In der e-Gesellschaft ankommen
"Wir müssen jetzt schnell sein". Interview mit Peter Maucher, Leitender Berater für IT-Governance, Risiko-Management und Compliance bei HP Technology Services
"Zwei Drittel der Bevölkerung sind noch nicht in der digitalen Alltagswelt angekommen", sagt die Initiative D 21. Woran liegt das?
Peter Maucher: Viele staatliche und private Anbieter von elektronischen Diensten versäumen es, die Anwender über den persönlichen Nutzen und die damit verbundenen Risiken der jeweiligen Angebote zu informieren. Der Bürger wird alleingelassen und interessiert sich deshalb häufig nicht für die Dienste. Kaum ein Anbieter informiert über die Bedrohungen, die auf ein Angebot einwirken. Wir bräuchten eine Art Beipackzettel für e-Dienste, worin ihr Nutzen, aber auch ihre Risiken und Nebenwirkungen beschrieben werden.
Warum informieren die Anbieter nicht richtig?
Peter Maucher: Wer es richtig machen will, muß beim Nutzer - sei es nun der Kunde oder der Mitarbeiter - ein Bewußtsein für das Thema schaffen. Das lässt sich nicht allein über Vorschriften erreichen: Man kann wohl Vorschriften für die Bildung und den Gebrauch von Passwörtern entwickeln.
Aber wenn der Nutzer seinen persönlichen Vorteil in dieser Vorschrift nicht erkennt, wird er nach Möglichkeiten suchen, die Vorschrift zu umgehen. Vorschriften müssen vorgelebt werden. Das ist ein anstrengender, andauernder und damit teurer Prozess. Den wollen sich viele Anbieter "ersparen". Somit werden die Nutzer nicht betreut, sondern allein gelassen. Nicht gelebte Vorschriften befinden sich auf dem Papier aber nicht in den Köpfen der Menschen.
Können Sie das konkretisieren?
Peter Maucher: Bleiben wir beim Passwort - viele Unternehmen haben da Richtlinien: 8 Zeichen sollen sie sein - mit Buchstaben, Zahlen und Sonderzeichen; das muß alle paar Monate geändert werden und darf dann nicht identisch mit den fünf letzten Passwörtern sein. - Solang das nur auf dem Papier steht und die Menschen nicht verstanden haben, warum das so geregelt ist, bringt das nichts. Der Benutzer wird die Regeln als lästig empfinden und ablehnen. Im konkreten Fall wird er sofort fünf Passwörter durchwechseln, sodass er wieder sein altes nutzen kann.
Es ist wie beim Führerschein
Um welche Art Wissen geht es Ihnen denn? Das Wissen um die pure Funktion oder um die Sicherheit?
Peter Maucher: Es ist wie beim Führerschein: Funktion und Sicherheit lassen sich nicht von einander trennen. Ich muß die Funktionen meines Autos kennen, muss aber auch wissen, wie sich der Bremsweg bei 180 (Stundenkilometern) auf der Autobahn gegenüber dem Stadtverkehr verändert. Für den sicheren Straßenverkehr muss ich in der Lage sein, Gefahren zu erkennen. Dazu ist wirklich umfassendes Wissen notwendig. Die gleiche Situation haben wir in der e-Gesellschaft. Es gibt viel zu wenig Angebote für beide Arten von Wissen.
Sie sagen, das Thema Sicherheit muss ganzheitlich angepackt werden. An welche Stellschrauben denken Sie dabei?
Peter Maucher: Ein Beispiel: Nach wie vor sorgen sich viele Verantwortliche um die USB-Anschlüsse im Unternehmen. Diese Sorge bringt nichts, wenn wir nicht gleichzeitig auch an die Sicherheit der E-Mail und viele andere Dinge denken. Das schwächste Glied bestimmt die Sicherheit des gesamten Systems.
Wir hatten vor Jahren große Diskussionen um Kritis. Davon höre ich heute nichts mehr. Sind unsere kritischen Infrastrukturen demzufolge also schon richtig aufgestellt? Ich kenne wenig Unternehmen, die sich damit tatsächlich befasst haben. Und in der öffentlichen Verwaltung sieht es nach meiner Erfahrung nicht besser aus.
Haben Sie ein Beispiel?
