Infrastrukturen, egal ob auf Grund erfolgreicher Angriffe oder auf Grund höherer Gewalt kann daher zu immensen Schäden von gesamtgesellschaftlicher Relevanz führen. Bedroht sind insoweit materielle wie immaterielle Rechtsgüter. Bedroht sind sowohl der Staat und seine Einrichtungen, als auch die Wirtschaft und die Bürger.

Dass insbesondere die von Angriffen auf IT-Systeme ausgehenden Gefahren besonders ernst zu nehmen sind, belegen die Erfahrungen des Bundesamts für Informationstechnik (BSI). Einige Zahlen mögen das verdeutlichen:

  • Weltweit werden täglich circa 13 Schwachstellen in Standardprogrammen und circa 21.000 kompromittierte Webseiten bekannt und
  • Durchschnittlich circa alle 2 Sekunden tauchen neue Schadprogramme bzw. Varianten bekannter Schadprogramme auf.

Beschreiben lässt sich das Ausmaß der aktuellen Bedrohung auch an Hand einiger aktueller Cyber-Sicherheitsvorfälle:

  1. Stuxnet:
    Stuxnet war im Jahr 2010 ein Weckruf, der aufgezeigt hat, dass es eine neue Qualität von Angriffen gibt, die wir bisher noch nicht detektiert haben. Stuxnet hat mehrere Abwehrriegel durchbrochen, hinter denen man sich bis dahin sicher fühlte.
  2. Duqu:
    Das Bekanntwerden der Schadsoftware "Duqu" im Oktober dieses Jahres zeigt, dass Stuxnet kein Einzelfall gewesen ist. Anders als "Stuxnet" wurde diese Software jedoch nicht als Sabotagemittel eingesetzt, das die Steuerungsanlagen manipuliert und falsche Informationen weitergibt, sondern war als Spionagewerkzeug konzipiert. Ausgehend von den Zielen, die sie angegriffen hat, wird vermutet, dass ihr Einsatz zur Angriffsvorbereitung oder Aufklärung bestimmt war. Betroffen waren laut öffentlicher Berichte bisher ungenannte Unternehmen im Sudan, Iran, Frankreich, den Niederlanden, Ungarn, der Schweiz und Indonesien.
  3. Diginotar:
    Der Einbruch bei der niederländischen Zertifizierungsstelle Diginotar ist dazu verwendet worden, um Dritte anzugreifen. Mit dem Einbruch bei Diginotar und der Erzeugung von Zertifikaten war es möglich, die vertrauliche, verschlüsselte Kommunikation von Internetnutzern auszuspähen. Außerdem hat der Vorfall enorme Kosten für die Niederländische Regierung verursacht, da diese ihre Zertifikate komplett austauschen musste.
  4. Sony:
    Das Eindringen in die Systeme von Sony und die Veröffentlichung vieler Nutzerdaten hat deutlich gemacht, dass selbst Global Player im IT-Markt mit dem Thema IT-Sicherheit vor einer großen Herausforderung stehen.
  5. Adidas:
    Der aktuelle Angriff auf die Webseiten der Adidas-Gruppe zeigt, wie ein Unternehmen sowohl wirtschaftlich als auch unter Image-Gesichtspunkten durch einen IT-Angriff Schaden genommen hat. Das Unternehmen war nach dem Angriff gezwungen, mehrere Webseiten (darunter die des Tochterunternehmens Reebok) ein Wochenende lang vom Netz zu trennen.

Verdeutlichen lassen sich die möglichen Folgen eines erfolgreichen Angriffs für den Bereich der Wirtschaft aber auch an Hand einer Schätzung aus der Schweiz. Danach würden bei einem Totalausfall der Informatik 25 Prozent der Unternehmen Insolvenz anmelden müssen, wenn der Schaden nicht innerhalb kürzester Zeit behoben werden könnte. Nach dieser Schätzung wäre dies beispielsweise bei einer Bank schon nach zwei, bei einem Handelsunternehmen nach drei Tagen der Fall.

Aber nicht nur die Privatwirtschaft ist Opfer von Cyberattacken; auch der Bund war vor Angriffen nicht gefeit: So hat eine Gruppe von Hackern im Juli dieses Jahres illegal beschaffte Daten des Zolls und der Bundespolizei im Internet veröffentlicht. Auch wenn es den Tätern nach jetzigem Erkenntnisstand nicht gelungen ist, interne Netze und Datenbanken anzugreifen, wurde der Vorfall zum Anlass genommen, die IT–Sicherheit in den Sicherheitsbehörden eingehend zu prüfen.

