NavigationUndService

Inhalt

Entwicklungspotential versus Gefährdungslage im Netz? Die nationale Cyber-Strategie Deutschlands für mehr IT-Sicherheit

Datum
07.11.2012

Sehr geehrte Damen und Herren,

es ist mir eine besondere Freude heute an dem „Symantec Government Symposium 2012“ teilzunehmen. 

Dass ich heute persönlich den Cyber-Award für die Kategorie „National, Federal, Civilian“ für Deutschland entgegen nehmen kann, freut mich aus zwei Gründen: 

Zum Einen danke ich als Vertreterin der Bundesregierung für die Verleihung des Cyber-Award an Deutschland: Es ist eine Bestätigung dafür, dass wir mit den verschiedenen Maßnahmen zur Verbesserung der Cyber-Sicherheit in Deutschland auch aus Sicht eines großen global aufgestellten IT-Sicherheitsunternehmens auf dem richtigen Weg sind. Der Award wird uns Anspruch sein, auch in den nächsten Jahren nicht nachzulassen mit Maßnahmen zum Schutz des Cyber-Raums – ich komme darauf noch einmal zurück. 

Ich freue mich aber auch, heute persönlich hier sein zu können, weil dies bis vor einigen Tagen noch nicht als sicher gelten konnte. 

Wir haben in Deutschland die Entwicklung von Sandy intensiv mit verfolgt – die Bilder haben uns bewegt. 

Ich zolle den US-Bürgerinnen und Bürgern und der US-Administration meinen Respekt, dass Sie die schwere Situation mit einer bewundernswerte Ruhe und Besonnenheit bewältigen. 

Wie essentiell Prävention und Information für die Bewältigung der Lage und die Zusammenarbeit mit der Bevölkerung ist, erleben wir gerade aktuell – quasi direkt draußen vor der Tür. 

Für uns als Teilnehmer des Symantec Government Symposium 2012 ist das Krisenszenario aber auch in einer anderen Perspektive besonders bedeutsam: 

Es hilft ungemein zu verstehen, wie wichtig es ist, dass sich die zivilen Gesellschaften in Zukunft auch auf eine lautlose und unsichtbare Gefahr einstellen. Diese wird ihr Kommen wie Orkan „Sandy“ keineswegs ankündigen: Ich meine schwere IT-Angriffe auf die Zivilgesellschaft und unsere kritischen Infrastrukturen. 

Ein solcher Cybervorfall wäre nicht notwendigerweise ein regionales Phänomen. Um uns bestmöglich vorzubereiten und zu schützen brauchen wir sichere Informationswege, um uns mit unseren Partnern vertraulich und schnell über die Signatur eines IT-Angriffs zu verständigen.   

Das Netz: Entwicklungspotential versus Gefahrenlage 

In unserer allumfassend vernetzten Welt sind Staat, Kritische Infrastrukturen, Wirtschaft und Bevölkerung gleichermaßen auf das verlässliche Funktionieren des Cyber-Raums angewiesen. 

Der Cyber-Raum, d.h. die auf Datenebene global verknüpften IT-Systeme, haben in den vergangenen 20 Jahren eine bis dahin nicht gekannte ökonomische Entwicklung ausgelöst:

  • Weltweite Kommunikation,
  • enorme Produktionssteigerungen,
  • völlig neue Geschäftsmodelle und eine
  • Verkürzung der Innovationszyklen auf derzeit 18  Monate bei IKT-Produkten

bilden die Grundlage dieses Erfolges. 

Einer Studie zufolge sind bereits heute 50 % aller Unternehmen in Deutschland abhängig vom Internet. 

Gleichzeitig stehen wir vor neuen Stufen der Vernetzung: Cloud Computing, smart grids, emobility und ehealth sind nur einige Stichworte. 

Auch die Zahl der Nutzer wird weltweit weiter zunehmen: Bereits heute sind 2 Mrd. Menschen im Internet „unterwegs“. 

Mit der weiteren Vernetzung über die BRICS-Staaten hinaus in Mittel- und Südamerika, in Afrika und Asien werden schon bald 3 Mrd. Menschen oder mehr das globale Netz nutzen. Damit eröffnen sich neue Märkte, neue Chancen für Ideen, Forschung und Entwicklung, Meinungsfreiheit und Demokratie. 

