![[Portraitfoto Dr. Udo Helmbrecht]](05-2-026-1.jpg)
Sicherheit muss zum integralen Bestandteil aller Produkte und Services werden: "Nur wenn es gelingt, den hohen Anforderungen an die IT-Sicherheit Rechnung zu tragen, wird man neue elektronische Dienstleistungen akzeptieren. Informationstechnik muss generell sowohl unter software-ergonomischen als auch sicherheitstechnischen Aspekten gestaltet sein", fordert BSI-Präsident Dr. Udo Helmbrecht.
<kes>: "IT-Sicherheit geht alle an!" – das Motto des diesjährigen Kongresses klingt weniger technisch und "volksnäher" als bisherige Themen. Das Ausrufezeichen lässt zudem eine Aufforderung daraus werden. Wen sollen diese Aufforderung und die Inhalte des Kongresses besonders ansprechen?
Dr. Helmbrecht: Informationstechnik hat inzwischen so massiv Einzug in unsere Gesellschaft gehalten, dass alle Menschen etwas über IT-Sicherheit wissen und entsprechend handeln müssen. Deshalb richtet sich das Motto des Kongresses auch an alle: Hersteller und Anwender. Damit möchten wir signalisieren, dass jeder aufgerufen ist, etwas zu tun. Mit dem Kongress sprechen wir traditionell besonders die IT-Sicherheitsexperten an. Dazu zählen, neben den Herstellern, die Dienstleister und Entwickler sowie die IT-Sicherheitsbeauftragten in Wirtschaft, Verwaltung und Wissenschaft.
<kes>: Welche Themen stehen dabei im Mittelpunkt?
Dr. Helmbrecht: Auf dem Kongress setzen wir uns mit ganz unterschiedlichen Sicherheitsfragen auseinander: Es geht sowohl um die Technik als auch um die gesellschaftliche Bedeutung von IT-Sicherheit. Diskutiert werden daher technische Entwicklungen wie zum Beispiel biometrische Verfahren, der technische Schutz digitalisierten geistigen Eigentums sowie die Entwicklungen im Umfeld des Sicherheitsmanagements und auf dem Gebiet der Sicherheitsarchitektur. Auf dem Programm stehen aber auch Konzepte zur Entwicklung eines individuellen Sicherheitsbewusstseins.
Das Kongressmotto spiegelt sich konkret in den Themen Reisepass, Gesundheitskarte und Mobilkommunikation wider. Denn das betrifft wirklich jeden. Und nur wenn es gelingt, den hohen Anforderungen an die IT-Sicherheit Rechnung zu tragen, werden die Bürgerinnen und Bürger die neuen elektronischen Dienstleistungen akzeptieren.
<kes>: Bei wem besteht bezüglich der IT-Sicherheit noch besonders hoher Nachhol- und Handlungsbedarf?
Dr. Helmbrecht: Ganz klar beim privaten IT-Anwender. In Umfragen haben wir herausgefunden, dass sich die meisten Deutschen noch immer kaum für das Thema Internetsicherheit interessieren. Leider sind viele nach wie vor zu sorglos im Internet unterwegs – den gestiegenen Sicherheitsvorfällen im vergangenen Jahr zum Trotz.
Das Erstaunliche ist dabei: Die Gefahren kennen zwar viele, aber sie fühlen sich trotzdem nicht zum Handeln aufgefordert. So bewegt sich jeder Vierte ohne Virenschutzprogramm im Internet und nur die Hälfte der Internetnutzer setzt eine Firewall ein. Seine Daten sichert ebenfalls nur jeder Zweite regelmäßig. Eine Erklärung für die fehlende Vorsorge ist, dass für zwei Drittel der Befragten ein Computerausfall – nach eigener Einschätzung – keine schwerwiegenden Folgen hätte.
Noch gravierender sieht die Situation bei Kindern und Jugendlichen aus. Beim Thema Sicherheit im Internet herrscht schlicht Sorglosigkeit und Ignoranz. Hier besteht demzufolge noch extremer Handlungsbedarf. Das vermag jedoch nicht eine einzelne Institution zu leisten. Hier müssen alle Beteiligten an einem Strang ziehen – für mehr IT-Sicherheit.
<kes>: Welche Auswirkungen hat die Sicherheit der PCs von Heimanwendern auf die Gesamtlage der IT-Landschaft?
