NavigationUndService

Inhalt

IT-Sicherheit

Datum
17.04.2013

Es gilt das gesprochene Wort.

Sehr geehrte Damen und Herren,

vielen Dank für die Gelegenheit, zum Auftakt Ihrer Jahrestagung zu Ihnen zu sprechen. Bitte entschuldigen Sie, dass Minister Dr. Friedrich kurzfristig absagen musste. Der Innenausschuss des Deutschen Bundestages hat ihn zur Stunde eingeladen, und diese Verpflichtung geht natürlich vor.

Ich freue mich, dass ich als CIO des Bundes zu dieser ersten Jahrestagung von VOICE beitragen kann. Den Prozess der Verbindung der drei deutschen CIO-Verbände zu diesem gemeinsamen Verband habe ich mit Interesse verfolgt. Ich beglückwünsche Sie, dass es gelungen ist, mit VOICE einen starken deutschen CIO-Verband zu erreichten. Die bisherige Zusammenarbeit, von Green-IT bis zur Cybersicherheit, bewerte ich als überaus positiv. Ich ermuntere Sie, sich als Vertreter von vielen Millionen IT-Anwendern in Deutschland intensiv in die Diskussion über IT-Politik einzubringen. Die Politik hat ein Interesse daran, nicht nur die Stimme der IT-Herstellerunternehmen zu hören, sondern auch die Sicht der IT-Anwenderunternehmen kennenzulernen.

IT ist in allen Lebensbereichen etabliert und zudem mittlerweile fast durchgängig vernetzt. Damit sind wir auf eine fehlerfrei funktionierende Informationstechnik angewiesen; für viele Unternehmen ist ein schneller Internetzugang geschäftsentscheidend.

So ist im Finanzwesen die Abwicklung des bargeldlosen Zahlungsverkehrs ohne leistungsfähige IT-Infrastruktur nicht vorstellbar und auch das Gesundheitswesen kommt ohne eine funktionsfähige IT-Ausstattung nicht mehr aus. Hochschulforschung und Hochschullehre können sich im internationalen Wettbewerb nur mit dem Einsatz guter Kommunikationstechnologie behaupten, und der Energiesektor kann nur durch den Aufbau intelligenter Energienetze den geänderten Anforderungen an die Energieversorgung Rechnung tragen.
Auch die öffentliche Verwaltung ist auf eine gut funktionierende IT-Ausstattung angewiesen. Dies ist u.a. auch deshalb der Fall, weil sie den Bürgerinnen und Bürgern immer mehr Leistung online anbietet, z.B. bei der elektronischen Steuererklärung. Dabei kommen zwecks Identifizierung des Antragstellers Personalausweise mit elektronischem Identitätsnachweis zum Einsatz. Von über 20 Millionen neu ausgegebenen Personalausweisen wurden seit dem 1. November 2010 mehr als 5,5 Millionen Dokumente mit aktivierter elektronischer Identifikation ausgestellt.

„Digitale“ Infrastrukturen sind Voraussetzung, um die Wettbewerbsfähigkeit des Standorts Deutschland im globalen Markt zu erhalten. Weltweit basieren 40 % der Wertschöpfung auf der Informations- und Kommunikationstechnologie. Auf der einen Seite gilt es, diese Chancen zu nutzen, andererseits aber auch die Risiken so gering wie möglich zu halten, die mit der immer weiter steigenden Abhängigkeit von diesen Strukturen einhergehen.

Neue Gefährdungen wie Cyberangriffe, Angriffe auf mobile Endgeräte und Attacken, die auch außerhalb der klassischen IT greifen, stellen eine gemeinsame Herausforderung für Politik, Wirtschaft und Gesellschaft dar. Fünf Spionageangriffe allein auf Regierungssysteme in Deutschland finden täglich statt – und die Tendenz ist steigend. Ebenso wie die Bundesregierung sind auch klein- und mittelständische Unternehmen und internationale Konzerne Ziel spezialisierter Angriffe. Von Cyber-Angriffen bedroht sind auch Betreiber kritischer Infrastrukturen. Ein besonderes Beispiel hierfür bilden die Angriffe auf den weltweit größten Öl-Produzenten „Aramco“ aus dem letzten Jahr, bei dem 30.000 Rechner des Unternehmens mit einem Virus infiziert wurden und ausgetauscht werden mussten. Ein Ausfall seiner Ölproduktion, der jetzt zum Glück nicht erfolgt ist, hätte weltwirtschaftliche Auswirkungen haben können.

