Viele Anwender sind durch die Enthüllungen der letzten Monate zum Teil extrem verunsichert. Es vergeht kaum ein Tag ohne neue Hiobsbotschaften über die Verletzlichkeit unserer modernen Informationssysteme. Trotz allen Vorwissens überraschen doch gerade Umfang und Intensität von Überwachungs- und Speicher-Techniken. Schon ist vom "Ende des Internets", zumindest aber vom "Ende des Cloud Computings" die Rede, das ohnehin in Deutschland seit jeher als kritisch angesehen wird. E-Mails, Web-Seiten-Abrufe, Aktivitäten in sozialen Netzen: Nahezu der gesamte personenbezogene Internetverkehr wird offensichtlich gescannt und ein wesentlicher Teil der Daten auf unbekannte Zeit gespeichert. Eine vertrauensvolle, geschweige denn vertrauliche Kommunikation zwischen Unternehmen scheint so nicht möglich.

Geradezu ins Mark treffen muss diese Entwicklung die noch junge "SecuritySecurity as a Service" (SECaaS) - IndustrieIndustrie, der quasi über Nacht das Geschäftsmodell abhanden zu kommen scheint. Im Prinzip ist es keine schlechte Idee, Sicherheitsdienste und -expertise über das Web zu verkaufen. So muss nicht jedes Unternehmen teure Experten vorhalten. Die Frage ist eher, wie sicher diese Dienste sein können, wenn die von ihnen genutzten Leitungen überwacht werden. Alles steht und fällt mit der Verschlüsselung der übertragenen Daten, also mit der Frage, ob diese nur für den Sender und Empfänger zugänglich sind. Alles zu Security auf CIO.de Top-Firmen der Branche Industrie

Entwarnung vom BSI

Das für solche Fragen zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt sich von den Snowden-Veröffentlichungen wenig überrascht. "Wir sehen, dass das, was technisch machbar ist, auch gemacht wird" fasst BSI-Sprecher Matthias Gärtner die Position des Amtes zusammen. Zum Schutz der Daten meint er: "Was mit Kryptografie möglich ist, reicht aus, sollte aber auch angewandt werden." Er verweist auf die Empfehlungen des hauseigenen Algorithmenkatalogs zu Verschlüsselungstechniken. Auch im Lichte der jüngeren Erkenntnisse über die Überwachung des Internet bestehe für diesen kein Anpassungsbedarf. Selbst die empfohlenen Schlüssellängen stellten nach wie vor den Stand der Technik dar. Heißt: Bis auf das bekannte Problem, dass bei der Schlüsselgenerierung keine wirklichen Zufallszahlen verwendet werden, sind die Algorithmen nach heutigem Stand sicher.

Eine Verschlüsselung der Kommunikation alleine löse die Probleme ohnehin nicht, so Gärtner. Auch eine verschlüsselte Nachricht könne beispielsweise Spähsoftware enthalten. Deshalb sehe beispielsweise das Konzept der "DE-Mail" die Überprüfung der Nachrichteninhalte auf Schadcode durch vertrauenswürdige Provider vor.

Das weitaus größere Problem sieht das BSI auf der Client-Seite, also an den Endpunkten der Kommunikation, an denen eine Information entschlüsselt vorliegt. Die Clients seien aufgrund der Komplexität der Software und des notwendigen Patch-Aufwandes als notorisch gefährdet anzusehen. Das sei auch mit einer der Gründe, warum SECaaS-Konzepte in Zukunft eher an Bedeutung gewinnen würden, meint Gärtner. Ein weiterer Grund sei der zunehmende Mangel an IT-Sicherheitsexperten.

Nachdenkliche Anbieter

Wer SECaaS einsetze, solle sich in jedem Fall um ein hohes Datenschutzniveau bemühen, so der BSI-Sprecher. Ähnlich sieht das Oliver Dehning, Geschäftsführer des Hannoveraner E-Mail-Security-Dienstleiters antispameurope. Er sieht hier große Standortvorteile für deutsche Anbieter. Schließlich sind amerikanische Dienstleister nach den Ereignissen des 11. September 2001 durch den Patriot Act zur Kooperation mit den US-Bundesbehörden verpflichtet. Kein Anbieter unter US-amerikanischer Jurisdiktion kann sich dem sogenannten "National Security Letter" entziehen, der von einem Geheimgericht ausgestellt wird und ihn zu Handlungen verpflichten kann, über die er Stillschweigen zu wahren hat. Hierzulande sieht das ein wenig anders aus: Das Bundesdatenschutzgesetz verbietet es auch SECaaS-Anbietern, Kundendaten herauszugeben - es sei denn, es liegt ein öffentlich überprüfbarer Gerichtsbeschluss vor.