IT-Grundschutz des BSI reicht nicht aus
Spam ist nicht Stuxnet
CIO.de: Nun geht es politisch auch um Open Data. Ist das ein Widerspruch zum Thema Security? Und: Der Staat will ja nicht nur Datenschutz sicherstellen, sondern spioniert die Bürger auch selbst aus.
Baums: Es gibt ein magisches Dreieck der digitalen Standortpolitik: Sicherheit, Freiheit und wirtschaftlicher Wohlstand sind Ziele, die in einem potenziellen Widerspruch stehen können. Wenn ich die Sicherheit zu sehr betone, werde ich Schäden bei der freiheitlichen Infrastruktur und beim Wirtschaftswachstum haben. Bei Open Data besteht in dieser Logik eine Spannung zwischen Freiheit und Sicherheit.
Man kann das natürlich moderieren und eine für alle Beteiligten akzeptable Lösung finden, aber man sollte den Grundkonflikt nicht verheimlichen. Wir werden deswegen Entscheidungen treffen und Prioritäten setzen müssen. Soll man alles hinter IT-Sicherheit zurückstellen? Das wäre eine unhaltbare Position.
"Der Digital IQ ist ein ganz zentraler Aspekt von IT-Sicherheit"
CIO.de: Dafür ist Wissen notwendig, das oft gar nicht vorhanden ist, nicht bei den Bürgern und oft auch nicht in der Politik.
Baums: Richtig – „Digital IQ" ist ein ganz zentraler Aspekt von IT-Sicherheit. Es gab mal auf Bundesebene eine Diskussion zum Stichwort „Technologische Souveränität". Was müssen wir in Deutschland herstellen, um Sicherheit garantieren zu können? Müssen wir hier bei uns auch eigene Handys oder Router bauen? Das ist nicht möglich. Wir müssen diese Sachen nicht bauen, wir müssen sie aber selbst bewerten können. Diesen „Digital IQ" benötigen wir in der Politik und in der Verwaltung.
Das wird angesichts des zunehmenden Fachkräftemangels und der demografischen Entwicklung ein „dickes Brett" sein. Das BSI kann als Elitetruppe zwar noch die richtigen Mitarbeiter rekrutieren. Viele Behörden haben aber damit zunehmend Schwierigkeiten.
Interessant ist hier das neue IT-Sicherheitsgesetz zu Berichtspflichten über Cyber-Attacken auf kritische Infrastrukturen. Der Gesetzesentwurf sieht einen gewaltigen Personalzuwachs beim BSI vor. Im Vergleich zum amerikanischen Ansatz fällt aber eines auf: Der US-Ansatz geht von einem Austausch zwischen Verwaltung und Unternehmen auf Augenhöhe aus. Bei uns geht es darum, dass die Firmen überhaupt erst einmal dem Staat, der im Dunkeln tappt, mitteilen, was an Angriffen alles passiert. Der Staat macht damit auch deutlich, dass er sich als Teil der Daseinsvorsorge um kritische Infrastrukturen kümmern muss.