Die Gewährleistung von IT-Sicherheit ist mithin eine zentrale Herausforderung unserer Zeit. Und nur, wenn Hersteller, Provider, Sicherheitsexperten und Sicherheitsverantwortliche und – das nicht zuletzt – Sie, die Anwender, effektiv zusammenwirken, können wir hier erfolgreich sein und eine vernünftige Balance herstellen zwischen Chancennutzung beim Gebrauch sich rasant weiterentwickelnder Informationstechnologie und Sicherheit in einem digitalisierten Raum.

Beim IT-Schutz müssen wir verstärkt global denken; dies gilt insbesondere auch für den IT-Schutz kritischer Infrastrukturen. Die Basis bildet aber nationales Handeln. In Deutschland haben wir mit der Cyber-Sicherheitsstrategie die Grundlagen gelegt, um Cyber-Sicherheit auf einem hohen Niveau zu gewährleisten und dabei zugleich die sich bietenden Chancen dieser Technologie zu nutzen.

Diese Strategie verfolgt einen präventiven Ansatz und ist auch im Ausland als ein wichtiger strategischer Schritt anerkannt. Anfang November letzten Jahres wurde die Bundesregierung für ihre Cyber-Sicherheitsstrategie mit dem „Cyber-Award“ in der Kategorie „International – Civilian“ ausgezeichnet. Damit wurde der Bundesregierung bescheinigt, dem Thema IT-Sicherheit eine strategisch wichtige Bedeutung zugewiesen und eine Führungsrolle bei nationalen und internationalen Großprojekten wie der Entwicklung von Datenschutz-Standards oder Gesetzesvorhaben übernommen zu haben.

Wie ich einleitend betont habe, stehen aber Wirtschaft, Staat und Gesellschaft vor einer gemeinsamen Herausforderung. Daher ist es konsequent, dass unsere Strategie Privatanwender ebenso einschließt wie kleine und große Unternehmen einschließlich der kritischen Infrastrukturen.Ich möchte die Gelegenheit wahrnehmen, auf einige Aspekte dieser Strategie kurz einzugehen, um sie in die anschließende Diskussion einzubeziehen. Politisches Steuerungsgremium für die Umsetzung der Cyber-Sicherheitsstrategie ist der Cyber-Sicherheitsrat.

In diesem Gremium, das von mir in der Funktion als Beauftragte der Bundesregierung für Informationstechnik geleitet wird, sind das Bundeskanzleramt sowie, mit jeweils einem Staatssekretär, die Ressorts Auswärtiges Amt, Bundesministerium der Verteidigung, Bundesministerium für Wirtschaft und Technologie, Bundesministerium der Justiz, Bundeministerium der Finanzen, Bundesministerium für Bildung und Forschung sowie zwei Vertreter der Länder vertreten. Anlassbezogen wird der Kreis um weitere Ressorts erweitert. Wirtschaftsvertreter - BITKOM, DIHK, BDI und ein Übertragungsnetzbetreiber - werden als assoziierte Mitglieder eingeladen, Vertreter der Wissenschaft bei Bedarf hinzugezogen.

Im Cyber-Sicherheitsrat werden Themenschwerpunkte der Zusammenarbeit innerhalb der Bundesregierung sowie zwischen Staat und Wirtschaft mit dem Ziel eines koordinierten nationalen Vorgehens festgelegt.

