News

Sicherheit – Das flüchtige Gut

22.06.2017

​​​​​​​Die Entwicklung der Cybersicherheit hinkt der Digitalisierung hinterher. Das ist eine der Erkenntnisse, die Professor Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie, in dem eben veröffentlichten Positionspapier „Cybersicherheit in Deutschland“ formuliert. Warum das so ist und was man dagegen tun kann, erklärt er in seinem Gastbeitrag.
Cyberkriminalität, gestohlene Passwörter und Kundendaten, Angriffe auf IT-Infrastrukturen: Statistiken zeigen, dass die Mehrheit deutscher Unternehmen schon Opfer von Wirtschaftskriminalität wurde, vieles davon basiert auf Cyberangriffen. Die Befürchtung liegt nahe, dass die Entwicklung von Cybersicherheit und Privatsphärenschutz der Digitalisierung hinterherhinken. Hinzu kommt die Erkenntnis in Politik und Wirtschaft, dass Deutschland und Europa in vielen Bereichen der Digitalisierung nicht mehr über die Fähigkeit verfügen, die wichtigsten Schlüsseltechnologien selbst zu entwickeln oder auch nur hinsichtlich ihrer Sicherheitseigenschaften zu beurteilen.
Prof. Dr. Michael Waidner
Prof. Dr. Michael Waidner
© CASED

In der industriellen Sicherheit hat es dennoch in der letzten Zeit große Fortschritte gegeben. Mit dem Fokus auf Industrie 4.0 wurden Fertigungsunternehmen zwar deutlich leichter angreifbar. Es ist aber auch das Bewusstsein gewachsen, dass Produktionsdaten, Innovationen und vieles mehr geschützt werden müssen durch Sicherheitsarchitekturen, regelmäßig Updates und gesicherte Kommunikation. Inzwischen gilt die Faustregel, dass man ungefähr zehn Prozent dessen was man investiert, in die Sicherheit stecken sollte.
In vielen großen Unternehmen ist das schon angekommen, in den kleinen und mittleren, die wirklich die Industrie in Deutschland ausmachen, oftmals allerdings noch nicht. Die Unternehmen Allianz, BASF, Bayer und Volkswagen etwa haben gemeinsam das Cybersicherheits-Tochterunternehmen DSCO gegründet. Das ist auf jeden Fall sinnvoll: In Bezug auf Datensicherheit haben sie ähnliche Anforderungen und bündeln nun dafür ihre Informationen und ihre Ressourcen.

