[Kongresslogo] Sicher in die digitale Welt von morgen

Ordnungsmerkmale

erschienen in: <kes> 2011#2, Seite 11

Rubrik: 12. Deutscher IT-Sicherheitskongress

Schlagwort: Vorbericht

Zusammenfassung: Cybersicherheit und Cloud-Computing sind zwei Schwerpunkte des 12. Deutschen IT-Sicherheitskongresses, der vom 10.–12. Mai 2011 in der Stadthalle Bad-Godesberg in Bonn stattfindet.

Autor: Von Tim Griese, Bonn

Sicherheit ist ein Grundbedürfnis vieler Menschen, in der digitalen ebenso wie in der realen Welt. In der heutigen Zeit lassen sich diese beiden Welten oftmals nur noch schwer voneinander abgrenzen: Moderne Informationstechnik hat in fast alle Bereiche des privaten und geschäftlichen Lebens Einzug gehalten, Entwicklungen in Staat, Wirtschaft und Gesellschaft werden durch die Möglichkeiten von PC, Handy und Internet maßgeblich mitbestimmt.

Mit der zunehmenden Vernetzung und Abhängigkeit von Informationstechnologie wird auch der Wunsch nach Sicherheit in der digitalen Welt immer größer. Die Förderung der Informationssicherheit unter Berücksichtigung der gleichermaßen notwendigen Freiräume muss dabei als eine gesamtgesellschaftliche Aufgabe für alle Akteure begriffen werden: Hersteller, Dienstleister und Anwender in Politik, Wirtschaft, Verwaltung und Wissenschaft. Gemeinsam mit diesen Akteuren stellt sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) der Herausforderung, Vertrauen in die digitale Welt von morgen zu schaffen.

[Foto: <kes>/luck]
Auf dem 12. Deutschen IT-Sciherheitskongress werden über 40 Fachvorträge gehalten.

"Sicher in die digitale Welt von morgen" lautet daher auch das Motto des 12. Deutschen IT-Sicherheitskongresses, den das BSI vom 10. bis 12. Mai 2011 in Bonn ausrichtet. Ziel des Kongresses ist es, das Thema IT-Sicherheit aus unterschiedlichen Blickwinkeln zu beleuchten, Lösungsansätze vorzustellen und weiterzuentwickeln. Eine Begleitausstellung, mehr als 40 Fachvorträge, vier Keynotes und eine hochrangig besetzte Podiumsdiskussion zum Thema Cloud-Computing informieren die rund 500 Teilnehmer über neueste Entwicklungen, Risiken und Chancen der Informationstechnik und laden zum fachlichen Diskurs ein. Dabei setzt das BSI thematische Schwerpunkte, die aktuelle politische und gesellschaftliche Diskussionen widerspiegeln.

----------Anfang Textkasten----------

Begleitende Ausstellung

Auch auf dem 12. Deutschen IT-Sicherheitskongress wird wieder eine begleitende Ausstellung geben, in der 21 Unternehmen ihre Produkte und Dienstleistungen zur Informationssicherheit präsentieren.

[Standplan]
Standplan der begleitenden Ausstellung (Alternativdarstellung: ganzer Kasten als Grafik)

Stand Firma Web
F8 atsec information security GmbH [externer Link] www.atsec.com
T6 bremen online services GmbH & Co. KG [externer Link] www.bos-bremen.de
F9, K4 Bundesamt für Sicherheit in der Informationstechnik (BSI) [externer Link] www.bsi.bund.de
F5 Cordsen Engineering GmbH [externer Link] www.cordsen.com
T5 Fraunhofer-Institut Sichere Informationstechnologie SIT [externer Link] www.sit.fraunhofer.de
F6 GeNUA Gesellschaft für Netzwerk und Unix-Administration mbH [externer Link] www.genua.de
K7 IABG Industrieanlagen-Betriebsgesellschaft mbH [externer Link] www.iabg.de
F3 Infodas Gesellschaft für Systementwicklung und Informationsverarbeitung GmbH [externer Link] www.infodas.de
F7 ItWatch GmbH [externer Link] www.itwatch.de
K6 media transfer AG [externer Link] www.mtg.de
K1 m-privacy GmbH [externer Link] www.m-privacy.de
K8 NCP engineering GmbH [externer Link] www.ncp-e.com
T4 Nexus Technology GmbH [externer Link] www.nexussafe.com
F10 ROHDE & SCHWARZ SITGmbH [externer Link] www.sit.rohde-schwarz.com
T2 RSA – The Security Dividion of EMC [externer Link] http://germany.rsa.com/
T1 SecuMedia Verlags GmbH [externer Link] www.secumedia.com
F4 Secunet Security Networks AG [externer Link] www.secunet.com
F1 Secusmart GmbH [externer Link] www.secusmart.com
K3 Sirrix AG security technologies [externer Link] www.sirrix.com
K2 Sophos GmbH [externer Link] www.sophos.de
K5 SRC Security Research & Consuting GmbH [externer Link] www.src-gmbh.de
F11 T-Systems International GmbH [externer Link] www.t-systems.de
F2 TÜV Informationstechnik GmbH [externer Link] www.tuvit.de
T3 UIMC Dr. Vossbein GmbH [externer Link] www.uimc.de

----------Ende Textkasten----------

Cybersicherheit

Ein wichtiges Thema, das sich durch den gesamten Kongress ziehen wird, ist die Cybersicherheit: Staat, Wirtschaft – hier insbesondere die Betreiber kritischer Infrastrukturen – und Bevölkerung in Deutschland sind als Teil einer zunehmend vernetzten Welt auf das verlässliche Funktionieren der Informations- und Kommunikationstechnik (IKT) sowie des Internets angewiesen.

