Cyber-Sicherheitsstrategie: Plan mit Lücken

cybersicherheitsstrategie_blogSchmerzlich mussten vergangene Woche rund 900.000 Telekom-Kunden erfahren, welche Gefahren im Cyber-Raum lauern. Viele konnten weder das Internet nutzen, noch fernsehen oder einfach „nur“ telefonieren. Grund für die tausendfachen Störungen war ein weltweit angelegter Hacker-Angriff auf DSL-Router. Der Vorfall zeigt, wie wichtig in unserer heutigen Zeit das Thema Cyber-Sicherheit ist. Insbesondere vor dem Hintergrund, dass immer mehr Anwendungen in IP-basierte Netze wandern.

Das Bundesministerium des Innern (BMI) sieht den Schutz vor Bedrohungen aus dem Cyber-Raum als eine der wichtigsten Aufgaben für unsere Regierung an. Aus diesem Grund wurde in den letzten Monaten eifrig an einer neue Cyber-Sicherheitsstrategie für Deutschland gearbeitet. Das Ergebnis wurde am 9. November der Bundesregierung vorgelegt und von dieser beschlossen.

Viel Bekanntes, wenig Konkretes

Das Papier beschreibt insgesamt 30 strategische Ziele und Maßnahmen, mit denen die Sicherheit in der digitalen Welt verbessert werden soll. Viele Elemente der neuen Strategie konnten wir auch schon im Vorgänger von 2011 finden: Bürger für mehr Sicherheit im Cyber-Raum sensibilisieren, die Zusammenarbeit von Staat und Wirtschaft stärken und die europäische und internationale IT-Sicherheitspolitik stärker verzahnen.

Darüber hinaus sollen zukünftig mobile Eingreiftruppen („Mobile Incident Response Teams“ – MIRT) bei Cyber-Angriffen schnell reagieren und auch betroffene Unternehmen unterstützen. Das nationale Cyber-Abwehrzentrum (NCAZ) soll ausgebaut und die Kompetenzen des Cyber-Sicherheitsrats und des Bundesamts für Sicherheit in der Informationstechnik (BSI) erweitert werden. Verschlüsselungstechniken sollen fortlaufend gefördert werden, gleichzeitig will das BMI auch die Fähigkeiten der Strafverfolgungs- und Sicherheitsbehörden weiterentwickeln, damit diese Verschlüsselungen knacken oder umgehen können. Wie man diese zwei Punkte miteinander in Einklang bringen will, muss sich noch zeigen. Kritik daran, dass hier „zweigleisig“ gefahren wird, gab es bereits unmittelbar nach Veröffentlichung des Papiers.

Cyber-Sicherheitsstrategie geht in Teilen am Bedarf vorbei

Die Strategie enthält durchaus einige spannende Ansätze, bleibt jedoch in vielen Punkten leider sehr unkonkret und zugegeben auch hinter unseren Erwartungen zurück.

Der Erstellung des Papiers ging ein umfangreicher Prozess voraus, innerhalb dessen das BMI auch die Unternehmen nach ihren Bedürfnissen und Erwartungen an eine Cybersicherheitsstrategie befragt hat – mit teils sehr klaren Ergebnissen.

Während die Idee der mobilen Eingreiftruppe, die von immerhin 60% der befragten Firmen als eine sinnvolle staatliche Unterstützung eingeschätzt wird, dankbar aufgegriffen und ausgearbeitet wurde, werden ganz zentrale Aspekte nur enttäuschend oberflächlich behandelt.

Wünschen sich immerhin 53% der Unternehmen ein staatliches IT-Sicherheits-Gütesiegel als Entscheidungshilfe, so kommt das Papier über Ideen für eine Basiszertifizierung für IT-Verbraucherprodukte nicht hinaus. Zugegeben, bestehende Sicherheitszertifikate werden auch gestreift – diese gehen nur leider stark am Bedarf der meisten Anwenderunternehmen vorbei.