Mit der Einrichtung eines Nationalen Cyber-Abwehrzentrums haben wir die Basis für die Koordination der operativen Zusammenarbeit der mit Cybersicherheit befassten Bundesbehörden geschaffen. Hier bringen das Bundesamt für Sicherheit in der Informationstechnik, das Bundesamt für Verfassungsschutz, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, das Bundeskriminalamt, die Bundespolizei, die Bundeswehr, das Zollkriminalamt und der Bundesnachrichtendienst ihren Sachverstand ein, um sich bei der Aufgabenwahrnehmung gegenseitig zu unterstützen. Ziel dieser Kooperation ist es, durch eine Bündelung von Erkenntnissen und Erfahrungen hinsichtlich neuer technischer IT-Bedrohungen eine schnelle und effiziente Einschätzung der Bedrohungssituation abgeben, zeitnah reagieren und Abwehrmaßnahmen in die Wege leiten zu können.

Auch die Wirtschaft soll von den Arbeiten des Cyber-Abwehrzentrums profitieren. Daher ist das BSI im Begriff, die für die Betreiber kritischer Infrastrukturen zuständigen Aufsichtsbehörden hier anzubinden. Mit dieser weiterführenden Kooperation soll sichergestellt werden, dass im Falle schwerwiegender Angriffe auf kritische Infrastrukturbereiche in Deutschland allen Beteiligten die notwendigen Informationen zeitnah zur Verfügung gestellt werden können. Nur so ist ein unverzügliches abgestimmtes Handeln aller Beteiligten im Angriffsfall möglich.

Ein besonderer Schwerpunkt der Cyber-Sicherheitsstrategie ist die IT-Sicherheit kritischer Infra-strukturen. Die Bundesregierung arbeitet zu diesem Zweck bereits seit 2005 im sogenannten Umsetzungsplan KRITIS (UPK) kooperativ mit den Betreiber-Unternehmen zusammen. Um den IT-Schutz kritischer Infrastrukturen weiter zu stärken und flächendeckend voranzubringen, hat Herr Bundesminister Dr. Friedrich von Mai bis September letzten Jahres Gespräche mit Unternehmensvorständen und Verbändevertretern aus den relevanten Sektoren geführt. Hier wurde deutlich, dass das Schutzniveau sehr unterschiedlich ist und insbesondere in bisher nicht regulierten Branchen bedenkliche Lücken bestehen. Die Bandbreite reicht von ausgeprägtem Risikomanagement und übergreifenden Sicherheitskonzepten, die durch Audits überprüft werden, bis hin zu einer „nur“ ersten Auseinandersetzung mit dem Thema.

Angesichts der eingangs dargelegten Bedrohungslage ist gesetzgeberisches Handeln dringend geboten. Wir haben daher den Entwurf eines IT-Sicherheitsgesetz mit den folgenden drei Schwerpunkten auf den Weg gebracht: Erstens sollen die Betreiber kritischer Infrastrukturen, die auf Grund der möglichen Folgen eines Ausfalls oder einer Beeinträchtigung naturgemäß eine besondere gesamtgesellschaftliche Verantwortung haben, zu einer Verbesserung des Schutzes der von ihnen eingesetzten Informationstechnik und zur Verbesserung ihrer Kommunikation mit dem Staat bei IT-Vorfällen verpflichtet werden. Zweitens sollen die Telekommunikations- und Telemediendiensteanbieter, die eine Schlüsselrolle für die Sicherheit des Cyberraums haben, stärker als bisher hierfür in die Verantwortung genommen werden. Drittens soll das Bundesamt für Sicherheit in der Informationstechnik in seinen Aufgaben und Kompetenzen gestärkt werden.

Die Schaffung eines gesetzlichen Rahmens für mehr Kooperation und die Einhaltung von IT-Sicherheitsstandards erwächst als Konsequenz aus der Tatsache, dass wir allein mit freiwilligen Maßnahmen in der Vergangenheit hinter unseren Zielen zurückgeblieben sind. Das Maß der Selbstregulierung soll jedoch so hoch wie möglich sein. Die Vorgaben im Entwurf eines IT-Sicherheitsgesetzes sollen im Ergebnis dazu dienen, für alle Beteiligten einen Mehrwert zu generieren. Dem wird z.B. wie folgt Rechnung getragen:

  • Die geforderten Mindeststandards hinsichtlich der IT-Sicherheit kritischer Infrastrukturen sollen maßgeblich von den betroffenen Verbänden und Betreibern selbst als branchenspezifische Standards entwickelt werden; sie können anschließend zur staatlichen Anerkennung vorgelegt werden.
  • Die vorgesehenen Meldungen erheblicher IT-Sicherheitsvorfälle sollen insbesondere dazu dienen, ein valides Lagebild zu erstellen. Dies ist jedoch kein Selbstzweck. Vielmehr geht es im Ergebnis darum, die Betreiber kritischer Infrastrukturen wiederum ihrerseits mit den maßgeblichen aus den Meldungen generierten Informationen zu versorgen, damit diese sich noch besser aufstellen können. Es geht um eine gegenseitige Information auf der Basis wechselseitigen Vertrauens.