Sehr geehrte Damen und Herren,

die von Angreifern ausgehenden Gefahren sind uns wie beschrieben in jüngerer Vergangenheit deutlich vor Augen geführt worden. Völlig unabhängig von der jeweiligen Art und der technischen Durchführung der Angriffe führt dies zu der Erkenntnis, dass wir uns alle besser aufstellen müssen, wenn es um den Schutz der von uns verantworteten informationstechnischen Systeme geht.

Die Frage, die Sie nun zu recht an mich richten, lautet dabei natürlich: Was also tut der Staat?

Wir setzen auf einen umfassenden Ansatz, bei dem die IT des Staates, der Kritischen Infrastrukturen, der sonstigen Wirtschaft und der Bürgerinnen und Bürger einbezogen wird. Dabei kooperieren wir sowohl mit der Wirtschaft als auch mit internationalen Partnern. Hierzu einige Beispiele:

  • Zum Schutz der IT der Bundesbehörden wurden in Umsetzung des "Nationalen Plans zum Schutz der IT-Infrastrukturen" im Umsetzungsplan Bund Mindeststandards und ein IT-Sicherheitsmanagement für Bundesbehörden festgelegt.
  • Im "Umsetzungsplan für kritische Infrastrukturen" – kurz UP KRITIS hat sich die Wirtschaft im September 2007 zur Einhaltung anerkannter Mindestsicherheitsstandards und der Meldung von Sicherheitsvorfällen an das BSI bereit erklärt.
  • Durch die Novellierung des BSI-Gesetzes vor zwei Jahren haben wir das Bundesamt für Sicherheit in der Informationstechnik mit neuen und deutlich erweiterten Befugnissen zum Schutz der Cybersicherheit ausgestattet. So hat das BSI nicht nur die nötigen Befugnisse für Sicherheitsmaßnahmen in den Regierungsnetzen erhalten, sondern darf auch öffentlich vor Sicherheitslücken in IT-Produkten warnen.
  • Mit der Föderalismusreform II hat im Jahr 2009 durch Art. 91 c GG die Informationstechnik Einzug in die Verfassung gehalten. Ausfluss dessen ist der IT-Planungsrat, der die Zusammenarbeit von Bund und Ländern in Fragen der Informationstechnik koordiniert und zu wesentlichen Effizienzgewinnen führt.
  • Zentraler Träger von internetbasierten Angriffen sind Bot-Netze. Mit dem vom Branchenverband eco im September 2010 gestarteten Anti-Bot-Netz-Beratungszentrum erhalten betroffene Internetnutzer Hilfestellungen, um Schadsoftware von ihren PCs zu entfernen und damit die Bot-Verbreitung zu verringern. Ich halte das für eine gelungene Initiative. Das BMI hat sie deshalb auch mit einer Anschubfinanzierung unterstützt und Experten des BSI haben technischen Sachverstand beigetragen.

Sehr geehrte Damen und Herren,

bei all diesen Aktivitäten haben wir besonderen Wert auf die Vernetzung unterschiedlicher Akteure gelegt.

Dennoch hat "Stuxnet" im Sommer 2010 bewiesen, dass sich die Bedrohungen im Cyberraum ständig weiterentwickeln und neue Lösungen fordern. Cyberangriffe werden in den nächsten Jahren nicht nur in der Komplexität, sondern auch in der Anzahl weiter zunehmen. Damit sie nicht irgendwann der gesellschaftlichen und wirtschaftlichen Prosperität unseres Landes ernsthaft schaden, ist ein vorausschauendes Handeln nötig.

Wir brauchen ein funktionierendes und sicheres Internet. Beiden Bedürfnissen kommt die im Februar dieses Jahres von der Bundesregierung beschlossene Cyber-Sicherheitsstrategie nach. Wir wollen damit Cyber-Sicherheit in Deutschland auf einem hohen Niveau gewährleisten, ohne dabei die Chancen, die das Internet bietet, zu beeinträchtigen.