Strategie und Grundwerte

Das Positionspapier „Cybersicherheit in Deutschland“ formuliert sieben Thesen:
Die Entwicklung der Cybersicherheit muss auf nationaler und europäischer Ebene strategiegetrieben sein.
Mindeststandards für Sicherheit und Privatsphärenschutz fördern das Vertrauen in Informationstechnologie.
Die digitale Gesellschaft braucht Infrastrukturen, die von Staat und Wirtschaft gefördert werden müssen wie andere öffentliche Infrastrukturen.
Der Schutz der Grundrechte aller Bürger sollte Vorrang haben vor dem Wunsch, datenbasierte Geschäftsmodelle oder die Überwachung von Verdächtigen zu vereinfachen.
Deutschland und Europa brauchen mehr Fachkräfte, die im Bereich Cybersicherheit qualifiziert sind.
Mehr exzellente Forschung ist erforderlich, im Grundlagen- wie im Anwendungsbereich.
Innovation durch Forschung und Entwicklung braucht einen Rahmen, der bewusst wettbewerbliche exzellente Forschung sowie den Transfer aus Deutschland und Europa in den internationalen Markt fördert.
Der Schutz der Produktionsanlagen ist das eine, der Umgang mit den eigenen Daten ein anderes Thema. Beim Speichern von Daten in der Cloud eines professionellen Cloud-Anbieters kann man davon ausgehen, dass in der Regel die Data Center, auf denen die Cloud läuft, die Anwendung, die Managementsysteme und so weiter besser geschützt sind, als wenn ein kleines oder mittleres Unternehmen eine eigene IT betreibt.
Kritischer wird im Allgemeinen die Herausgabe der Daten gesehen, etwa eines Unternehmens, das den Maschinenbauer nicht auf die Daten der Produktionsmaschine zugreifen lassen möchte, die der mal geliefert hat, weil er daraus vertrauliche Erkenntnisse über das Unternehmen ableiten könnte. Wobei die Arbeit mit solchen Daten im Sinne einer umfassenderen, vielleicht sogar vorausschauenden Wartung durchaus sinnvoll sein kann. Dafür ist es wichtig, über eine gemeinsame Datenaustauschplattform zu verfügen, die nicht von Software-Herstellern oder Dienstanbietern abhängt, sondern partizipatorisch organisiert ist. Fraunhofer bietet mit Industrial Data Space, einem virtuellen Datenraum für den sicheren Austausch von Daten in Geschäftsökosystemen, ein sicheres Modell dafür an.
Eine weitere Herausforderung für die Datensicherheit ist die Produktion von Unternehmen mit fremden Maschinen, deren Sicherheitsarchitektur sie womöglich nicht verstehen und nicht einschätzen können. Stichwort: digitale Souveränität. Wenn wir diese Souveränität zurückerlangen wollen, müssen wir in diese Beurteilungskompetenz investieren, also Testlabore betreiben und mehr Mitarbeiter in IT ausbilden. Letztlich können wir diese Kompetenz aber nur dann wirklich dauerhaft entwickeln, wenn wir diese Produkte auch selbst entwickeln.
Auch Methoden der modernen Arbeitswelt bergen neue Sicherheitsrisiken, etwa „Bring your own Device“ oder Home Office. Wie sicher sind private Endgeräte, die Mitarbeiter im Namen ihres Unternehmen dabei nutzen? Können sich Cyberkriminelle durch diese potenziellen Einfallstore Zutritt zur Unternehmens-IT verschaffen?
Insgesamt finde ich die oftmals zu beobachtende Geringschätzung der „analogen“ Produktion von Gütern gegenüber der „digitalen“ Produktion von Software und Diensten allerdings fast schon bedenklich, weil diese Denkungsart völlig vergisst, wie effizient ein Motor oder eine Prozessanlage der chemischen Industrie funktionieren muss und wie viel Hightech dahintersteckt.
Cybersicherheit ist natürlich auch eine Anforderung an den Staat. Grundlegende Infrastrukturen, wie Schlüsselverteilungen und Identitätsmanagement sollten von staatlicher Seite angeboten werden. Sichere Datenverbindungen sind als ein Stück Infrastruktur zu begreifen wie Autobahnen und die Stromversorgung, deren Instandhaltung und Sicherheit der Staat zu garantieren hat. Dazu muss jedoch eine einheitliche Strategie her. In der Bundespolitik sind sehr viele Ministerien involviert – vom Innenressort bis zur Verteidigung. Es ist essenziell, dass diese auf der Basis einer übergreifenden Strategie agieren.
Generell lässt sich jedoch sagen, dass Deutschland auch im Vergleich zu vielen anderen Staaten wie den USA, Israel, Singapur, die in der Digitalisierung weit vorne sind, sehr gut dasteht, weil die Forschung hierzulande sehr angewandt und praxisbezogen ist. Was noch ausgebaut werden muss, ist die industrielle Seite, die die entwickelten Sicherheitsfeatures aufgreift und in Produkten auf den Markt bringt – wie es etwa die Telekom mit der von Fraunhofer entwickelten Volksverschlüsselung, einer Ende-zu-Ende-Verschlüsselung von E-Mails, getan hat.
Professor Dr. Michael Waidner ist Institutsleiter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt und Sprecher des Centers for Research in Security and Privacy (CRISP). Gleichzeitig hält er eine Professor für Informatik an der Technischen Universität Darmstadt und ist Gastprofessor an der Hebrew University of Jerusalem in Israel. Bevor er zu Fraunhofer ging, arbeitete er 16 Jahre lang im Bereich Datensicherheit bei IBM.