Etwa 150 Experten aus Wirtschaft, Politik und Forschung auf der KITS-Konferenz der Koordinierungsstelle IT-Sicherheit übten den Schulterschluss, die derzeitige Aufmerksamkeit durch die NSA-Affäre für mehr und bessere IT-Security in Deutschland zu nutzen.
Volker Wagner, Vorstandschef der Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW) sowie Leiter Group Business Security bei der Deutschen Telekom, brachte es im Rahmen der KITS-Konferenz in den Räumen des Deutschen Instituts für Normung (DIN) in Berlin auf den Punkt: "Wir müssen das Momentum ausnutzen, das uns die NSA-Affäre beschert." Noch nie zuvor sei das Thema IT-Sicherheit in der breiten Gesellschaft und auch auf politischer Ebene dermaßen aufmerksam verfolgt worden wie derzeit.
Jens Koeppen, Vorsitzender des Bundestagsausschusses Digitale Agenda, warnte jedoch vor Übereifrigkeit: "Wir dürfen natürlich auch nicht in Panik verfallen. Wir sollten jetzt diszipliniert den Status Quo der Sicherheit in den Unternehmen untersuchen, das hoffentlich kommende IT-Sicherheitsgesetz als gute Grundlage betrachten und dann alle gemeinsam das Beste daraus machen."
Andere Prioritäten
Einig waren sich die Konferenzteilnehmer darin, dass viele Unternehmen nach wie vor erst dann handeln, wenn sie einen Sicherheitsvorfall gehabt haben - einige verführen immer noch nach der Devise "kostet der Schaden weniger als die Prophylaxe, nehme ich lieber den Schaden in Kauf". Wie Wilhelm Schäfer, Vorstand des Heinz-Nixdorf-Instituts an der Universität Paderborn und Direktor des Fraunhofer-Instituts für Produktiontechnologie IPT, betonte, wandele sich diese Einstellung zwar nur langsam, aber stetig. "Gerade in der produzierenden Industrie ist Security überhaupt erst seit dem Stuxnet-Vorfall im Jahr 2010 ein Thema - die NSA hat dafür gesorgt, dass es nun endlich auch mit Nachdruck angegangen wird."
Die Lehren aus der NSA-Affäre -
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation "Es geht nicht mehr um das Ausspähen der Gegenwart, sondern um einen Einblick in die Zukunft. Das ist der Kern von Prism. Präsident Obama hat schon recht, wenn er sagt, die von Prism gesammelten Daten seien doch für sich genommen recht harmlos. Er verschweigt freilich, dass sich daraus statistische Vorhersagen gewinnen lassen, die viel tiefere, sensiblere Einblicke gewähren. Wenn uns nun der Staat verdächtigt, nicht für das was wir getan haben, sondern für das was wir – durch Big Data vorhersagt – in der Zukunft tun werden, dann drohen wir einen Grundwert zu verlieren, der weit über die informationelle Selbstbestimmung hinausgeht."
Prof. Dr. Gunter Dueck, Autor und ehemaliger CTO bei IBM "Ich glaube, die NSA-Unsicherheitsproblematik ist so ungeheuer übergroß, dass wir uns dann lieber doch gar keine Gedanken darum machen wollen, so wie auch nicht um unser ewiges Leben. Das Problem ist übermächtig. Wir sind so klein. Wir haben Angst, uns damit zu befassen, weil genau das zu einer irrsinnig großen Angst führen müsste. Wir haben, um es mit meinem Wort zu sagen, Überangst."
Oliver Peters, Analyst, Experton Group AG "Lange Zeit sah es so aus, als würden sich die CEOs der großen Diensteanbieter im Internet leise knurrend in ihr Schicksal fügen und den Kampf gegen die Maulkörbe der NSA nur vor Geheimgerichten ausfechten. [...] Insbesondere in Branchen, die große Mengen sensibler Daten von Kunden verwalten, wäre ein Bekanntwerden der Nutzung eines amerikanischen Dienstanbieters der Reputation abträglich. [...] Für die deutschen IT-Dienstleister ist dies eine Chance, mit dem Standort Deutschland sowie hohen Sicherheits- und Datenschutzstandards zu werben."
Dr. Wieland Alge, General Manager, Barracuda Networks "Die Forderung nach einem deutschen Google oder der öffentlich finanzierten einheimischen Cloud hieße den Bock zum Gärtner zu machen. Denn die meisten Organisationen und Personen müssen sich vor der NSA kaum fürchten. Es sind die Behörden und datengierigen Institutionen in unserer allernächsten Umgebung, die mit unseren Daten mehr anfangen könnten. Die Wahrheit ist: es gibt nur eine Organisation, der wir ganz vertrauen können. Nur eine, deren Interesse es ist, Privatsphäre und Integrität unserer eigenen und der uns anvertrauten Daten zu schützen - nämlich die eigene Organisation. Es liegt an uns, geeignete Schritte zu ergreifen, um uns selber zu schützen. Das ist nicht kompliziert, aber es erfordert einen klaren Willen und Sorgfalt."
James Staten, Analyst, Forrester Research "Wir denken, dass die US-Cloud-Provider durch die NSA-Enthüllungen bis 2016 rund 180 Milliarden Dollar weniger verdienen werden. [...] Es ist naiv und gefährlich, zu glauben, dass die NSA-Aktionen einzigartig sind. Fast jede entwickelte Nation auf dem Planeten betreibt einen ähnlichen Aufklärungsdienst [...] So gibt es beispielsweise in Deutschland die G 10-Kommission, die ohne richterliche Weisung Telekommunikationsdaten überwachen darf."