Peter Maucher: Wir sehen das an Wikileaks: Die Netzgemeinde schließt sich zusammen und greift Unternehmen wie Visa und Mastercard an. Die haben wohl ihre Hausaufgaben in Puncto Absicherung gemacht - das aber reicht eben immer noch nicht. Und: Welches deutsche Unternehmen ist denn schon so gut aufgestellt wie Visa und Mastercard? Da werden Sie nicht viele finden! Es wäre interessant zu wissen, bei wie vielen Unternehmen die Erfahrungen von Visa und Mastercard zum Nachdenken geführt haben.
Der Personalausweis..
Die Datenschutzbeauftragte einer IHK fragte mich kürzlich, was denn Stromnetze mit Datenschutz (siehe Erneuerbare Energien? Aber Sicher!) zu tun hätten. Wenn nun also die Datenschutz-Beauftragte einer IHK keine Ahnung von den aktuellen Entwicklungen auf ihrem eigenen Fachgebiet hat, wie soll dann ein Mitgliedsunternehmen den Überblick behalten oder gar der Sachbearbeiter eines Steuerberaters oder die Sprechstundenhilfe eines Arztes wissen, was ein sicheres Passwort ist?
Peter Maucher: Das sind natürlich extrem sensible Bereiche, die Sie da ansprechen - Ärzte und Steuerberater. Manche von ihnen nutzen Arbeitsplatz- Computer und Server als Ersatz für die alte Schreibmaschine. Dass es dabei mit dem Datenschutz nicht zum besten steht, ist wahrscheinlich.
Was macht denn der Privatmann Peter Maucher? Machen Sie Ihre Bankgeschäfte online?
Peter Maucher: Ja.
Sind Sie an den freiwilligen Anwendungen der elektronischen Gesundheitskarte interessiert?
Peter Maucher: Nicht so sehr.
Wollen Sie den neuen Personalausweis nutzen, um Ihre Identität im Internet nachzuweisen?
Peter Maucher: Wenn der Personalausweis das sicher tun kann, ja – momentan kann er das ja noch nicht.
Ich dachte, ich soll mit diesem Teil im Internet meine Identität nachweisen können, um auf diese Weise virtuell in jeder x-beliebigen Behörde meinen Verwaltungskram erledigen zu können oder einkaufen zu gehen, oder?
Peter Maucher: Genau. Das wird dann mit dem elektronischen Personalausweis (Chip/ Software) 2.0, 3.0 oder 4.0 möglich sein.
Die Bundesregierung will ihre Dienstleistungen elektronisch anbieten, aber es wird keiner in den Genuss dieser Segnungen kommen?
Peter Maucher: Doch, aber eben noch nicht heute. Ich habe meine Aussagen ausschließlich auf den heutigen Stand bezogen: Also hinsichtlich der verfügbaren Funktionen des Ausweises und der benötigten Geräte zur Nutzung des elektronischen Personalausweises am heimischen PC.
Übrigens hat der Nationale IT-Gipfel gerade darauf hingewiesen, dass die Bewusstseinsbildung bei Jugendlichen für die Auseinandersetzung mit der eigenen elektronischen Identität auch durch den neuen Personalausweis gefördert werden soll. Der hat also auch eine pädagogische Funktion.
Sind die "HPler" schlauer als der Rest der Welt?
Womit wir wieder bei der Bildung wären. Wie wirkt sich die beschriebene Situation bei den Menschen aus?
Peter Maucher: Die Jüngeren interessieren sich von sich aus für die Funktionen, können die Dienste im Allgemeinen sehr schnell nutzen. Sie machen sich aber kaum Gedanken um die Sicherheit. Sie überlegen nicht, wie sie mit ihren Daten umgehen oder welche Äußerungen ihnen später mal - etwa bei der Job-Suche - vor die Füße fallen können.
Wenn von den Älteren überhaupt schon jemand in der e-Gesellschaft angekommen ist, achtet er häufig intuitiv drauf, dass er ein Virenschutzprogramm installiert hat, bevor er seine Bankgeschäfte online betreibt. Die tatsächlichen Gefahren und Angriffsszenarien sind aber auch dieser Zielgruppe unbekannt.
Welche Konsequenz ergibt sich daraus für Sie? Wer muß Bildungsangebote machen?