Kooperation aller Beteiligten bedeutet aber auch, dass diejenigen, die für die Kerninfrastruktur Internet naturgemäß eine besondere Verantwortung haben, dieser Verantwortung gerecht werden und ihrerseits dazu beitragen, das Internet sicher und verfügbar zu halten. Neben den genannten Maßnahmen zur Verbesserung der IT-Sicherheit kritischer Infrastrukturen im Allgemeinen enthält der Entwurf eines IT-Sicherheitsgesetzes daher spezifische Inhalte in Richtung der Provider. Die Nutzer müssen in die Lage versetzt werden, mögliche Störungen, die von ihren Systemen ausgehen, zu erkennen und soweit es eben geht auch zu beseitigen. Daher sollen die Nutzer von ihren Providern über bekannt gewordene Störungen unterrichtet werden. Auch sollen sie von den Providern, soweit dies möglich und zumutbar ist, Hinweise zur Beseitigung der Störungen zur Verfügung gestellt bekommen.

Wegen der zunehmenden Verbreitung von Schadsoftware durch das bloße Ansurfen von Webseiten müssen auch die professionellen Webseitenanbieter mehr für die Sicherheit des Gesamtsystems tun als bisher. Aus diesem Grund enthält der Gesetzesvorschlag auch Vorgaben für die Anbieter, angemessene Maßnahmen zum Schutz gegen unerlaubte Zugriffe zu treffen. Adressaten der Regelung sind dabei nur solche Telemediendiensteanbieter, die Telemedien geschäftsmäßig in der Regel gegen Entgelt anbieten und nicht etwa jeder Webseiten-Betreiber, der dort nur einen Blog betreibt.

Mit den Herausforderungen zunehmend hochkomplexer Informationstechnologie und damit einhergehender Abhängigkeiten und Sicherheitsanforderungen stehen wir – die Akteure auf nationaler Ebene – nicht allein. Ohnehin ist Sicherheit in einem globalen Cyber-Raum nicht nur auf nationaler Ebene zu erwirken. Auch auf internationaler Ebene müssen wir uns gut abstimmen.

Um den Rahmen nicht zu sprengen, möchte ich hierzu nur kurz auf folgende Maßnahmen hinweisen, die seitens der Bundesregierung u.a. aktiv mitgestaltet werden:

  • Auch die EU-Kommission fordert die Einhaltung von Mindestsicherheitsstandards und die Pflicht zur Meldung von IT-Sicherheitsvorfällen an die Behörden. Der Richtlinienvorschlag zur „Netzwerk- und Informationssicherheit“ (NIS) ergänzt den Entwurf einer Cyber-Sicherheitsstrategie der Kommission, der sich in wesentlichen Punkten mit der Cyber-Sicherheitsstrategie der Bundesregierung deckt.
  • Die G8-Staaten widmen der Bekämpfung von Botnetzen[1] besondere Aufmerksamkeit und befürworten ausdrücklich die Entwicklung von Normen für verantwortliches Verhalten von Staaten im Cyber-Raum. Grundlage ist u.a. eine Gipfelerklärung der Staats- und Regierungschefs vom Mai 2011 in Deauville.
  • In der NATO setzt sich die Bundesregierung dafür ein, dass die NATO-Cyber-Verteidigungspolitik vom Juni 2011 umgesetzt wird und sich beispielsweise auf Basis des einschlägigen NATO-Aktionsplans die Praxis der NATO-Cyber-Übungen verstetigt und auf alle Verbündeten, geeignete Partnerstaaten sowie die EU ausgeweitet und vertieft wird.
  • Im Rahmen der Vereinten Nationen bringt sich Deutschland aktiv bei den Arbeiten einer Gruppe von Regierungsexperten zum Thema Cybersicherheit ein. Ziel dieser Gruppe ist es, einen Bericht zu verantwortungsvollem staatlichen Handeln im Cyberraum zu erarbeiten.