Benedikt Heintel, IT Security Consultant, Altran "Der Skandal um die Spähprogramme hat die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspäht, jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen."
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation "Die NSA profitiert von ihren Datenanalysen, für die sie nun am Pranger steht, deutlich weniger als andere US-Sicherheitsbehörden, über die zurzeit niemand redet. Das sind vor allem die Bundespolizei FBI und die Drogenfahnder von der DEA. [...] Es gibt in der NSA eine starke Fraktion, die erkennt, dass der Kurs der aggressiven Datenspionage mittelfristig die USA als informationstechnologische Macht schwächt. Insbesondere auch die NSA selbst."
Aladin Antic, CIO, KfH Kuratorium für Dialyse und Nierentransplationen e.V. "Eine der Lehren muss sein, dass es Datensicherheit nicht mal nebenbei gibt. Ein mehrstufiges Konzept und die Einrichtung zuständiger Stellen bzw. einer entsprechenden Organisation sind unabdingbar. [...] Generell werden im Bereich der schützenswerten Daten in Zukunft vermehrt andere Gesichtspunkte als heute eine Rolle spielen. Insbesondere die Zugriffssicherheit und risikoadjustierte Speicherkonzepte werden über den Erfolg von Anbietern von IT- Dienstleistern entscheiden. Dies gilt auch für die eingesetzte Software z.B. für die Verschlüsselung. Hier besteht für nationale Anbieter eine echte Chance."
ein nicht genannter IT-Verantwortliche einer großen deutschen Online-Versicherung "Bei uns muss keiner mehr seine Cloud-Konzepte aus der Schublade holen, um sie dem Vorstand vorzulegen. Er kann sie direkt im Papierkorb entsorgen."
Wer nun aber meine, die aus der Office-Welt bekannten Sicherheitstechniken wie Firewalls oder ID/IP-Systeme auch im Industrieanlagenumfeld einsetzen zu können, irre sich gewaltig: Marcel Kisch, Industrial Security Lead DACH bei IBM wies darauf hin, dass im Gegensatz zur Office-Welt im Produktionssektor der Leitspruch "Verfügbarkeit vor Sicherheit" ohne Ausnahme gelte und auch gelten müsse. Fabriken könnten sich nicht leisten, wegen eines fehlgeschlagenen Malware-Scans, der dann automatisch die Systeme stoppt, ihren Betrieb zu unterbrechen.
Neue Systeme und Lösungen für industrielle Sicherheit braucht das Land - die Chance für Deutschland, europäischer und vielleicht sogar weltweiter Vorreiter für derartige Security-Produkte zu werden. Die anwesenden Wirtschaftsvertreter betonten einhellig, dass die Branche diese Chance nicht ungenutzt liegen lassen dürfe. "Deutschland wird überall immer noch als das Land der Ingenieure wahrgenommen. Wir haben es in der Office-Welt verpasst, Security-Vorreiter zu werden - im Industriebereich sollten wir nun zügig voran gehen", forderte beispielsweise Schäfer.
IT-Sicherheit im Zeitalter von Industrie 4.0 - eine Chance für Deutschland? Foto: Kovalenko Inna, Fotolia.com
Unterstützung erhielt er auch von Dieter Wegener, Head of Advanced Technologies and Standards, Industrie Sector bei Siemens, der im Besonderen die Security-Services als große Chance begreift: "Nicht die Produkte bringen mehr das Geld, sondern die Services!" Man dürfe nicht zulassen, dass amerikanische Konzerne die einzigen seien, die konkurrenzfähige (Web-/Security)Services aus der Tür brächten. Koeppen warnte jedoch davor, immer nur auf Google und Konsorten einzuschlagen, wenn deutsche Unternehmen selbst keine brauchbaren Alternativen anzubieten hätten.
Qualität steht über allem
Damit die Pläne Wirklichkeit werden, formulierte BSI-Vizepräsident (Bundesamt für Sicherheit in der Informationstechnik) Andreas Könen vier Ziele, die sich seine Behörde für die gesamte deutsche Behörden- und Unternehmenslandschaft auf die Fahnen schreibe. Es gehe erstens darum, neue Krypto- und Cybertechnologien zu entwickeln wie eine "Public-Key-Infrastruktur per One-Click", mit der verschlüsselte Kommunikation - sowohl zwischen Menschen als auch zwischen Maschinen - problemlos und schnell möglich sei. Zweitens soll die "digitale Souveränität" respektive "digitale Autonomie" gefördert werden - jedes Unternehmen, jede Forschungseinrichtung, jede Behörde soll jederzeit im Blick haben (können), wo welche Daten gespeichert sind und wer auf sie Zugriff hat. Diese Datenschutzmaxime sei Grundlage jeder sicheren Informationsverarbeitung.
EU-Datenschutzreform 2014: Die zehn wichtigsten Änderungen -
Ein Gesetz für alle EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen" Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out" Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16 Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Mithilfe von bereits vorhandenen und noch auszuarbeitenden Standards wie Common Criteria, DIN und ISO sollte drittens die Qualität von IT-Security-Produkten und -Services sichergestellt werden. Nur hochwertige Waren und Dienstleistungen brächten die Chance, das Siegel "made in Germany" auch für den Bereich IT-Sicherheit zu einer globalen Marke werden zu lassen. Viertens schließlich wies Könen darauf hin, dass das Notfall- und Krisenmanagement in deutschen Unternehmen häufig noch stark verbesserungswürdig sei. Wenn es um das zeitige Erkennen von Angriffen und die schnelle sowie angemessene Reaktion gehe, hätten viele Firmen Nachholbedarf.