Kernpunkte dieser Strategie sind:

  • der verstärkte Schutz Kritischer Infrastrukturen vor IT-Angriffen,
  • der Schutz der IT-Systeme in Deutschland,
  • eine Sensibilisierung der Bürgerinnen und Bürger,
  • der Aufbau eines Nationalen Cyber-Abwehrzentrums sowie die Einrichtung eines Nationalen Cyber-Sicherheitsrates.

Sehr geehrte Damen und Herren,

das Nationale Cyber-Abwehrzentrum ist weder eine neue Behörde mit weitreichenden Eingriffsbefugnissen noch eine Servicestelle für Unternehmen und Bürgerinnen und Bürger, die ihre Systeme gegen Angriffe absichern möchten.

  • Das Cyber-Abwehrzentrum ist eine Informationsplattform, an der das Bundesamt für Sicherheit in der Informationstechnik, das Bundesamt für Verfassungsschutz, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, sowie das Bundeskriminalamt, die Bundespolizei, das Zollkriminalamt, der Bundesnachrichtendienst und die Bundeswehr beteiligt sind. Zukünftig sollen die aufsichtsführenden Behörden über Betreiber kritischer Infrastrukturen hinzukommen.
  • Das Wissen und die Erfahrungen aller Beteiligten werden im Cyber-Abwehrzentrum erstmals strukturell zusammengeführt. Es verfolgt dabei einen kooperativen Ansatz, bei dem die beteiligten Behörden unter Wahrung ihrer jeweiligen Aufgaben und Zuständigkeiten zusammenarbeiten. Doppelstrukturen entstehen nicht.

Wer sich also unter dem Cyber-Abwehrzentrum eine neue Superbehörde vorgestellt hat, wird – je nach Standpunkt – enttäuscht oder beruhigt. Unsere Antwort auf global vernetzte Täter muss die Vernetzung von Experten sein, die sich dem Problem aus ihrer jeweiligen Perspektive und mit ihrer ganz spezifischen Kompetenz annehmen.

Das Cyber-Abwehrzentrum kann

  • schnell und abgestimmt alle technischen Informationen zu einer Schadsoftware oder einem IT-Angriff beschaffen,
  • diese analysieren,
  • auf dieser Grundlage rasch fundierte Empfehlungen zum Schutz der IT-Systeme zur Verfügung stellen.

Auf politisch-strategischer Ebene ist der Nationale Cyber-Sicherheitsrat das Gremium für vernetzte Zusammenarbeit. Der Cyber-SR tagt auf Staatssekretärsebene unter meinem Vorsitz dreimal jährlich und darüber hinaus anlassbezogen. Teilnehmer sind meine Kollegen aus dem BMF, AA, BMVg, BMWi, BMBF, ein Vertreter des BK, zwei Länder- sowie vier Wirtschaftsvertreter.

Lassen Sie mich schließlich Ihre Aufmerksamkeit noch auf zwei weitere Projekte lenken:

  • Im Rahmen des 2008 aufgesetzten Projektes "Netze des Bundes" bauen wir derzeit ein neues Regierungsnetz auf. Hierfür werden rund 410 Millionen € für Investitionen und laufende Betriebskosten in die Hand genommen. Dieses Netz soll künftig auch die Grundlage für die Kommunikation zwischen Bund und Ländern bilden. Wesentliche Anforderung für dieses Nachfolgenetz des derzeitigen Regierungskommunikationsnetzes IVBB ist eine erhöhte Sicherheit und Krisenfestigkeit.
  • Und ganz aktuell: Vom 30.11. – 01.12.11 führen wir die diesjährige LÜKEX. durch. Diese Übung wird sich als "Nationale IT-Übung" mit den Herausforderungen befassen, die das gemeinsame Krisenmanagement des Bundes und der Länder bei IT-Vorfällen zu bewältigen hätte. Es werden Auswirkungen simuliert, die ein komplexes Schadprogramm für die Bundesverwaltung, die Netze der Bundesländer sowie Betreiber Kritischer Infrastrukturen verursachen könnte.

Wir setzen mit all diesen Maßnahmen unsere präventive Sicherheitspolitik fort. Es geht um Schadensvermeidung und Schadensminimierung. Für eine verlässliche Sicherheitsvorsorge müssen Staat und Wirtschaft partnerschaftlich zusammenarbeiten. Die jeweiligen Akteure sind auf die gegenseitige Unterstützung angewiesen.