Dr. Helmbrecht: Ohne Wenn und Aber muss ich sagen: Unsichere PCs gefährden die gesamte IT-Infrastruktur. Schließlich können nur solche Sicherheitslücken massiv von Angreifern ausgenutzt werden, die bei vielen Rechnern bestehen. Bot-Netze und Computerwürmer sind nur ein paar Beispiele dafür. Diesen Gesamtzusammenhang sieht der einzelne IT-Nutzer jedoch selten. Deshalb müssen wir weiter aufklären. Um das Sicherheitsbewusstsein zu erhöhen, hat das BSI in den vergangenen Jahren verschiedene Aufklärungsangebote ins Leben gerufen – darunter die Internetseite ![[externer Link]](../../../../images/link.gif)
www.bsi-fuer-buerger.de. Dort werden aktuelle Sicherheitsthemen einfach und verständlich erklärt.
<kes>: Viele Bürger und auch Mitarbeiter in Unternehmen äußern, sich um die Informationstechnik (und somit letztlich auch um ihre Sicherheit) gar nicht kümmern zu wollen – schließlich sei man nur Anwender... Für eine sichere "IT-Versorgung" müssten andere sorgen, so wie beispielsweise für sauberes Trinkwasser oder wie Strom und Gas "einfach so" funktionieren. Wie ist Ihre Position hierzu?
Dr. Helmbrecht: Wer würde sich das nicht wünschen?! Doch ganz so leicht ist es leider nicht. Aber wenn man es ganz genau nimmt, gibt es auch im Umgang mit Strom und Gas ein paar Dinge in puncto Sicherheit zu beachten. Die Besonderheit der IT-Sicherheit liegt allerdings darin, dass sich die Gefahren und Bedrohungen rasch verändern und sich der Anwender dadurch schnell überfordert fühlt. Wir möchten vermitteln, das jeder etwas tun muss und dies auch kann. Das BSI bietet dazu Hilfe zur Selbsthilfe an.
<kes>: Gilt die Aussage "geht alle an" auch innerhalb eines Unternehmens, wo sich Administratoren oder Sicherheitsspezialisten um die IT-Systeme kümmern?
Dr. Helmbrecht: Ja, denn viele Fehler beruhen nicht auf fehlerhafter Software, sondern auf menschlichem Fehlverhalten – auch und gerade der eigenen Mitarbeiter. Noch immer verursachen diese den meisten Schaden, das hatte ja auch die <kes>-Sicherheitsstudie im vergangenen Jahr belegt. Oft fängt Sicherheit schon bei kleinen Dingen an, wie dem Öffnen einer E-Mail oder eines Datei-Anhangs. Auf dem Kongress haben wir deshalb mehrere Beiträge, die sich gerade dem Thema "Security-Awareness-Kampagnen" widmen.
<kes>: Im Interview zu Ihrem Amtsantritt (vgl. <kes> 2003#2, S. 36) hatten Sie beklagt, das Bewusstsein für die Risiken der IT sei noch nicht ausgeprägt genug. Hat sich hieran in den vergangenen zwei Jahren etwas geändert?
Dr. Helmbrecht: Ja, wir sind ein gutes Stück voran gekommen – aber längst noch nicht am Ziel. Die Diskussionen um Phishing hat bereits viel bewirkt und die Computerwürmer Blaster und Sober haben viele IT-Anwender wachgerüttelt. Wenn man jedoch ganz ehrlich ist, wird die Entwicklung der Technik immer schneller sein als die Änderung einer Kultur, in diesem Fall Sicherheitskultur.
Denn oftmals muss das Kind erst in den Brunnen gefallen sein, bevor man etwas tut. Auch die meisten IT-Nutzer reagieren erst, wenn etwas passiert und nicht, wenn man sie aufruft, sich um Prävention zu kümmern. Unser Ansatz ist es deshalb, Angebote zur Prävention zu machen und bei aktuellen Problemen gezielt zu informieren. So erreicht man die Menschen am besten.
![[Foto: Dr. Udo Helmbrecht vor dem BSI-Gebäude]](05-2-026-2.jpg)
Auch Privatanwender sowie kleine und mittlere Unternehmen (KMU) sollten IT-Sicherheit "leben". "Mit der Internetseite www.bsi-fuer-buerger.de bieten wir hierzu eine Orientierung für den Einzelnen an. Und KMUs erhalten über den 'Leitfaden IT-Sicherheit' und einen Web-Kurs einen kompakten Einstieg in das Thema IT-Grundschutz", erläutert Dr. Udo Helmbrecht einige Hilfestellungen durch das BSI.