Weitere Kooperationen erfolgen zum Teil bilateral; darüber hinaus engagiert sich Deutschland auch im Rahmen der OECD sowie beim Europarat. 

Eine zukunftsgerichtete Informationsgesellschaft in Deutschland kann nur eine sichere sein; sie zu verwirklichen, liegt in unserer gemeinsamen Verantwortung. „Eine Gesamtverantwortung“ für das Internet in nur einer Hand ist unrealistisch, und es wird immer schwieriger, für den „Cyberraum“ generell gültige Regelungen und gegenseitige Vereinbarungen zu treffen. Es sind vor allem Hersteller und Entwickler von IT-Systemen, die Sicherheit als festen Bestandteil schon bei der Konzeption ihrer Produkte und Systeme anzusehen haben. Verantwortlich ist aber auch jeder einzelne Nutzer und IT-Anwender. Wie die meisten von Ihnen sicher wissen haben das Bundesamt für Sicherheit in der Informationstechnik – BSI – sowie der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. – BITKOM –daher eine „Allianz für Cyber-Sicherheit“ gegründet. Für diejenigen, die noch nicht im Detail über die Allianz informiert sind, möchte ich nachfolgend kurz bilanzieren, wo wir derzeit mit dieser Allianz stehen. Zuvor möchte ich jedoch hervorheben, dass das BMI mit VOICE bereits erste sehr gute Gespräche geführt hat, um die Zusammenarbeit im Rahmen der Cyber-Allianz zu gestalten und somit zu einer Verbesserung der Situation von Anwenderunternehmen hinsichtlich möglicher Sicherheitsrisiken beizutragen. Ich möchte hier die Gelegenheit nutzen, mich bei VOICE hierfür nochmals ganz herzlich zu bedanken.

Die Allianz für Cyber-Sicherheit bietet allen wichtigen Akteuren im Bereich der Cybersicherheit in Deutschland – außerhalb der Kritischen Infrastrukturen – eine Plattform. Auf Grund der besonderen Bedeutung der Kritischen Infrastrukturen bauen wir dort die gewachsene und vertrauensvolle Zusammenarbeit im Umsetzungsplan KRITIS (UPK) weiter aus. Die sensitiven Informationen aus dieser Zusammenarbeit können allerdings nur personalisiert zwischen dessen Teilnehmern ausgetauscht werden – allgemeinere Informationen sollen natürlich sowohl den Teilnehmern am UPK als auch den Allianzteilnehmern zugänglich sein.

Hier fließen auch die Bewertungen und Empfehlungen des Nationalen Cyber-Abwehrzentrums ein. Das BSI ist Bindeglied zwischen UPK, Allianz, den Bundesbehörden über CERT-Bund (Computer Emergency Response Team)[2] und dem Cyberabwehrzentrum. Damit diese Kompetenz immer besser genutzt wird, möchte ich im Anschluss mit Ihnen auch diskutieren, welche Vorstellungen Sie ggf. haben, sich im Rahmen der Allianz für Cyber-Sicherheit einzubringen und wie Ihre Erwartungshaltung in diesem Zusammenhang ist. Daher werde ich im Folgenden erläutern, wo wir mit der Allianz für Cyber-Sicherheit derzeit stehen.