Durch die hohe Abhängigkeit von IT sind unsere Gesellschaften aber auch ein gutes Stück verletzlicher geworden. Das Schadenspotential bei einem Ausfall oder einer Beeinträchtigung der IT ist insbesondere im Bereich der Kritischen Infrastrukturen hoch. 

Wir stehen gemeinsam vor der Herausforderung, angemessene Schutzmaßnahmen zu treffen, um die Integrität des Cyber-Raums für alle Bereiche der Gesellschaft abzusichern und die Risiken dauerhaft auf ein gesellschaftlich akzeptables Maß zu begrenzen. 

Wie gehen wir, wie gehen Sie, meine Damen und Herren, angesichts dieser Abhängigkeiten mit Bedrohungen der Freiheit und Sicherheit des Cyber-Raums um? 

Diese Frage ist im 21. Jahrhundert existentiell geworden. 

Ausführungen zur Gefährdungslage  - acht Phänome 

Die IT-Sicherheitslage ist insgesamt angespannt!

Es kann jeden jederzeit treffen, mit unabsehbaren existenziellen Folgen. 

Bei einem Totalausfall der IT-Systeme müssten in Deutschland geschätzte 25 Prozent der Unternehmen Insolvenz anmelden, wenn der Schaden nicht innerhalb von ein oder zwei Tagen behoben wird. 

Auch die staatlichen Systeme werden angegriffen: Auf die Systeme der deutschen Regierung finden täglich zahlreiche Spionageangriffe statt – auch hier: Tendenz steigend. 

Neue Schadprogramme wie z.b. „Stuxnet, Flame oder Gauss“, die gezielt mehrere IT-Abwehrriegel durchbrochen haben, waren für viele seit 2010 ein Weckruf. Mit den DDoS-Attacken auf die US-Banken im Oktober wurde eine weitere Bedrohungsebene erreicht. 

Dass diese und andere mit breiter Resonanz in der Welt-Öffentlichkeit diskutierten Sicherheitsvorfälle nur die Spitze des Eisbergs darstellen, ist ebenfalls kein Geheimnis. Nichtamtliche Umfragen und Schätzungen gehen von Schäden in Milliardenhöhe aus.

  • Straftaten werden vom Geschädigten manchmal gar nicht erkannt oder willentlich nicht angezeigt.
  • Neben der Sorge um die Vertraulichkeit sensibler Daten fürchten die Unternehmen vor allem den Imageschaden.

Ein nüchterner Blick auf die IT-Vorfälle lässt uns acht Trends und Phänomene erkennen: 

  • Neben der weiterhin hohen Zahl an IT-Attacken ist mit einer gesteigerten Zielorientierung und Professionalisierung der Angreifer eine neue Qualität der Angriffe erkennbar. 
  • Wir beobachten einen umfassenden Missbrauch des Cyber-Raums als Feld zur Durchsetzung politischer, militärischer und ökonomischer Interessen. 
  • Zudem hat sich im Netz eine kriminelle Schattenwirtschaft mit arbeitsteilig organisierten Strukturen entwickelt. 
  • Angreifer müssen keine IT-Experten mehr sein: Sie können sich an angebotenen Schwachstellen und Dienstleistungen bis hin zur kompletten technischen Durchführung von Angriffen einschließlich Support, Mengenrabatten und Garantien einfach bedienen. 
  • Cyber-Angriffe werden nach den bisherigen Erkenntnissen von unterschiedlichen Akteuren mit verschiedensten Motivlagen durchgeführt. 
  • Herkunft und Hintergrund der einzelnen Angriffe lassen sich in den meisten Fällen nicht eindeutig identifizieren. 
  • Auch eine Unterscheidung zwischen privat motivierten Hackerangriffen und gezielten staatlichen Angriffen kann im Einzelfall kaum präzise vorgenommen werden. Zum Teil ist die Grenze auch schwimmend. 
  • Dabei ist die Masse der Angriffe nur erfolgreich, weil elementare Sicherheits-Vorkehrungen nicht beachtet wurden. 

Welche Konsequenzen sind aus diesem Sachverhalt zu ziehen? Effiziente Cyber-Sicherheit kann – und muss –vornehmlich durch präventive Schutzmaßnahmen gewährleistet werden.