<kes>: In der letzten <kes>-Sicherheitsstudie klagten viele der befragten Experten über mangelnde finanzielle Mittel, die zur Verbesserung der Informations-Sicherheit fehlen – auch Bürger schauen wohl häufig eher auf das günstigste Angebot als auf das sicherste... Können Sie hier Argumentationshilfen für mehr finanziellen Einsatz liefern?
Dr. Helmbrecht: Wir wissen, dass besonders für kleine und mittelgroße Unternehmen IT-Sicherheit noch immer ein unbequemes Randthema ist, eines das zusätzliche Kosten verursacht. Und aufgrund der Komplexität des Themas sind sie bei der Erstellung von Sicherheitsrichtlinien meistens schlichtweg überfordert.
Hier möchte ich auf unseren "Leitfaden IT-Sicherheit" sowie auf den Web-Kurs "BSI Schulung IT-Grundschutz" verweisen, die einen schnellen und kompakten Einstieg in das Thema "IT-Grundschutz" ermöglichen. Ohne technische Details geht es dabei in erster Linie um die Sensibilisierung: Denn oftmals haben IT-Sicherheitsbeauftragte nicht genügend Budget für die Verbesserung der IT-Sicherheit, weil das Management nicht hinreichend für das Thema sensibilisiert ist. Den Verantwortlichen muss klar werden, dass sie auf das Thema Sicherheit von Anfang an Wert legen sollten. Im Nachhinein kann das vor allem in Projekten unter Umständen unnötig teuer werden.
Beim privaten IT-Anwender haben wir im Grunde eine ähnliche Situation. Die Bereitschaft Geld und Zeit aufzubringen fehlt, weil es noch immer an einer Sicherheitskultur mangelt. Unser Tipp: Jeder sollte sich genau überlegen, welchen Schutz er wirklich benötigt und sich dann entsprechend über Schutzmaßnahmen informieren. Auf unserer Internetseite www.bsi-fuer-buerger.de bieten wir hierzu eine Orientierung an. Wer sich nur auf den Schutz durch sehr günstige oder kostenlose Angebote verlässt, wird im seltensten Fall ausreichend geschützt sein. Denn wie überall gilt auch hier: Qualität hat ihren Preis.
<kes>: Auch bei den eingesetzten Produkten gibt es noch Unzulänglichkeiten. Welche konkrete Forderung haben Sie für die Zukunft an die IT-Hersteller?
Dr. Helmbrecht: Alle Hersteller müssen dem Thema IT-Sicherheit noch mehr Bedeutung zumessen, als es jetzt der Fall ist. Konkret heißt das: Die IT muss so gestaltet sein, dass sie nicht nur software-ergonomischen Aspekten entspricht – das wird häufig genug schon missachtet –, sondern auch unter sicherheitstechnischen Aspekten nutzbar sein muss. Das BSI spricht hier Empfehlungen aus.
Mit Blick auf den Anwender ist besonders bei kritischen Prozessabläufen die IT-Sicherheitszertifizierung eine Hilfestellung. Der Einsatz von Produkten, die auf ihre Sicherheit hin geprüft wurden, trägt ebenso wie eine zertifizierte IT-Ablauforganisation zur Sicherheit bei. Das BSI prüft diese, vergibt Sicherheitszertifikate und veröffentlicht die Ergebnisse in Form entsprechender Produktlisten. So erleichtert das BSI den Nutzern die Wahl der richtigen Produkte für ihre spezifischen Anwendungen. Für eine Zertifizierung entscheiden sich erfreulicherweise immer mehr Hersteller.
<kes>: Welche Erwartungen stellen Sie persönlich an den Kongress?
Dr. Helmbrecht: Ich erhoffe mir natürlich einen intensiven Dialog zwischen der Industrie und der Verwaltung. Schließlich ist es unser Ziel, die Zusammenarbeit mit der deutschen IT-Sicherheitsindustrie zu intensivieren, um gemeinsam die IT-Sicherheit zu fördern. Außerdem freue ich mich auf viele interessante Gespräche mit den Kongressteilnehmern und bin mir sicher, dass bei unserem breit gefächerten Themenspektrum auch in diesem Jahr für jeden etwas dabei ist.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#2, Seite 26
| 