Mit dem Ziel, die Cyber-Sicherheit in Deutschland zu erhöhen und die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken, baut die Allianz für Cyber-Sicherheit eine umfangreiche Wissensbasis hierfür auf und unterstützt den gegenseitigen Informations- und Erfahrungsaustausch. Hierzu werden u.a. folgende Maßnahmen ergriffen:

  • Auf der einen Seite erarbeitet das BSI Empfehlungen und Analysen im Kontext der Cyber-Sicherheit, auf der anderen Seite stellen Experten aus der Wirtschaft ihr Know-how nach und nach in ihrer Rolle als Partner der Allianz zur Verfügung. Ein großer Teil der Informationen wird öffentlich auf den Webseiten der Allianz zur Verfügung gestellt, einige Informationen allerdings nur registrierten Teilnehmern in einem nicht-öffentlichen Bereich.
  • Zum Erfahrungsaustausch zwischen den Institutionen veranstaltet die Allianz für Cyber-Sicherheit Treffen sowohl für Partner als auch für Teilnehmer der Allianz. In regionalen oder überregionalen Foren, in Experten- oder Branchenkreisen kann über gemeinsame Herausforderungen und mögliche Lösungen diskutiert werden. Durch einen von gegenseitigem Vertrauen geprägten Rahmen soll erreicht werden, dass bestehende Probleme offen ausgesprochen und Cyber-Angriffe auf die eigene Infrastruktur nicht weiter verschwiegen werden.

Die Allianz für Cyber-Sicherheit richtet sich vorrangig an Unternehmen. Interessenten können sich in drei verschiedenen Rollen an der Allianz beteiligen: als Teilnehmer, Partner oder Multiplikatoren.

  • Teilnehmer der Allianz können alle Institutionen in Deutschland werden, vertreten durch die für die IT oder die IT-Sicherheit Verantwortlichen. Betreiber Kritischer Infrastrukturen, die am Umsetzungsplan teilnehmen, partizipieren ohnehin an dem Informationsfluss. Teilnehmer profitieren von den Informationen und Erfahrungsaustauschen der Allianz, um die IT-Sicherheit ihrer eigenen Institution zu verbessern.
  • Partner der Allianz sind Experten zum Thema „Cyber-Sicherheit“, also insbesondere Unternehmen aus der IT-Branche bzw. deren Mitarbeiterinnen und Mitarbeiter.
    Partner bringen sich mit ihrem Know-how in die Allianz ein und fördern somit die Cyber-Sicherheit in Deutschland aktiv.
  • Multiplikatoren der Allianz sind Verbände, Gremien oder Medien, die die Wirkung der Allianz in die Fläche bringen wollen. Multiplikatoren können beispielsweise Veranstaltungen zum Thema „Cyber-Sicherheit“ organisieren oder die Inhalte des Informationsangebotes der Allianz ihren Mitgliedern oder Kunden aktiv weitergeben.

Bislang engagieren sich über 200 Institutionen in der Allianz, davon über 140 Institutionen aus der Wirtschaft und öffentlicher Verwaltung als Teilnehmer, über 60 Institutionen als Partner sowie BITKOM und weitere Institutionen als Multiplikatoren. Mein Angebot an Sie: Beteiligen Sie sich aktiv an der Allianz für Cyber-Sicherheit und nehmen Sie eine Rolle in diesem Verbund ein. Jeder kann sich auch für das Portal der Allianz freischalten lassen. Dies ist bereits für mehr als 300 Personen der beteiligten Institutionen erfolgt.

Um ein verlässliches Lagebild zu erhalten, wurde beim BSI eine zentrale Meldestelle für die anonymisierte Meldung von Angriffen auf die IT-Infrastruktur von Unternehmen eingerichtet. Es wurden bereits einige Meldungen seit Gründung der Allianz entgegengenommen und 30 Warnungen ausgesprochen. Auch hier möchte ich mich mit der Bitte an Sie wenden, Vorfälle mit Sicherheitsrelevanz in den IT-Strukturen Ihrer Unternehmen zu melden, damit das BSI das Lagebild verbessern kann. Auch Sie profitieren von diesem Lagebild, denn Warnungen und Lageinformationen erreichen umgekehrt wieder die Unternehmen und diese können sich dann schnell auf eine neue Sicherheitslagen einstellen.

Eine Beteiligung ist natürlich auch über zahlreiche Veranstaltungen der Allianz möglich. So haben sich bislang über 800 Experten seit Bestehen der Allianz auf Veranstaltungen ausgetauscht. Dass das Interesse hieran groß ist, zeigt auch die hohe Zahl an Teilnehmern bei der Cyber-Sicherheits-Fachtagung des BSI im Mai 2012.