Fehlerbehaftete IT-Produkte und Komponenten, der Ausfall von Informationsinfrastruktur oder schwerwiegende Angriffe aus der digitalen Welt können zu erheblichen Beeinträchtigungen der technischen, wirtschaftlichen und administrativen Leistungsfähigkeit und damit der gesellschaftlichen Lebensgrundlagen Deutschlands führen. Die Verfügbarkeit der digitalen Informationslandschaft und die Integrität, Authentizität und Vertraulichkeit der darin vorhandenen Daten haben sich zu einer existenziellen Frage des 21. Jahrhunderts entwickelt.

Angriffe auf die Informationsinfrastruktur sind in den letzten Jahren immer zahlreicher und komplexer geworden, gleichzeitig ist eine zunehmende Professionalisierung zu verzeichnen. Dabei sind verschleierte Angriffe ebenso an der Tagesordnung wie der Missbrauch von verwundbaren Opfersystemen als Werkzeug für Angriffe. Gegenüber technologisch hoch entwickelten Schadprogrammen sind die Abwehr- und Rückverfolgungsmöglichkeiten sehr begrenzt. Häufig lässt sich bei Angriffen weder auf die Identität noch auf die Hintergründe des Angreifers schließen.

Die Angriffe auf die Informationsinfrastruktur erfolgen dabei auf unterschiedlichen Niveaus – grundsätzlich kann man drei Arten von Attacken unterscheiden:

Um die Informationsinfrastruktur erfolgreich vor solchen Angriffen schützen zu können, bedarf es eines nachhaltigen Konzepts und abgestimmter Maßnahmen, bei denen Staat, Wirtschaft und auch die Bürgerinnen und Bürger einbezogen werden. Prävention, Reaktion und Frühwarnung sind entscheidende Pfeiler, auf denen ein solches nachhaltiges Konzept steht.

Insbesondere auf die Machbarkeit komplexer Angriffe, wie sie Stuxnet demonstriert hat, muss von staatlicher Seite reagiert werden, denn die dahinter liegenden Angriffsmechanismen orientieren sich nicht an der Aufgabenteilung beziehungsweise an den Zuständigkeiten von Behörden: Stuxnet hat uns hier vor Augen geführt, dass eine noch engere Abstimmung zwischen den Behörden ebenso wie eine intensivere Zusammenarbeit mit der Wirtschaft nötig ist. Der 12. Deutsche IT-Sicherheitskongress bietet eine Plattform, um sich über Trends und Entwicklungen wie diese auszutauschen.

Mit der Verabschiedung der Cyber-Sicherheitsstrategie für Deutschland hat die Bundesregierung bereits bestehende Strukturen, Maßnahmen, Aktivitäten und Initiativen weiterentwickelt (u. a. die Umsetzungspläne Bund und KRITIS). Erste Schritte der Umsetzung sind ebenfalls bereits eingeleitet: So hat etwa am 1. April 2011 das Nationale Cyber-Abwehrzentrum unter Federführung des BSI in Bonn seine Arbeit aufgenommen, das künftig als Informationsdrehscheibe fungiert und zum Ziel hat, mittels etablierter Kommunikationsstrukturen IT-Sicherheitsvorfälle schnell und umfassend zu bewerten und Handlungsempfehlungen abzustimmen, welche die beteiligten Behörden im Rahmen ihrer gesetzlichen Zuständigkeit herausgeben.

Cloud-Computing – aber sicher

Ein zukunftsweisender Trend in der Informationstechnik und eine der zentralen Komponenten der unter dem Titel "Deutschland Digital 2015" veröffentlichten IKT-Strategie der Bundesregierung ist Cloud-Computing: Es ermöglicht eine flexible und bedarfsorientierte Buchung, Nutzung und Stilllegung von IT-Dienstleistungen und eröffnet erhebliches Einsparpotenzial im Bereich Anschaffung, Betrieb und Wartung von IT-Systemen.

Aus diesem Potenzial ergeben sich jedoch auch neue Risiken, die durch die Inanspruchnahme von Cloud-Dienstleistungen entstehen, beispielsweise weil dabei viele Anwender gemeinsam eine Infrastruktur oder Plattform teilen und Anwendungen über das Internet nutzen. Auch die zunehmende Internetkriminalität erfordert in Bezug auf Cloud-Computing eine Reihe von Sicherheitsmaßnahmen, denn Angriffsszenarien auf die klassische IT-Infrastruktur lassen sich ohne Einschränkung auch auf Cloud-Systeme übertragen. Daher müssen Cloud-Computing-Plattformen – ebenso wie klassische IT-Infrastrukturelemente – ausreichend gegen Angriffe, aber auch gegen Datenverluste und andere Sicherheitsgefährdungen abgesichert werden. IT-Sicherheit ist ein Schlüsselfaktor für erfolgreiche Cloud-Projekte.

