IT-Sicherheit wird in Deutschland groß geschrieben. Seit den Snowden-Enthüllungen ist klar, dass aber speziell die Souveränität der Unternehmen, beziehungsweise deren Betriebsgeheimnisse, durch Zugriffe der USA, Großbritannien und dem Silicon Valley untergraben und ausgeholt sind. Staatliche Sicherheitsgesetze scheinen eher eine Mogelpackung zu sein.
Auch wenn sich der Linus Neumann meines Erachtens nur oberflächlich mit dem Thema im Magazin iRights Das Netz auseinandersetzt, war sein Artikel „IT-Sicherheit – Mogelpackung inklusive“ Anreiz für diesen Artikel. „Da sich kommerzielle Software nicht selten öffentlichen Prüfungsmöglichkeiten entzieht, könnte eine Anbieterhaftung für Sicherheitslücken Anreize für interne Audits setzen – oder sogar das öffentliche Bereitstellen von Quellcode attraktiv machen“, so Linus, Sachverständiger für IT-Sicherheit. Seine Forderung ist nachvollziehbar, meines Erachtens aber nicht durchsetzbar. Zum einen sitzen die meisten Unternehmen, von denen wir Software beziehen, in den USA, zum anderen ist die Abhängigkeit Europas von Geheimdienst-geprägten Ländern das weitaus größere Problem.
Cybersicherheit: letzte Schlacht um Europas Freiheit
Eigene Business-fähige Cloudlösungen sind in Europa leider noch selten. Microsoft, Google und andere US-Konzerne sind uns gefühlt um Jahre voraus. IT-Sicherheit in Deutschland beispielsweise ist derzeit fast ausschließlich lokal vorhanden, eigene Cloudlösungen sind schlichtweg nicht vorhanden. Doch es tut sich was, zumindest bei unserem Nachbarn in Österreich. „Wir haben viele hochbegabte Wissenschaftlerinnen und Wissenschaftler im Bereich Data Science in Europa und auch punktuell bereits quer durch den Kontinent Erfolg versprechende Initiativen für eine wirkungsvolle Abwehr von Cyber-Angriffen“, sagte Hellmut Fallmann, Fabasoft-Vorstand, gegenüber dem Onlinemagazin Futurezone. Er ist der Meinung, dass diese Fachkompetenzen nun durch verstärkte Kooperation und den permanenten Austausch von Best Practices mit einheitlichen Mindeststandards für IT-Security zu synchronisieren sind. Und ja, seiner Meinung nach könnte man sogar die „letzte Schlacht um Europas Freiheit“ gewinnen und „technologische Souveränität“ wiedererlangen – dann auch in der Cloud. Technologische Souveränität ist besonders entscheidend, wenn es sich um gravierende Industriezweige handelt, bei denen es ausschließlich auf Sicherheit ankommt. Denn der Energiebereich nimmt in Fragen der Cybersicherheit eine exponierte Position ein. Seine Infrastrukturen sind im besonderen Maße den Angriffen aus dem Internet ausgesetzt – mit potenziell desaströsen Folgen für Wirtschaft und Gesellschaft. Von der Bundesregierung wird diese Gefahr lediglich erwähnt, von Angehen ist nicht die Rede – außer Sie finden diesen Punkt auf den Dossier-Seiten des BMI? Aber es gibt noch weitere Baustellen.
Industrie 4.0: hohe Anzahl an Schwachstellen in IT-Systemen
Einige davon hat Netzpolitik.org veröffentlicht und einer dieser Fälle aus der Energieversorgung zeigt, dass Lobbymitarbeiter ganze Arbeit geleistet haben. So sollen „namentliche Meldung“ erst ab dem Ausfall kritischer Infrastruktur erfolgen, nicht bei einem Angriff oder Schaden im Allgemeinen. Also dann, wenn großflächig das Licht ausgeht und sowieso jeder mitbekommen würde, dass etwas nicht in Ordnung ist. Als Bürger könnte man den Eindruck gewinnen, dass der Staat nicht nur machtlos agiert, vielmehr den Bürger im Ungewissen halten möchte – Sicherheit sieht anders aus.
Und speziell der Mittelstand hierzulande ist bei der IT-Sicherheit misstrauisch, aber auch sehr leichtsinnig. Und diese digitale Sorglosigkeit begünstigt Cyber-Angriffe. Ich spreche regelmäßig mit vielen Mittelständlern in Deutschland und Europa. Und da wundert es mich manchmal, wie viele Unternehmen mit ihren Betriebsgeheimnissen locker umgehen, und ihre Daten fast ungeschützt speichern – ohne daran zu denken, wie leicht diese gestohlen werden könnten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Bericht zur Lage der IT-Sicherheit in Deutschland erst am 18. Dezember 2014 dem Innenminister übergeben und kommt bereits zu Beginn, gemeinsam mit externen IT-Experten, zu einem vernichtenden Urteil. Laut des Berichts treffen Cyber-Angreifer bei deutschen Unternehmen auf Rahmenbedingungen, die sie zunehmend zu ihrem Vorteil nutzen. „Hierzu gehören die hohe Anzahl an Schwachstellen in IT-Systemen und Software, die breite Verfügbarkeit von geeigneten Angriffswerkzeugen sowie die zunehmende Nutzung mobiler Geräte und die oft unzureichende Absicherung industrieller Steuerungssysteme im Zuge der Entwicklung zur „Industrie 4.0″“, so ein Zitat aus dem Bericht. Dem schließt sich auch der Internet-Minister alias IT-Kommissar Europa Günther Oettinger an. Er fordert allerdings mehr Sorgfalt vom Bürger, nicht nur vom Unternehmen alleine.
Anhand dieser Leichtsinnigkeit bin ich persönlich froh, dass der Mittelstand es nicht den ach so modernen Startups und anderen Hipster-Unternehmen nachmacht, speziell die Cloud als sicher einzustufen – weiterhin Betriebsgeheimnisse und vor allem Kundeninformationen lokal speichert – zumindest solange, bis es eine „sichere“ Cloudlösung gibt. Man darf ja noch träumen.