„Cybersicherheit ist keine Bio-Banane“
Interview mit Sebastian Klipper, Experte für Informationssicherheit
VdZ: Ihre Themen sind Informationssicherheit, IT-Sicherheit und Cybersicherheit. Welchen Rat würden Sie der neuen Staatsministerin für Digitalisierung, Dorothee Bär, geben?
Klipper: Zunächst einmal bin ich enttäuscht, dass sich die Koalitionspartner nicht auf ein eigenes Ministerium für Digitalisierung verständigen konnten. Die Digitalisierung durchdringt alle Fachgebiete und ist für unser Land auf Dauer überlebenswichtig – ebenso wie die Finanzen unseres Landes. Niemand würde auf die Idee kommen, die Finanzen unseres Landes von einem Staatsminister lenken zu lassen.
"Sicherheit ist für die Digitalisierung, was Bremsen für einen Sportwagen sind."
Jetzt, da Frau Bär das Amt innehat, sollte sie insbesondere auf Informationssicherheit und Datenschutz achten. Sicherheit ist für die Digitalisierung, was Bremsen für einen Sportwagen sind. Ein Sportwagen braucht seine Bremsen nicht, um langsam zu fahren. Er braucht sie, um schnell zu fahren. Ohne Bremsen verliert man in der ersten Kurve die Kontrolle und gefährdet sich und andere.
VdZ: Sie betonen besonders die Bedeutung der Informationssicherheit für die Digitalisierung. Wodurch wird diese denn gefährdet? Was sind aus Ihrer Sicht die größten Bedrohungen?
Klipper: Komplexität, räumliche Entgrenzung der Systeme und fehlende bzw. unklare gesetzliche Regelungen sind die größten Herausforderungen. Aber auch schärfere und klarere Gesetze würden das Problem nicht zwangsläufig lösen.
Viele Geschäftsmodelle liefern einfach keine ausreichenden Margen, um eine sichere Digitalisierung zu finanzieren. Sicherheit ist eine Investition, die mit anderen, eher marktorientierten Maßnahmen konkurriert. Baue ich mehr Sicherheit in mein Produkt, oder weitere Funktionen? Wofür sind meine Kunden bereit zu zahlen? Das sind am Ende die entscheidenden Fragen. Hinzu kommt, dass man eine neue Funktion ein Mal in ein Produkt einbaut. Sicherheit ist ein Prozess, der nie aufhört. Wir haben es mit adaptiven Angreifern zu tun.
Analog sind in der Verwaltung die Haushalte nicht angemessen aufgestellt. Gerade in der kommunalen Verwaltung. Meist wird das Feuer gelöscht, das am hellsten brennt. Leider brennen die Feuer im Bereich der Informationssicherheit selten besonders hell.
VdZ: In Neuss und Arnsberg mussten vor zwei Jahren nach Infektionen mit Crypto-Ransomware die Computersysteme in den Krankenhäusern abgeschaltet werden. Vor drei Jahren gab es einen ähnlichen Angriff auf das Innenministerium in Nordrhein-Westfalen und seitdem auch immer wieder Cyberspionage im IT-Netz des Bundestages. Erst kürzlich wurde ein großer Cyber-Angriff auf die Bundesregierung verübt. Wie konkret ist die Bedrohung?
Klipper: Zunächst einmal sind Vorfälle mit Ransomware und die Cyberspionage auf Regierungseinrichtungen zwei sehr unterschiedliche Szenarien.
Ein Vorfall mit Ransomware darf eigentlich nicht passieren. Oder die Schäden müssten deutlich geringer sein. Wenn Unternehmen durch Ransomware dreistellige Millionenbeträge verlieren, ist die Security-Architektur nicht im Lot. Security-Beauftragte predigen seit Jahrzehnten, dass Systeme zügig gepatcht werden müssen oder Unternehmensbereiche voneinander abgeschottet werden müssen. Leider finden sie damit kein ausreichendes Gehör. Andere Interessen werden im Tagesgeschäft häufig priorisiert. Man darf aber auch nicht übers Ziel hinaus schießen und z.B. das Öffnen aller Mail-Anhänge verbieten. Falls man unkompliziert mit Kunden, Bewerbern oder Geschäftspartnern kommunizieren möchte, wäre das für viele Organisationen illusorisch. Vor allem für die Anwenderinnen und Anwender, die eine solche Richtlinie täglich beachten sollen. Da muss ein Interessenausgleich erzielt werden. Als Berater hat man also oft eine moderierende Rolle.
Ob eine Bedrohung tatsächlich konkret ist, zeigt sich dann in einer individuellen Bedrohungs- und Risikoanalyse. Nicht jede Organisation ist von Geheimdiensten bedroht. Nicht jeder Prozess ist hoch kritisch. Cybersicherheit ist aber vor allem eine komplexe Aufgabe. Die nur mit ausreichenden personellen Ressourcen zu schaffen ist. Auch das nächste teure Sicherheitsprodukt wird das Problem nicht lösen. Da hoffen scheinbar noch immer viele auf ein Wunder – das wird aber nicht passieren. Die Angreifer haben in den letzten Jahren ihre Hausaufgaben einfach besser gemacht – jetzt müssen viele Organisationen nachsitzen.
