IT-Sicherheit: "Wir erreichen nicht alle"

Die Wirtschaft und Staat verbindende, seit 2005 aktive Kampagne "Deutschland sicher im Netz" (DsiN) hat sich bereits einiges einfallen lassen, um die IT-Sicherheit hierzulande zu verbessern. Dazu gehören ein Security-Check für Webseiten, der wenig Grundkenntnisse voraussetzt, ein "Cloud-Scout" und ein "Sicherheitsbarometer" fürs Internet. Trotzdem "erreichen wir nicht alle", räumte Vize-DsiN-Vorstand Hartmut Thomsen am Dienstag auf dem Jahreskongress des Vereins in Berlin ein.

Thomsen, Geschäftsführer von SAP-Deutschland, machte allen Aufklärungsbemühungen zum Trotz eine "Diskrepanz zwischen Bewusstsein und Handeln" aus. Es sei daher nötig, "viel früher anzufangen", etwa in Schulen. Thomsen plädierte dafür, dort analog zum Fahrradführerschein ein "Grundverständnis für IT-Security" zu vermitteln.

"Wir bringen Verschlüsselung und digitale Signaturen nicht auf die Straße", monierte Udo Helmbrecht, Direktor der EU-Sicherheitsagentur ENISA. Es fehle an "Plug&Play"-Produkten und nützlichen Anwendungen etwa für den neuen Personalausweis. Zudem schafften "die Googles, Microsofts, die Intels und die IBMs" oft De-facto-Standards, denen Regierungen wenig entgegenzusetzen hätten.

"Die meisten Unternehmen konzentrieren sich auf ihr Tagesgeschäft, und das ist nicht IT-Sicherheit", konstatierte Peter Drießen, Hauptgeschäftsführer der IHK für München und Oberbayern. Passwörter würden "zwei Jahre genutzt" und auf die Tastaturrückseite geklebt. Die Software-Industrie mache es Mittelständlern zudem nicht leicht: "Update-Tage führen dazu, dass irgendwelche Applikationen es plötzlich nicht mehr tun", beklagte Drießen. Ein ungutes Gefühl beschleiche die meisten Unternehmer erst, wenn personenbezogene Daten öffentlich oder Lieferkonditionen Konkurrenten zugänglich würden.

"Wir müssen den Reiz von Sicherheit deutlich machen", meinte Michael Hange, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der jüngst aufgedeckte Klau von Millionen Online-Identitäten habe zwar als "Szenario des Schreckens" viele wachgerüttelt. Viele Sicherheitsangebote seien aber "zu akademisch". Besser wäre es wohl, "die wichtigsten Ideen auf YouTube zu verbreiten". Nutzer könnten Standardschwächen zu 90 Prozent mit bekannten Mitteln beseitigen. Dafür sei dann aber doch etwa ein Blick ins Handbuch IT-Grundschutz nötig.

Reinhard Posch, CIO der österreichischen Bundesregierung, wünschte sich, dass Provider Warnungen an Nutzer versenden, die nicht alle Sicherheitsupdates aufgespielt haben. Er warf zudem die Frage auf, warum Computer und IT-Systeme nicht ähnlich wie Autos "regelmäßig zum TÜV" müssten und Sicherheitssoftware nicht wie einen Airbag serienmäßig an Bord hätten. Große Hoffnung, dass die NSA-Affäre ein Treiber für mehr IT-Security ist, hat Posch nicht. Diese habe wohl nur einen "Einmal-Effekt", lutsche sich mittelfristig aus.

Den Aufbau eines "zentralen bürgerfreundlichen Portals für IT-Sicherheit" empfahl der Vorstandsvorsitzende des Verbands der deutschen Internetwirtschaft eco, Michael Rotert. Darüber könne das Meta-Thema dann heruntergerissen werden auf konkrete Probleme und Handlungstipps. Update-Server beäugt der Providervertreter zwiespältig: darüber solle schließlich "auch der Bundestrojaner eingepflanzt werden". (anw)