Das Bundesamt für Sicherheit in der Informationstechnik hat daher bereits im September 2010 ein Eckpunktepapier zum Thema Informationssicherheit beim Cloud-Computing veröffentlicht und zur Diskussion gestellt. Das Eckpunktepapier definiert Mindestsicherheitsanforderungen an Anbieter von Cloud-Lösungen und dient als Diskussionsgrundlage für den Dialog mit Anbietern und Anwendern. Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern sachgerechte Sicherheitsanforderungen an Cloud-Computing zu erarbeiten, die zur sicheren Bereitstellung von Cloud-Dienstleistungen herangezogen werden sollten.

Im Rahmen des 12. Deutschen IT-Sicherheitskongresses wird eine überarbeitete Fassung des Eckpunktepapiers veröffentlicht, in die zahlreiche Kommentare und Anregungen aus der Wirtschaft eingeflossen sind. Zudem befasst sich eine hochrangig besetzte Podiumsdiskussion am zweiten Veranstaltungstag mit dem Thema Cloud-Computing. Zu den Diskutanten gehören unter anderem Ralph Haupter (Geschäftsführer von Microsoft Deutschland), Andreas Weiss (Direktor EuroCloud Deutschland_eco e.V.), Dr. Thilo Weichert (Landesbeauftragter für den Datenschutz Schleswig-Holstein) sowie BSI-Präsident Michael Hange.

Privatnutzer

Neben Staat und Wirtschaft sind die Bürgerinnen und Bürger der dritte wichtige Faktor bei der Umsetzung einer nachhaltigen IT-Sicherheitsstrategie. Aus ihrer Lebenswelt ist das Internet ebensowenig wegzudenken wie die Nutzung von Computer und Mobiltelefon. Immer mehr private Anwender sind sich der Risiken bewusst, die eine Nutzung von Informationstechnik oder Internet mit sich bringen kann – dennoch mangelt es häufig an der Umsetzung entsprechender Sicherheitsmaßnahmen.

Dies hat auch eine repräsentative Umfrage des BSI bestätigt, der zufolge bei einer Mehrheit der Bundesbürger in Bezug auf die Sicherheit im Internet eine große Lücke zwischen theoretischem Wissen und faktischem Handeln klafft (s. a. den Bericht im BSI-Forum auf S. 40). So gaben der Studie zufolge 90 % der Befragten an, dass ihnen die Sicherheit von Dienstleistungen im Internet wichtig oder sehr wichtig sei, eine fast ebenso große Mehrheit der Bürgerinnen und Bürger (86 %) fühlt sich zudem selbst für die Sicherheit im Internet verantwortlich. Die Bekanntheit verschiedener Risiken und Gefährdungen im Internet wie beispielsweise Viren, Trojaner, Identitätsdiebstahl, Abo-Fallen, Phishing oder Spyware ist mit 60 bis über 90 Prozent ebenfalls sehr hoch; gleichzeitig waren mehr als Dreiviertel der Befragten (76 %) schon selbst von einer oder mehreren dieser Gefährdungen betroffen.

Diese Ergebnisse hätten den Schluss zulassen sollen, dass die Bürgerinnen und Bürger das Thema IT-Sicherheit als relevant erachten, sich darüber informieren und entsprechende Schutzmaßnahmen ergreifen. Das ist jedoch nicht der Fall: Das Bewusstsein für die Relevanz von IT-Sicherheit ist bei vielen Bürgerinnen und Bürgern wenig ausgeprägt – so ist über die Hälfte der Befragten (53 %) der Meinung, dass sie das Thema IT-Sicherheit eher gering bis überhaupt nicht betrifft. Über Dreiviertel der Bundesbürger (78 %) schätzen zudem die eigenen IT-Sicherheitskenntnisse mit Schulnoten zwischen 3 und 6 ein und auch bei der Implementierung und Umsetzung von grundlegenden Schutzmaßnahmen besteht noch Nachholbedarf. Ein wichtiger Themenbereich des 12. Deutschen IT-Sicherheitskongresses ist daher auch die "Stärkung der Informationsgesellschaft, Aufklärung und Sensibilisierung".

Als Cyber-Sicherheitsbehörde ist es Ziel und Aufgabe des Bundesamts für Sicherheit in der Informationstechnik, das IT-Sicherheitsniveau in Deutschland zu erhöhen und weiterzuentwickeln. Mit dem 12. Deutschen IT-Sicherheitskongress bietet das BSI Teilnehmern aus Verwaltung, Wirtschaft und Wissenschaft eine Gelegenheit, sich über den Status der Informationssicherheit in Deutschland zu informieren und diese durch anregende Diskussionen über aktuelle Entwicklungen und Trends auch aktiv mitzugestalten.

Tim Griese ist Referent Presse- und Öffentlichkeitsarbeit im Bundesamt für Sicherheit in der Informationstechnik (BSI).