Dabei kommt den in der Regel privaten Betreibern kritischer Infrastrukturen eine große Verantwortung zu. 

Es stellt sich dann die Frage, ob die Wahl der IT-Sicherheitsmaßnahmen, die Höhe des Schutzniveaus, gar das Ob von Schutzmaßnahmen allein den Unternehmen überlassen werden kann oder ob Regierungen zumindest für solche Bereiche kritischer Infrastrukturen, die für das gesellschaftliche Leben in den einzelnen Ländern existentiell sind, „lenkend“ eingreifen müssen. 

Sicher ist, dass die Gewährleistung von Cyber-Sicherheit eine zentrale gemeinsame Aufgabe für Staat, Wirtschaft und Gesellschaft ist. 

Die nationale IT-Sicherheitsstrategie als Antwort

Dabei kommt dem Staat eine doppelte Rolle zu: 

1.  Einerseits muss er als ein herausragender Akteur die Cyber-Sicherheit für seinen eigenen Bereich gewährleisten und mit gutem Beispiel vorangehen. 

2.  Aber noch wichtiger ist,  dass der Staat über den eigenen Bereich hinaus den notwendigen Rahmen für die IT-Sicherheitsmaßnahmen, besonders in den kritischen Infrastrukturen, schafft, von denen die Sicherheit und der Wohlstand des ganzen Landes abhängig sind. 

Deutschland hat sich mit der im Februar 2011 beschlossenen Nationalen Cyber-Sicherheitsstrategie der Bundesregierung als einer der ersten Staaten strategisch positioniert: 

Die Cyber-Sicherheitsstrategie legt den Schwerpunkt auf Prävention, Reaktion und Nachhaltigkeit. Sie enthält die folgenden Punkte: 

1. Den verstärkten Schutz Kritischer Infrastrukturen sowie der Regierungssysteme vor IT-Angriffen. Schon seit 2007 hat die Bundesregierung eine entsprechende „public private partnership“ aufgebaut, in der staatliche Stellen und Betreiber kritischer Infrastrukturen eng zusammenarbeiten. In diesem Rahmen haben wir im Jahre 2011 die erste Cyber-Übung durchgeführt, an der mehr als 3.000 Menschen in verschiedenen Verwaltungen von Bund und Ländern und den kritischen Infrastrukturen mitgewirkt haben. 

2. Den Schutz der IT-Systeme in Deutschland einschließlich einer Sensibilisierung der Bürgerinnen und Bürger. Hierzu gehört auch die Anti-Botnetz-Initiative, die wir gemeinsam mit den Providern gegen Botnetze durchgeführt haben.

3. Den Aufbau eines Nationalen Cyber-Abwehrzentrums. Teilnehmer aller Sicherheitsbehörden mit IT-know how arbeiten in dieser Informationsdrehscheibe zusammen, um schnell und effizient auf IT-Vorfälle reagieren zu können. Es geht hier um Schadensvermeidung oder –Minimierung durch schnellstmögliche Analyse, Bewertung und Empfehlung von Schutzmaßnahmen. 

4. Die Einrichtung eines Nationalen Cyber-Sicherheitsrates, auf Staatssekretärsebene. Diesem stehe ich persönlich vor. In dem Regierungsgremium, dem auch Wirtschaftsvertreter angehören, werden neue Fragen der Cyber-Sicherheit, mögliche Auswirkungen für Deutschland und daraus folgend die Positionierung der Bundesregierung erörtert . 

Und ein weiteres sehr wichtiges Ziel der Strategie lautet: Effektives Zusammenwirken für Cyber-Sicherheit in Europa und weltweit.