Peter Maucher: Die Anbieter haben ein Interesse daran, dass die Dienste sicher funktionieren. Deshalb sollten sie besser informieren. Die Banken informieren zum Beispiel über den Umgang mit Phishing-Mails, aber viel ist das nicht. Sie haben sich aber mit neuen Allgemeinen Geschäftsbedingungen besser gegen weitere Haftungsansprüche abgesichert.
An dieser Stelle wäre anzusetzen: Mitarbeiter und Kunden müssen begreifen, dass die Sicherheit letztlich auch ihren Arbeitsplatz und sie selbst als Person betreffen. Und natürlich muss jeder Arbeitgeber ein Interesse daran haben, daß seine Prozesse und Betriebsgeheimnisse vor dem Zugriff Dritter geschützt sind. Wir konnten zum Beispiel die ZF Lenksysteme GmbH bei der Einführung eines lückenlosen Konzepts für den Informationsschutz unterstützen. Das System ist inzwischen nach ISO 27001 zertifiziert.
Taugen die Volkshochschulen als Vehikel, um die Botschaft an den Mann und die Frau zu bringen?
Peter Maucher: Volkshochschulen wären eine Möglichkeit.
Was macht denn Ihr Brötchengeber in dieser Hinsicht? Sind die "HPler" schlauer als der Rest der Welt?
Peter Maucher: HP macht hier schon einiges: Wir veranstalten regelmäßig Awareness-Kampagnen, da gibt es zum Beispiel Tests, Plakataktionen und Gewinnspiele. Ich glaube, wir sind hier schon ganz gut. Wichtig ist uns, hier permanent was zu tun und nicht Bildung nur nach Kassenlage zu betreiben.
Wir müssen jetzt schnell sein, und dabei auf ein 80-prozentiges Sicherheitsniveau zielen
Staat und Wirtschaft streben nach der kompletten Digitalisierung der Gesellschaft (siehe "Elektronisches Regieren" in Zeiten von Wikileaks): Wir werden die Stromwirtschaft, das Gesundheitswesen oder auch das Verkehrswesen bzw die Verkehrsüberwachung komplett umkrempeln. - Wie kann das mit den vielen "analogen" Menschen funktionieren, die ja nicht nur Anwender sind, sondern gleichzeitig selbst auch Kunden,Patienten und Steuerpflichtige im Auftrag ihres Arbeitgebers betreuen?
Peter Maucher: Wer mehr elektronische Dienste anbieten will, muss mehr Bildung vermitteln. Das bedeutet einerseits, daß die Bürger informiert werden müssen, andererseits bedeutet es aber auch, daß die Mitarbeiter in den Behörden und Unternehmen auf das aktuelle Sicherheitsniveau gebracht und gehalten werden müssen; das wirkt sich auf die Technik, die Prozesse und die Menschen - Sachbearbeiter wie Führungskräfte - aus.
Wir müssen uns dabei von der Illusion einer hundertprozentigen Sicherheit verabschieden. Diese Illusion hindert uns auch am schnellen Handeln. Wir müssen jetzt schnell sein, und dabei auf ein 80-prozentiges Sicherheitsniveau zielen. Offenbar werden ausländische Ziele bislang als lukrativer wahrgenommen; aber wenn man es ernsthaft versuchen würde, wäre es ein leichtes an personenbezogene Daten in Behörden wie auch Unternehmen heranzukommen.
Wieviel Sicherheit muß gegeben sein, um eine digitale Infrastruktureinzurichten und 365 Tage im Jahr zu betreiben?
Peter Maucher: Da müssen Sie eine Risikoanalyse erstellen. Daraus ergeben sich die Maßnahmen, mit denen man den Risiken begegnen kann. Anschließend liegt es im Ermessen des Kunden, zu sagen, ob er jetzt diese Maßnahmen umsetzen will oder nicht.
Risikoanalyesn
Machen Ihre Kunden das so mustergültig wie Sie das beschreiben?
Peter Maucher: Wir müssen schon noch kräftig werben. Das ist definitiv kein Selbstläufer.
Das heißt? Ist es schwierig, den Kunden Risikoanalysen zu verkaufen? Oder ist es schwierig, dem Kunden die Maßnahmen zu verkaufen, die sich aus den Risikoanalysen ergeben?