Auch Sie können sich an Treffen von Expertenkreisen beteiligen, um Expertise gegenseitig nutzbar zu machen und BSI-Empfehlungen zu validieren.

Im Rahmen der sich anschließenden Diskussion wäre ich besonders daran interessiert zu erfahren:

  • Welche Unterstützung erwarten Sie vom Staat?
  • Würden Sie der Allianz für Cybersicherheit beitreten und auch Vorfälle melden, anonym oder unter welchen anderen Bedingungen?
  • Welche weiteren Aktivitäten zu Ihrer Unterstützung würden Sie von Seiten der Allianz für Cybersicherheit begrüßen?
  • Würden Sie eine IT-Unterstützungsgruppe unter Leitung des BSI, in der auch Spezialisten außerhalb der öffentlichen Verwaltung aus unterschiedlichen Fachbereichen mitarbeiten sollen, in Anspruch nehmen und ihr Zugang zu Systemen gewähren?

     

Die Wirtschaftsverfassung der Bundesrepublik Deutschland ist durch die Vorgaben des Grundgesetzes bewusst offen gehalten; unser Marktsystem ist darauf angelegt, stets neu entwickelte Handlungsmöglichkeiten zu eröffnen. Selbstkoordination und Selbstkontrolle der Wirtschaftsakteure sind wichtige Prinzipien dieses marktwirtschaftlichen Systems. In Bezug auf die IT-Sicherheit müssen wir ein hohes Maß an Vertrauen in die Zuverlässigkeit der Hersteller bzw. deren Produkte setzen. Als IT-Anwender müssen wir uns darauf verlassen können, dass die Produkte und Systeme, die wir kaufen, einen hinreichenden Sicherheitsstandard aufweisen. Die rasante Entwicklung in der Informationstechnologie ist einer staatlichen Einflussnahme in weiten Bereichen entzogen. Dies umso mehr, als im globalen Feld der deutsche IT-Sicherheitsmarkt eine untergeordnete Rolle spielt. In Deutschland ist diese Sparte von kleinen und mittelständischen Unternehmen geprägt. Diese stehen in Konkurrenz mit den Global Playern. Deutsche Unternehmen werden unter diesem Konkurrenzdruck zu potenziellen Übernahmezielen.

Es besteht die Gefahr, dass weitere deutsche mittelständische Unternehmen der IT-Sicherheitsindustrie von ausländischen oder aus dem Ausland gesteuerten Unternehmen erworben werden und damit eine Abhängigkeit Deutschlands von ausländischen Herstellern entsteht. Der Erhalt einer eigenständigen nationalen IT-Sicherheitsindustrie für strategisch bedeutsame Einsatzbereiche ist aber erforderlich, nicht zuletzt deshalb, weil Produkte führender IT-Nationen Exportkontrollen unterliegen und somit die Verfügbarkeit nicht immer hinreichend gewährleistet ist. Auch können bei ausländischen Produkten Sicherheitslücken und Manipulationen durch technisch-organisatorische Prüfungen und Sicherheitsmaßnahmen in Deutschland in der Regel weder zuverlässig ausgeschlossen noch versteckte systemschädliche Funktionalitäten zuverlässig aufgedeckt werden. Die Vertrauenswürdigkeit von Produkten kann mithin in der Regel bei Unternehmen mit Sitz und Fertigungsschwerpunkt in Deutschland deutlich besser beurteilt werden.

Für die Entwicklung und Bereitstellung von IT-Produkten muss daher die nationale technologische Souveränität, repräsentiert durch wirtschaftlich stabile, vertrauenswürdige Unternehmen und Kompetenzträger, gestärkt werden. Inwiefern uns das gelingt, steht natürlich unter Berücksichtigung der dargelegten Rahmenbedingungen weitestgehend unter der Prämisse der Freiwilligkeit der Wirtschaftsakteure.

In diesem Zusammenhang möchte ich die Frage aufwerfen, welche Handlungsoptionen dem Staat im Hinblick auf die nationale IT-Industrie gegebenenfalls noch verbleiben.

