IT-Sicherheit: Wir sind immer noch Getriebene

Die Maßnahmen zur Verbesserung der IT-Sicherheit in Deutschland, die Bundesinnenminister Hans-Peter Friedrich (CSU) am Montag in Essen vorgestellt hat, sind ein guter Schritt für Deutschlands Cybersicherheit. Besser: Sie sind ein erster, seit Langem nötiger Schritt. Ein Schritt, der bereits im Februar 2011 mit der Verabschiedung der Cyber-Sicherheitsstrategie für Deutschland begonnen wurde. Nun gewinnt die Sache an Dynamik, wobei die internationale Einbettung unklar bleibt. Aus den Vorschlägen des BMI wird jedoch deutlich, dass wesentliche Inhalte eines umfassenden Cybersicherheitsbegriffs noch zu ergänzen sind.

Im Mittelpunkt eines möglichen Angriffs steht das schwächste Glied der Verteidigungskette. Dieses schwächste Glied - und damit die gesamte Sicherheit - zu schützen ist Aufgabe des Bundesinnenministers. Trotzdem hieße dies bei einem Cyberangriff, dass nicht nur der Bund, sondern vor allem die Länder und Kommunen in die Verbesserung der IT-Sicherheit einbezogen werden müssen. Dies ist nicht ausreichend der Fall.

  Der IT-Sicherheitsexperte Arne Schönbohm

Vielmehr verstärkt sich der Eindruck, dass die Anforderungen, die nun an Telekommunikationsunternehmen und Betreiber kritischer Infrastrukturen gestellt werden, vom BMI selbst noch nicht umgesetzt worden sind. Schließlich sind bisher keine IT-Sicherheitsvorfälle gegenüber der Bundesnetzagentur oder nachgeordneten Behörden bekannt. Wer aber eine Meldepflicht, deren Finanzierung noch unklar ist, in der freien Wirtschaft fordert, muss diese als Erster bereits auf staatlicher Ebene umgesetzt haben!

Laut Polizeilicher Kriminalstatistik 2011 beläuft sich der im Vergleich zum Vorjahr rückläufige Schaden aller Cybercrime-Delikte auf mehr als 70 Mio. Euro . Sogar Regierungsvertreter wie Innenstaatssekretär Klaus-Dieter Fritsche gehen jedoch von einem Schadenspotenzial von bis zu 50 Mrd. Euro aus (Dezember 2010).

Wünschenswert bleibt, dass es auf dem Gebiet der IT-Sicherheit eine stärkere Einbeziehung der Mitarbeiter, zum Beispiel in Form von Schulungen, gibt. Bis vor einigen Jahren veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Quartalsbericht, der zeitnah über potenzielle Gefahren für die IT-Sicherheit informierte. Fraglich ist, inwiefern die jährliche Erscheinungsweise eines solchen Berichts die Sensibilisierung für dieses Thema verstärkt.

Noch etwas kommt hinzu: Der Mittelstand, der deutschlandweit etwa zwei Drittel aller Arbeitsplätze schafft, wird bei den Vorstellungen zur Gesetzgebung nicht hinreichend betrachtet. Aufgrund des hohen Vernetzungsgrades können aber gerade Angriffe auf kleine Unternehmen große Schäden für die gesamte Volkswirtschaft verursachen. Mit dem Vorschlag, nur bestimmte Bereiche der Wirtschaft zu schützen, scheint es, als habe Friedrich den Kampf gegen die Cyberkriminalität bereits aufgegeben. Um ganzheitliche Sicherheit gewährleisten zu können, muss auf verschiedenen Ebenen angesetzt werden. Es geht um Cybersicherheit und nicht nur um IT-Sicherheit.

Im Kabinettsbeschluss wurde das BMI 2011 als zentrale Stelle für Cybersicherheit definiert. Mittlerweile bauen Ressorts wie das Auswärtige Amt und das Bundeswirtschaftsministerium eigene Fähigkeiten auf und zersplittern die Zuständigkeiten. Sinnvoll ist eine Bündelung an nur einer Stelle, da ansonsten kostspielige Ressourcen vergeudet werden. Es geht um eine intensivere Zusammenarbeit zwischen Bund, Ländern und Kommunen, bei der auch Organisationen einbezogen werden, die sich nicht nur nebenberuflich mit Cybersicherheit auseinandersetzen.

Und auch die Wirtschaft muss stärker einbezogen werden. Nicht nur der Teil, der seine IT-Produkte verkaufen möchte, sondern auch jener, der besonders von den Gefahren der Cyberkriminalität betroffen ist. Moderiert werden könnte ein solcher Arbeitskreis durch einen unabhängigen Dritten.

Zusammenfassend lässt sich der von Friedrich gemachte Vorstoß im Cyberraum begrüßen. Wenn wir uns aber die Innovationsgeschwindigkeit der Cyberkriminalität anschauen, wird deutlich, dass wir schneller und besser werden müssen. Damit Deutschland (An-)Treiber wird - und nicht Getriebener der Cyberkriminellen bleibt.