Aktuelle Entwicklung: Das IT-Sicherheitsgesetz 

Brauchen wir für mehr IT-Sicherheit also ein „Mehr an staatlichem Handeln“ oder setzen wir auf die „Selbstregulierungskräfte der Wirtschaft“ und die „Verantwortung des Einzelnen?“ 

Dazu mag es unterschiedliche Sichtweisen und Bewertungen geben. Sicher aber ist – und das zeigt gerade jetzt wieder die Bewältigung der Naturkatastrophe Sandy-, dass in Krisenzeiten einzig der Staat in der Lage ist, die öffentliche Sicherheit aufrecht zu erhalten, Aufräumarbeiten zu koordinieren, im Zweifel Sonderrechte zu Lasten einzelner einzuräumen zu Gunsten der Gesellschaft. So war es die Polizei in New York, die durch ihre Anwesenheit an fast jeder Straßenkreuzung im stromlosen und dunklen Manhattan die Einhaltung von Recht und Ordnung sichergestellt hat. Und es sind die staatlichen Behörden, die die Aufräumarbeiten koordinieren. 

In Deutschland forderte die Mehrzahl der befragten Führungskräfte aus Wirtschaft und Politik im September auch ohne eine vergleichbare Naturkatastrophe in einer repräsentativen Cyber-Sicherheitsstudie ein weitergehendes staatliches Handeln bei der Cybersicherheit. 

57 % der Führungskräfte sehen den Staat für die Sicherstellung der Funktionsfähigkeit der Kommunikations- und Datenübertragungsnetze verantwortlich und nur 23% die Unternehmen. 

Was folgt daraus für den Schutz der kritischen Infrastrukturen? Im Sinn einer Analyse der Situation hat der Bundesminister des Innern von April bis September 2012 mit den Verantwortlichen aus acht Sektoren kritischer Infrastrukturen persönlich intensive Gespräche über die IT-Schutzniveaus geführt. 

Bereits dieser Dialog hat einerseits das Bewusstsein für die Anforderungen an IT-Sicherheit weiter geschärft. Andererseits wurde offensichtlich, dass die einzelnen Branchen sehr unterschiedlich aufgestellt sind. 

Die Auswertung der Gespräche hat zu der Erkenntnis geführt, dass zur weiteren Verbesserung der IT-Sicherheit in Deutschland folgende weitere Schritte erforderlich sind: 

  • die Betreiber kritischer Infrastrukturen, die auf Grund der möglichen Folgen eines Ausfalls oder einer Beeinträchtigung naturgemäß eine besondere gesamtgesellschaftliche Verantwortung haben, sind zu einer Verbesserung des Schutzes der von ihnen eingesetzten Informationstechnik und zur Verbesserung ihrer Kommunikation mit dem Staat anzuhalten, 
  • die Telekommunikations- und Telemediendiensteanbieter, die eine Schlüsselrolle für die Sicherheit des Cyberraums haben, sind stärker als bisher hierfür in die Verantwortung zu nehmen und 
  • das Bundesamt für die Sicherheit in der Informationstechnik ist als nationale IT-Sicherheits-Behörde in seinen Aufgaben und Kompetenzen zu stärken. 

Ein Weg, diese Ziele flächendeckend und verlässlich zu erreichen sind entsprechende gesetzliche Vorgaben. 

Mit einem IT-Sicherheitsgesetz sollen daher jetzt

  • IT-Sicherheit-Mindeststandards für Betreiber kritischer Infrastrukturen gesetzlich verankert und aufgebaut,
  • Betreiber kritischer Infrastrukturen zur Meldung von erheblichen IT-Sicherheitsvorfällen verpflichtet,
  • Provider zur Information ihrer Kunden über Schadsoftware und zur Verfügungstellung von Mitteln zur Störungsbeseitigung angehalten und
  • Webseitenanbieter zur Implementierung von Schutzmaßnahmen gegen unerlaubte Zugriffe verpflichtet,
  • Die Industrie in die Verantwortung genommen werden.

Wir müssen daneben jedoch auch staatlicherseits unsere Angebote stärken:

Das Bundesamt für die Sicherheit in der Informationstechnik soll zukünftig zur Beratung und Unterstützung der KRITIS-Branchen, aber auch der Wirtschaft insgesamt, noch mehr befähigt werden. 

Es gilt nun gemeinsam mit allen Beteiligten eine Diskussion zu führen, um zu einem möglichst breiten Konsens bezüglich entsprechender gesetzlicher Vorgaben zu kommen. 

