IT-Sicherheit : Gefährdungslage weiter hoch

Der Ist-Zustand der IT-Sicherheit von Hard- und Software hat den Ausschuss Digitale Agenda vergangene Woche in einer öffentlichen Anhörung beschäftigt. Die Sachverständigen gaben unterschiedliche Einschätzungen dazu ab, wie Bürger, Unternehmen, aber auch die Verwaltung hinsichtlich digitaler Souveränität, Sicherheitslücken und Cyberangriffen aufgestellt sind.

Arne Schönbohm (Bundesamt für Sicherheit in der Informationstechnik) betonte, dass die Gefährdungslage insgesamt weiter hoch sei. Hacker verfügten weltweit über 900 Millionen verschiedene Angriffsprogramme. Das Ziel müsse angesichts wachsender globaler technologischer Abhängigkeiten sein, Risiken zu minimieren. Technologische Souveränität sei eine Voraussetzung für mehr Cybersicherheit. "Entscheidend ist, die Soft- und Hardware getrennt zu betrachten", sagte Schönbohm.

Angreifbar Michael Waidner vom Fraunhofer-Institut für Sichere Informationstechnologie sagte, dass Deutschland in einem Ländervergleich gut dastehe. Wenn allerdings absolut gefragt werde, wie sicher die IT sei, dann komme man zu dem Ergebnis "angreifbar" und alle stünden schlecht da, sagte er. Besonders problematisch sei, dass es auf Anbieter-Seite keine internationalen Größen in Europa gebe. Zudem fehle eine Verschlüsselungsinfrastruktur.

Isabel Skierka (European School of Management and Technology GmbH) verwies darauf, dass man in Deutschland und Europa in vielen Bereichen sehr abhängig von Technologien ausländischer Hersteller sei. "IT-Sicherheit ist die notwendige Bedingung für digitale Souveränität", sagte Skierka. Sie plädierte dafür, Schlüsseltechnologien und Kompetenzen massiv zu stärken und die regulatorischen Anforderungen zu verbessern, deren Einhaltung die Hersteller dann nachweisen müssten.

Für Oliver Harzheim von der Vodafone GmbH lag der Schlüssel in Investitionen in die digitale Bildung und Infrastruktur. Hemmschwellen müssten abgebaut und das Bewusstsein gesteigert werden. Die technische Infrastruktur sei "die Lebensader der digitalen Gesellschaft", sodass es mehr wettbewerbsfähige Lösungen geben müsse. Das europäische Cloud-Projekt GAIA X gehe in eine richtige Richtung, weitere Initiativen müssten nun folgen.

Jeder Einzelne sei für die Ausübung von digitaler Souveränität mitverantwortlich, sagte Klaus Landefeld (Eco-Verband der Internetwirtschaft). "Es können nicht nur die Betreiber von Diensten und der Staat in der Verantwortung stehen", sagte Landefeld. Die Anwendung, das Wissen und der Umgang seien "gelebte digitale Souveränität" und alle, nicht nur die Betreiber kritischer Infrastrukturen, hätten eine abstrakte Verpflichtung, die IT-Sicherheit zu erhöhen.

Ninja Marnau vom CISPA Helmholtz Center for Information Security schätzte die Situation als "besorgniserregend" ein. Das Langfrist-Ziel sei, europäische Hersteller für zentrale Infrastrukturen zu haben. Mittelfristig könne die Kontrolle von Technologien und eine risikoabhängige Bewertung wiederhergestellt werden, sagte Murnau. Sie sprach sich auch für eine "sektorübergreifende Regulierung von IT- und Digitalprodukten" aus, die sich auf Hersteller, Betreiber und Nutzer erstrecken könne.

Darauf, dass technologische Souveränität auch unter widrigen Umständen gelten müsse, verwies Frank Rieger (Chaos Computer Club e.V.). "Wir leben in einer Welt, in der Technologie als Machtmittel eingesetzt wird", sagte er. Problematisch sei, dass Deutschland und Europa schon ein Stück ihrer digitalen Souveränität verloren hätten. Viele Unternehmen seien an ausländische Investoren verloren worden. Rieger sprach sich für gesetzliche Regelungen aus, die es einfacher machen, die Sicherheit von Systemen zu überprüfen.