Das gilt auch auf internationaler Ebene: Da Cyber-Kriminalität ein weltweites Problem ist, prüfen wir mit unseren internationalen Partnern stetig, wie wir die Zusammenarbeit der Strafverfolgungsbehörden weltweit verbessern können. Dazu gehört u.a., dass wir uns für die Zeichnung der Cyber-Crime-Convention des Europarates durch möglichst viele Staaten einsetzen. Mit dieser Konvention werden Harmonisierungen im Bereich des Computerstrafrechts geschaffen und die schnelle Zusammenarbeit der Strafverfolgungsbehörden wird unterstützt.

Langfristiges Ziel ist aber auch, Verhaltensregeln für Staaten im Cyber-Raum zu etablieren. Hierbei soll es einmal um den Umgang und die Abwehr von Cyber-Angriffen gehen. So soll z.B. jeder Staat verpflichtet werden, Angriffe, die von seinem Territorium kommen, unverzüglich abzustellen. Außerdem sollen alle Staaten ein rund um die Uhr erreichbares Lagezentrum einrichten. Denn Kriminelle kennen keine Dienstzeiten und das gilt erst recht für den globalen Cybercrime.

Sehr geehrte Damen und Herren,

lassen Sie mich aber noch einmal auf den nationalen Bereich zurückkommen. Für kritische Infrastrukturkomponenten und Infrastrukturen brauchen wir besondere Mindestsicherheitsstandards. Gemeinsam mit den Betreibern erörtern wir im UP KRITIS die Anfälligkeit der für die Gesellschaft elementar wichtigen Dienstleistungen und klären, welche Schutzmaßnahmen angemessen sind.

Zudem prüfen wir, ob wir im Fall konkreter Bedrohungen zusätzliche Anordnungsmöglichkeiten brauchen, wie wir sie beispielsweise schon aus dem Bereich des Verkehrsleistungsgesetzes kennen. Hiernach können Verkehrsunternehmen im Fall einer schweren Krise durch Beschluss der Bundesregierung zur Bereitstellung ihrer Dienste verpflichtet werden, sofern der Bedarf anderweitig nicht adäquat gedeckt werden kann.

Richtig ist aber auch, dass im Bereich des Schutzes kritischer Informationsinfrastrukturen die Interessenlage von Staat und Wirtschaft im Prinzip deckungsgleich ist. Es geht um das reibungslose Funktionieren und die permanente Verfügbarkeit der Infrastrukturen. Die Folgen einer längeren Unterbrechung sind für den Staat wie für die Wirtschaft erheblich. Insbesondere bei Vorfällen von großem Ausmaß ist es daher angezeigt, dass Staat und Wirtschaft eng zusammenarbeiten und sich gegenseitig die vorliegenden Erkenntnisse zur Verfügung stellen.

Noch immer gibt es seitens der Wirtschaft hier jedoch eine gewisse Zurückhaltung, die mit der Sorge zu erklären ist, dass die dem Staat übermittelten sensiblen Informationen möglicherweise nicht hinreichend sorgfältig behandelt werden, öffentlich bekannt würden und daraus Imageverluste folgen könnten. Eine Sorge, für die es nach meiner Überzeugung in Anbetracht der bei den staatlichen Stellen vorhandenen Sensibilität und in Anbetracht der guten und vertrauensvollen Zusammenarbeit mit den Bereichen der Wirtschaft, die sich für eine engere Zusammenarbeit entschlossen haben, keinen Grund gibt. Von einem reibungslosen Informationsfluss würden vielmehr Staat und Wirtschaft gleichermaßen profitieren. Wirtschaftsunternehmen haben unter Umständen Informationslücken, die der Staat füllen könnte. Der Staat wiederum könnte einzelfallbezogen vom spezifischen Wissen der Wirtschaft profitieren und ist zugleich auf die Kenntnis von einzelnen Vorfällen angewiesen, um ein Gesamtbild erstellen und daraus bestimmte Handlungserfordernisse ableiten zu können.

Ich bitte daher wirklich jeden, der Einfluss und Möglichkeiten hat, dafür Sorge zu tragen, dass man sich in einem solchen Fall an die staatlichen Stellen wendet. Wir brauchen eine intensive Zusammenarbeit, denn nur gemeinsam können wir die Angriffe abwehren.