VdZ: Die neue Bundesregierung will laut Koalitionsvertrag das IT-Sicherheitsgesetz fortschreiben und dessen Ordnungsrahmen erweitern, das BSI als nationale Cybersicherheitsbehörde ausbauen, neue Strukturen zur Sicherstellung technologischer Innovationsführerschaft einrichten, einen Nationalen Pakt Cybersicherheit auf den Weg bringen, Software-Anbieter stärker in die Pflicht nehmen, ein europaweit gültiges IT-Sicherheits-Gütesiegel etablieren, elektronische Identifizierung und End-to-End-Verschlüsselung für jedermann verfügbar machen, mit einem neuen bundesweiten Förderprogramm kleine sowie mittlere Unternehmen bei der IT-Sicherheit unterstützen usw. – Was ist aus Ihrer Sicht zu tun?
Klipper: Gesetzliche Regelungen sind nur bedingt hilfreich. Wenn die Margen vieler Mittelständler für ein angemessenes Security Management, Awareness-Schulungen und technische Maßnahmen nicht ausreichen, wird ein Gesetz das zu Grunde liegende Finanzierungsproblem auch nicht lösen. Gleiches gilt für unzureichende Budgets in der öffentlichen Verwaltung. Hier können Förderprogramme nur kurzfristig helfen. Gerade kleine Organisationen sind bereits jetzt völlig überfordert und ich habe so meine Zweifel, ob sie jemals wieder den Anschluss finden. Hohe Bußgelder sind da leider kein Teil der Lösung, sondern Teil des Problems.
"Cybersicherheit ist keine Bio-Banane."
Cybersicherheit ist ein dauerhafter Prozess, kein einmaliges Investitionsprojekt. Von einem Gütesiegel für Produkte halte ich daher wenig. Cybersicherheit ist keine Bio-Banane. Eine Banane kann nicht heute eine Bio-Banane sein und morgen eine Gen-Banane. Entweder ist sie genverändert, oder sie ist es nicht. Bei Cybersicherheit ist das anders. Was heute sicher ist, kann morgen schon Auslöser eines schwerwiegenden Vorfalls sein. Wer meint, ein Siegel könne die heutigen Sicherheitsprobleme lösen, hat die Probleme nicht verstanden.
IT-Wissen ist heute so bedeutend wie Lesen, Schreiben und Rechnen. In Schule, Studium und Beruf spielt IT aber - wenn überhaupt - eine untergeordnete Rolle. Programmieren, Büro-Anwendungen und Webtechnologien sollten ebenso wie Cybersicherheit ein verbindlicher Lehrinhalt in allen Studiengängen, Ausbildungsberufen und bereits in der Schule sein. Auch in der beruflichen Weiterbildung besteht Nachholbedarf – das kann man mit ein paar Flyern und Plakaten bei der nächsten Awareness-Kampagne nicht aufholen. Das einzige, was man Angreifern entgegensetzen kann, ist gleichwertiges oder besseres Know-how auf der Verteidigerseite. Hinter jeder wirksamen Sicherheitsmaßnahme steckt irgendwo ein kluger Kopf. Was wir brauchen, sind mehr kluge Köpfe.
VdZ: Auf praktischer Ebene: Wie würden Sie vorgehen, wenn Sie für die IT-Sicherheit eines Unternehmens oder einer Behörde verantwortlich wären? Wenn Sie nicht wüssten, ob Ihre Systeme, Ihre Standardsoftware, Ihre Standards etwa für den Umgang mit E-Mails ausreichend sicher sind?
Klipper: Gleich vorweg: Ob man sicher ist oder nicht, wird man nie wissen. Wichtig ist es, einen Prozess anzustoßen, der beim Umgang mit dieser Unsicherheit unterstützt.
Bevor man wissen kann, was ein ausreichender Schutz ist, muss man seine Risiken identifizieren und sich bei den Maßnahmen zunächst auf die Kronjuwelen und leicht umzusetzende Maßnahmen fokussieren. Es geht nicht darum, ein Projekt zum Abschluss zu bringen. Es geht darum, einen belastbaren Prozess zu etablieren, wie man ihn mit einem Managementsystem für Informationssicherheit nach ISO/IEC 27001 in Gang setzen kann. Die kontinuierliche Verbesserung sowie der professionelle und systematische Umgang mit Risiken und Vorfällen ist das Fundament einer modernen Sicherheitsstrategie.
Drei Aspekte sind für die Sicherheit wichtig: Security Management, die gelebte Sicherheitskultur und technische Sicherheit. Keiner der drei Aspekte kommt ohne die anderen aus. Zu viele Organisationen fokussieren auf Technik und wundern sich dann, warum auf diese Weise kein ausreichendes Sicherheitsniveau erzielt werden kann. Ebenso weitverbreitet sind Sicherheitskonzepte, die keiner liest oder unzureichend sensibilisiertes Personal. An diesen drei Punkten würde ich als Informations- oder IT-Sicherheitsbeauftragter ansetzen.