IT-Gipfel: Deutschland ist sicher – auf bescheidenem Niveau

Die Spannbreite der Veranstaltungen vor dem IT-Gipfel reichte von einem Startup-Battle – mit dem Cloud-Dienst Fileee als Sieger – über die Diskussion einer digitalen Charta für das Internet bis zu aktuellen Nachrichten zur Cyber-Sicherheitslage von Deutschland im Herbst 2012. Fazit: Es sieht schlimm aus, aber der Markt wird es richten.

Die von der Bundesregierung und der Bundes-CIO ins Auge gefassten neuen gesetzlichen Verankerungen der Cyberstrategie waren Gegenstand eines aktuellen Pressegespräches der Arbeitsgruppe 4 des nationalen IT-Gipfels. Sie beschäftigt sich mit "Vertrauen, Datenschutz und Sicherheit im Internet." Hartmut Isselhorst vom Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die neuesten Zahlen vorgestellt.

Danach ist jede 35. Website in Deutschland (1,15 Millionen wurden untersucht) mit Malware verseucht und für Besucher gefährlich. Außerdem nimmt der Identitätsdiebstahl rapide zu: über 370.000 Bundesbürger waren von ihm allein zwischen Mai und Juli 2012 betroffen. Die Zahl der deutschen Unternehmen, die durch Cyber-Spionage in die Bredouille geraten sind, soll sich im vierstelligen Bereich bewegen, der Schaden könnte bei 14 Milliarden Euro liegen.

Aktuell besorgniserregend sind Issellhorst zufolge vor allem die choreografierten Attacken auf US-Banken, die weiterhin laufen. Mindestens 800 deutsche Server waren oder sind an den Angriffen beteiligt. Hinter dem Angriff auf einen DNS-Server der Telekom vermuten die BSI-Spezialisten, es werde eine große konzertierte Attacke auf das deutsche Internet vorbereitet.

Wie Martin Schallbruch, IT-Direktor des Innenministeriums, ausführte, soll das geplante IT-Sicherheitsgesetz vor allem durch die Meldepflicht von IT-Sicherheitsvorfällen wirken, weil allzuviele Unternehmen schweigen, wenn sie von Cyber-Spionage oder -Sabotage betroffen sind. Auch die Internet-Provider sind gefragt und werden verpflichtet, ihre Kunden zu informieren, wenn sie erkennen, dass diese Opfer eines Cyber-Angriffes sind. Die Betreiber von Webservern werden verpflichtet, Standard-Sicherheitsvorkehrungen zu treffen. Schallbruch wie Isselhorst erwähnten Cloud-Services mit keinem Wort. Auf Nachfrage von heise online erklärte BSI-Chef Michael Hange, es könne nicht Aufgabe des Staates sein, hier Standards zu setzen.

Bundesinnenminister Hans-Peter Friedrich erläuterte, der Cyberraum könne nur sicher sein, wenn rechtzeitig informiert werde. Dabei solle den TK-Anbietern eine besondere Verantwortung zukommen, das BSI werde ausgebaut. Auch wenn die Netzkomponenten von jemand anderem hergestellt würden, müsse sämtliche Hardware technisch beherrscht und belastbar bewertet werden können. Claudia Eckert vom Fraunhofer AISEC ergänzte: "Wir müssen die Software so gestalten, dass sich die Systeme selbst abschalten können, wenn sie durch eine Attacke kompromittiert werden." Eckert nannte die Sicherheit des neuen Personalausweises als Beispiel für deutsches Sicherheitsdesign. An ihm könne sich die Netzwerktechnik orientieren, wenn sie "sichere Bausteine mit nachweislicher Identität" einführe.

Das hörte Gastgeber Rainer Baumgart von Secunet gerne. Er wies darauf hin, dass die Kommunikationstechnik der deutschen Botschaften mit Secunet-Technik abgesichert werde. Er forderte dazu auf, das Motto "Security by Design" auch auf die Netze anzuwenden und darüber nachzudenken, bestimmte Netze strikt voneinander zu trennen. In Zukunft werde es Cyber-Angriffe geben, die physisch Systeme zerstören und den "digitalen Herzschlag" gefährlich stören könnten.

Reinhard Clemens von der Deutschen Telekom meinte, zwar glaube auch er daran, dass die Unternehmen ohne Intervention des Staates einen Marktplatz für exportfähige Sicherheit bauen müssen, doch wünsche er sich auch staatliche, richtungsweisende Unterstützung. Clemens verwies auf die marktbeherrschende Stellung von Huawei und die Debatte darüber in den USA. Auch wenn in Huawei-Hardware keine Hintertüren gefunden wurden, sei die Macht des Konzerns bei der LTE-Vernetzung bedenklich. Friedrich sagte dazu, in Deutschland würden zwar keine Router mehr gebaut, aber deutsche Hersteller könnten Sicherheitstechnik hinzufügen. Sie hätten damit Exportchancen und müssten nicht nach USA oder China schauen. (anw)