Zusammenarbeit mit Partnern in der Industrie 

Jenseits gesetzlicher Vorgaben sehe ich aber auch die Wirtschaft selbst in der Pflicht: 

IT-Produkte werden zusehends komplexer und damit anfälliger gegen Missbrauchs und Manipulationen. Gerede in sicherheitskritischen Bereichen ist daher die Zuverlässigkeit des Herstellers ein unverzichtbarer Vertrauensanker. Hersteller von IT-Produkten sind aber zunehmend technologisch abhängig von IT-Komponenten und -Services der Zulieferer. Dieser Umstand darf nicht dazu führen, dass wir uns von wenigen Herstellerländern, schlimmstenfalls von einem einzigen abhängig machen. 

Wir müssen uns überlegen, wie wir know how zu strategischen Kernkomponenten behalten und weiter entwickeln können, um auch in Zukunft zu der Schaffung von internationalen Standards beizutragen. Nur wer an Standards mitwirkt, in Forschung und Entwicklung investiert und neben Research auch über vertrauensvolle Hersteller verfügt, kann in der vernetzten Industriegesellschaft auch zukünftig bestehen. Mit Grundlagenforschung können wir auch die übernächste Technikgeneration mitbestimmen. 

Dabei müssen wir zukünftige Technologiebereiche wie z.B. die Sichere Cloud identifizieren, die neue Bedürfnisse der Nutzer und Anwender wecken und zu prosperierenden Märkten führen. Intensiver als bisher sollte daher versucht werden, die verfügbaren Ressourcen der öffentlichen Hand mit denen der Privatwirtschaft zu kombinieren. 

Internationale Herausforderungen der Cyber-Sicherheit

Der rasante technologische Fortschritt im Bereich der IT hat die Welt innerhalb kurzer Zeiträume digital vernetzt. Daher stellen sich auch auf internationaler Ebene nicht leicht zu beantwortende Fragen, insbesondere im Bereich des Völkerrechts: 

Wie weit geht die Verantwortung eines Staates, Angriffe auf IT-Systeme, die von seinem Territorium ausgehen, zu unterbinden? Dürfen Staaten ggf. außerhalb eigener Netzwerke operieren, um drohende schwerwiegende Angriffe bei Gefahr im Verzug auch im Ausland abwehren zu können? 

Diese und weitere, die Staatengemeinschaft betreffenden Fragen werden in verschiedenen Gremien erörtet. Deutschland beteiligt sich an der Diskussion. 

Die Bundesregierung hat sich mit der Cyber-Sicherheitsstrategie zum Ziel gesetzt, ein effektives Zusammenwirken für Cyber-Sicherheit in Europa und weltweit zu erreichen. 

Auf internationaler Ebene setzen wir uns als ersten Schritt dafür ein, auf der Grundlage des geltenden Völkerrechts einen Verhaltenskodex zu sicherheits- und vertrauensbildenden Maßnahmen im Cyber-Raum zu schaffen, die „Norms of State Behaviour“.

Zum Aufbrechen der asymmetrischen Bedrohungssituation muss es darum gehen in der nächsten Stufe der internationalen Zusammenarbeit sensitive Cybersicherheitsinformationen miteinander zu teilen. Ziel muss es sein, mit vertrauensvollen Partnern ein valides Lagebild für die stragische Ausrichtung der Cybersicherheitspolitik zu erstellen. Nennen wir es einen „Cyber weather forecast“. 

Fazit:

Die Bundesregierung ist sich der Bedeutung des Cyberraums als Raum der Freiheit, der Sicherheit und des Rechts – national wie international - bewusst.

Mit der Cyber-Sicherheitsstrategie hat die Bundesregierung die Weichen dafür gestellt, durch organisatorische und rechtliche Maßnahmen die Chancen des Cyber-Raums zu erhalten und gegen Angriffe zu schützen. 

IT-Sicherheit ist der Schlüssel zum Erfolg für unsere Zukunft: Es kommt tatsächlich auf jeden Einzelnen an. Dabei sind die Erfolge immer wieder zu messen an den neuen Gefährdungen. Nur wer sein Handeln immer wieder daran mißt, wird auch in Zukunft gut aufgestellt sein. 

In diesem Sinne danke ich noch einmal für die Verleihung des Cyber-Award an Deutschland und wünsche dem „Symantec Security Summit 2012“ und Ihnen allen viel Erfolg, spannende Foren und einen regen Austausch. 

Vielen Dank.