Das ist in meinen Augen ein eklatanter Schwachpunkt in der Strategie. Neben dem Schutz von Verbrauchern in der digitalen Welt ist gerade der Schutz von kleinen und mittelständischen Unternehmen eine ganz wichtige, staatliche Aufgabe. Denn es sind genau diese Firmen, die sich mit der Komplexität der IT-Sicherheitsaufgaben oft konfrontiert sehen und Hilfestellung brauchen.

Hier gilt es, zukunftsfähige und praktikable Zertifizierungsverfahren zu entwickeln, die die Sicherheit und Vertrauenswürdigkeit von IT-Sicherheitslösungen für Unternehmen bestätigen. Das wird nicht einfach und die Experten des BSI sicherlich fordern.

Der zweite mir negativ auffallende Punkt ist das Kapitel „Stärkung der deutschen IT-Wirtschaft“. Eine überwältigende Mehrheit von 80% der im Rahmen der BMI-Erhebung befragten Unternehmen befürwortet die gezielte staatliche Förderung von Schlüsseltechnologien – inklusive Netzwerktechnik und Cloud. Auch die von uns in 2015 erhobene Umfragen „Digitale Souveränität: Einschätzungen in der deutschen Wirtschaft und Verwaltung“ kommt da übrigens zu ganz ähnlichen Ergebnissen.

Konkrete Maßnahmen oder gar industriepolitische Programme sucht man in der Cyber-Sicherheitsstrategie jedoch vergeblich.

Zwar soll das Gütesiegel „IT-Security Made in Germany“ (ITSMIG) gefördert und ausgebaut werden, es wird aber kein Beispiel genannt, wie dies umgesetzt werden kann. Ansonsten bewegen sich die Maßnahmen im bereits bekannten Rahmen: klassische Forschungsförderung. Das ist zwar schön und gut, hilft aber nicht, die Lücken bei den Schlüsseltechnologien in absehbarer Zeit zu schließen oder marktreife Produkte in ihrer Verbreitung zu fördern. Was fehlt, ist ein klares industriepolitisches Signal samt wirksamer Förderprogramme. In den für ihre IT-Erfolge so beneideten USA und China gehört dies bereits seit Langem zur politischen Tagesordnung.

Klare Haftungsregime fehlen

Was nur am Rande in dem Papier erwähnt wird, ist die Frage nach der Produkthaftung im Schadensfall (Seite 18 „Digitalisierung sicher gestalten“). Auch hier hätte man mehr erwarten dürfen. Schließlich ist die bislang völlig ungeklärte Haftungsfrage für Geschädigte ein ganz wesentlicher Aspekt.

Langfristiges Ziel einer Produkthaftung für IT-Lösungen ist die Anhebung des Sicherheitsniveaus der Produkte. Nur, wenn es entsprechende Sanktionierungsmöglichkeiten in Richtung der Provider und Hersteller gibt, werden sich auch diejenigen bequemen, ihre Produkte aktuell zu halten, die dies heute aus Kostengründen nicht tun.

Allerdings muss ein solches gesetzliches Rahmenwerk sehr gut durchdacht sein. Hier ist der Dialog mit den Herstellern elementar – und auch der Anwender muss in die Pflicht genommen werden. Schließlich reicht es nicht, wenn Hersteller Sicherheitsupdates verfügbar machen. Sie müssen auch eingespielt werden. Wie bei vielen Punkten der Cyber-Sicherheitsstrategie, wartet also auch hier noch viel Arbeit auf die zuständigen Stellen.

Im Ganzen bleibt die Cyber-Sicherheitsstrategie 2016 leider hinter den Erwartungen zurück. Der große Wurf zumindest ist ausgeblieben.

Es bleibt zu hoffen, dass vieles greifbarer wird, wenn die Ziele und Maßnahmen weiter ausgearbeitet sind.

Veröffentlicht in Netzpolitik Getagged mit: , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Abonnieren