Mit einem positiven Beispiel geht die Versicherungswirtschaft voran. Sie hat ein Krisenreaktionszentrum für IT-Sicherheit, kurz LKRZV, eingerichtet, das für die anlassbezogene Kommunikation zur Krisenfrüherkennung und die Kommunikation und Alarmierung zur Krisenbewältigung zur Verfügung steht. Hier findet eine Informationsbündelung auf Branchenebene statt, so dass sich das LKRZV zu Recht als Sicherheitsdrehscheibe der Versicherungswirtschaft bezeichnet. Ähnliche brancheninterne Single Points of Contact bestehen bei den Sparkassen und den Geschäftsbanken, der Telekommunikationsbranche sowie den Internetprovidern.

Sehr geehrte Damen und Herren,

solch eine Kontaktstelle gilt es, in jeder Branche einzurichten. Ein Informationszentrum, das aus der Branche für die Branche arbeitet und in nationale Krisenreaktionsstrukturen eingebunden ist. Auf staatlicher Seite steht das BSI als Kontaktstelle zur Verfügung. Nun muss die Wirtschaft ihrer Verantwortung nachkommen und einen institutionellen Gegenpart in den jeweiligen Branchen schaffen, damit wir im Krisenfall keine kostbare Zeit auf der Suche nach Ansprechpartnern und bei der Klärung von Zuständigkeiten verlieren.

Sie sehen, wir sind auf einem guten Weg. Aber der Cyberraum verändert sich ständig. Den neuen Herausforderungen wollen wir nicht hinterherlaufen, sondern möglichst immer einen Schritt voraus sein. Damit das gelingt, muss jeder sein Bestes geben. Dies gilt für den Staat, die Bürgerinnen und Bürger, aber auch und im Besonderen für die Wirtschaft.

Sehr geehrte Damen und Herren,

welche Schlüsse können wir also ziehen?

Zunächst einmal, dass IT-Sicherheit unverzichtbar ist, auch wenn sie Geld kostet. Allerdings sollten die Überlegungen der letzten 20 Minuten deutlich gemacht haben, dass auch in diesem Bereich gilt, dass Prävention günstiger ist, als der nicht ganz unwahrscheinliche Schadensfall. Um nur eine Zahl zu nennen: Von 2009 bis 2010 hat sich der Schaden aller Cybercrime-Delikte auf über 60 Mio. € fast verdoppelt.

Auch müssen wir uns der Tatsache bewusst sein, dass IT-Sicherheit keine einmalige Aufgabe, sondern ein dauerhafter Prozess ist. Sicherheitssysteme haben ein Verfallsdatum und müssen daher permanent aktualisiert werden.

Für den Staat ist die Gewährleistung von Freiheit und Sicherheit im Cyber-Raum eine moderne Form der Daseinsvorsorge im 21.Jahrhundert. Dieser Verantwortung müssen wir gerecht werden. Zwar ist Selbstregulierung immer besser als der Zwang zur staatlichen Regulierung, aber wo es um Leib und Leben oder das Funktionieren kritischer Infrastrukturen geht, ist staatliches Handeln im Zweifel nicht vermeidbar.

Wir sehen uns andererseits hier auch in einer Servicefunktion: Oftmals sind IT-Sicherheitsvorfälle selbst bei großen deutschen Unternehmen für die Global Player der IT-Branche von untergeordneter Relevanz. Schnelle Abhilfe ist deshalb nicht immer zu erwarten. Hier kann Sie das BSI mit seiner Warnfunktion und als international anerkannter Partner unterstützen. Auch zu diesem Zweck haben wir das BSI in diesem Jahr um weitere 57 Stellen gestärkt – eine Zahl, die in Zeiten des Sparzwangs und des damit einhergehenden Stellenabbaus als deutliches Signal zu verstehen ist.

Deshalb mein eindeutiger Appell an die Wirtschaft: Kommen auch Sie Ihrer Verantwortung bei der Gewährleistung der Cyber-Sicherheit nach – sichern Sie Ihre Systeme, investieren Sie, bauen Sie Kontaktstellen auf und v.a. nutzen Sie die entsprechenden staatlichen Stellen als Partner für eine vertrauensvolle
Zusammenarbeit. Staat und Wirtschaft müssen sich bei diesem komplexen Thema partnerschaftlich ergänzen. Keiner kann die Herausforderungen für sich alleine meistern.

Vielen Dank.