Peter Maucher: Schon das Werben für Risikoanalysen ist nicht einfach. Ich meine: Worauf achten Kunden heute? Die achten auf Funktionalität, den Zeitplan und die Kosten. Mit Risiken und Sicherheit wird in 80-90 Prozent der Projekte nicht professionell umgegangen. Das ist nicht im Fokus. Ein Beispiel: Eine großer deutscher Finanzdienstleister baut ein neues Rechenzentrum. Welches Teilprojekt gibt es da nicht?
Die Risikoanalyse?
Peter Maucher: Genau. Die denken an Wassereinbruch, Stromausfall, Feuer, und das war‘s. Wer viele Millionen in ein neues RZ investiert, sollte eigentlich auch noch etwas für die Sicherheit aufbringen können.
Gibt es Schmerzgrenzen bei HP? Lehnen Sie Projekte ab, wenn ein Minimum an Sicherheitsaufwand in einem Projekt unterbleibt?
Peter Maucher: Nein, aber das werden Sie bei keinem Anbieter auf dieser Welt finden.
Tolle Funktionen werden unbrauchbar, weil man sich einfach keine umfassenden Gedanken macht
Wagen Sie eine Prognose, was uns passieren könnte, wenn wir weiterhin in die digitale Gesellschaft hineinstolpern, ohne die Risiken zu beachten?
Peter Maucher: Ich vermute, die Dienste werden schlicht unbrauchbar. Das kleine Kind langt auch einmal auf die heiße Herdplatte. Anschließend lässt es das dann bleiben. Wer Geld über das Internetbanking verloren hat, wird dann wieder zum Bankschalter gehen. Und so wird es mit anderen Diensten auch passieren. Und das ist die eigentliche, große Gefahr: Tolle Funktionen werden unbrauchbar, weil man sich einfach keine umfassenden Gedanken macht oder nicht konsequent handelt.
Kann eine Bank über den Jordan gehen, weil sie zu große Schäden durch den Geschäftsverkehr übers Netz erlitten hat?
Peter Maucher: Das wäre im Extremfall vorstellbar.
Laut Bitkom haben sich die Schäden der Bankkunden in der Vergangenheit im unteren zweistelligen Millionenbereich bewegt? Das sind doch nun wirklich Peanuts?
Peter Maucher: Da haben Sie recht. Die Frage wird sein: Schaffen es irgendwelche Leute, einen Bank-Server über drei bis fünf Tage abzuschießen, der für den Zahlungsverkehr oder die Geldautomaten genutzt wird? Ich weiß nicht, in wieweit das dann ein solches Institut tatsächlich ins Wackeln bringen würde.
Das heißt, theoretisch denkbar?
Peter Maucher: Das ist theoretisch denkbar. - Wobei: Die viel größeren Gefahren sehe ich bei den Energieversorgern. Wenn jemand wirklich Böses im großen Stil vorhat, dann geht er doch eher an diese Infrastrukturen, weil da ja doch viel größerer Schaden verursacht werden kann - auf einen Schlag bekämen eben viele Banken und viele Industrieunternehmen keinen Strom mehr, um arbeiten zu können.
Es kommt halt drauf an: Will der Angreifer eine spezifische Bank treffen, weil er meint, sie sei böse ....
Peter Maucher: .... oder ob der Angreifer sich denkt: "Mir passt das nicht mehr, was die Regierung macht.“ Jetzt kommen wir wieder zum Beispiel Wikileaks: Die Gemeinde ist gegen Mastercard und Visa marschiert. Wenn die Gemeinde nun gegen ein Land marschieren würde, wäre ich mir nicht sicher, ob dessen Stromnetze dafür aufgestellt wären.
Aber nochmal grundsätzlich: Ich habe den Nationalen IT-Gipfel bereits angesprochen. Wir arbeiten bei der Arbeitsgruppe 4 mit, die sich mit Vertrauen, Datenschutz und Sicherheit im Internet beschäftigt und haben konkrete Ergebnisse und einen Aktionsplan für die nächsten Schritte vorgelegt. Wichtig ist, dass wir Innovationen unterstützen und nicht abwürgen. Aber dazu müssen wir bei der Sicherheit schnell pragmatische Maßnahmen umsetzen und dürfen keine 100-Prozent-Lösung anstreben.