Denn, wie deutlich wurde, sind Regelungen, die z.B. eine Etablierung von Sicherheitsvorgaben bzw. Sicherheitsstandards in Form von technischen Richtlinien und die Verpflichtung zum Einsatz zertifizierter Produkte vorsehen, für sich genommen nicht der Königsweg. Auch die Novellierungen im Außenwirtschaftsgesetz sind nur ein wichtiger Teilbeitrag. Betrachtet man die Beispiele Frankreich, USA, bis zu einem gewissen Grade auch Russland und China, so stellt sich die Frage, ob wir für strategisch wichtige Produktbereiche nicht eine aktivere Industriepolitik benötigen, die gezielt Investitionen in Zukunftstechnologien fördert und dadurch den Erhalt von leistungsfähigen innovativen Herstellern in Deutschland sicherstellt. Auch hierzu würde mich Ihre Auffassung interessieren. Darüber hinausgehende Handlungsoptionen könnten z.B. Förderprogramme zur Forschung und Entwicklung in strategisch relevanten Technologiebereichen sein, um die Entwicklung global wettbewerbsfähiger Technologien und Produkte voranzutreiben.

Ein weiteres Feld könnte die aktive Beteiligung der Bundesregierung an strategisch wichtigen deutschen Unternehmen sein, um den Erwerb von Anteilen an inländischen Herstellern mit dem Ziel der Einflussnahme durch ausländische Investoren zu verhindern. Auf der europäischen Ebene könnte eine Kooperation nach dem Vorbild der Flugzeugindustrie oder der Satellitenherstellung in strategisch relevanten Technologiebereichen gefördert werden.

Ihnen als IT-Anwender obliegt die Entscheidung, bei welchem Hersteller Sie letztendlich Ihre Produkte kaufen. Mein Appell an Sie: Berücksichtigen Sie bei Ihren Kaufentscheidungen IT-Sicherheit in ganz besonderem Maße. Ihre Meinung dazu wäre für mich ein weiterer wichtiger Punkt für die nachfolgende Diskussion.

Es ist natürlich wichtig, dass sich die Anwender von IT-Produkten ständig z.B. durch Lektüre der regelmäßigen Veröffentlichungen über neue Produktversionen informieren, um von den erweiterten Schutzmaßnahmen der Produkthersteller profitieren zu können. Leider ist es so, dass nach wie vor viele Unternehmer und Nutzer die Gefahr aus dem Netz unterschätzen und somit Produktlösungen, die vertrauenswürdige Hersteller anbieten, nicht hinreichend nutzen. Hier ist meines Erachtens mehr Sensibilisierung des Sicherheitsbewusstseins insbesondere der Entscheider in den Unternehmen aber auch aller Mitarbeiter erforderlich, um für eine erhöhte IT-Sicherheit Sorge zu tragen. Die Einrichtung eines IT-Sicherheitsmanagements im Unternehmen, Schulungen oder z.B. die Durchführung regelmäßiger Audits der IT-Sicherheitsmaßnahmen durch unternehmensinterne oder – externe Auditoren sind einige Handlungsoptionen, um mangelndem IT-Sicherheitsbewusstsein abzuhelfen.

Gern können wir darüber diskutieren, wo weitere Handlungsoptionen z.B. in Zusammenarbeit mit dem Verband bestehen und die Bundesregierung dabei noch weitere Unterstützung leisten kann.

Ihr Sicherheitsbewusstsein spielt im Zusammenspiel aller Akteure bei der Gewährleistung einer hinreichenden IT-Sicherheit eine gewichtige Rolle. Denn Sie, die IT-Anwender, tragen dazu bei, dass die erforderlichen Sicherheitsmaßnahmen in der Fläche umgesetzt werden. Ich freue mich daher auf eine sicherlich anregende Diskussion.

[1] Von Botnetzen spricht man, wenn sehr viele PCs per Fernsteuerung zusammengeschlossen und zu bestimmten Aktionen missbraucht werden (Quelle: BSI für Bürger). 

[2] CERT-Bund (Computer Emergency Response Team für Bundesbehörden) ist die zentrale Anlaufstelle für präventive und reaktive Maßnahmen bei sicherheitsrelevanten Vorfällen in Computer-Systemen und im BSI angesiedelt.