Sicher in die digitale Welt von morgen Keynotes und Diskussionsbeiträge vom 12. Deutschen IT-Sicherheitskongress

Ordnungsmerkmale

erschienen in: <kes> 2011^#3, Seite 27

Zusammenfassung: Der 12. Deutsche IT-Sicherheitskongress des BSI fand vom 10.–12. Mai 2011 in Bonn statt. Wie in den Vorjahren fasst unsere Nachlese die Aussagen von Eröffnungsreden, Keynotes und Podiumsdiskussion zusammen.

Die Aktualität des Kongressmottos "Sicher in die digitale Welt von morgen" zeige sich bereits beim Blick in die Tagespresse, kommentierte BSI-Präsident Michael Hange in seiner Begrüßung: "Veränderungen durch IT spielen sich nicht nur im persönlichen Erfahrungsbereich ab – die politische Veränderungskraft durch IT hat sich eindrucksvoll auch durch die massiven Bürgerproteste im arabischen Raum gezeigt, die ohne allgegenwärtige Kommunikation nicht denkbar gewesen wären." Gleichzeitig dominierten immer wieder Sicherheitsvorfälle die aktuelle Berichterstattung – als Beispiele wurden während des Kongresses häufig der Datendiebstahl bei Sony genannt, von dem über 100 Millionen Kunden betroffen waren, oder auch der Zusammenbruch der Amazon-Cloudserver für 24 Stunden.

In diesem Zusammenhang träten regelmäßig unzureichender Datenschutz und mangelndes Verantwortungsbewusstsein der Betreiber in Bezug auf Datensicherheit und Verbraucherschutz zutage. Letzteres zeige sich auch dort, wo persönliche Daten quasi als Bezahlung für kostenlose Dienste genutzt würden – teils ohne dass dies den Kunden bewusst sei.

Michael Hange (BSI): "Der Staat kann Rahmenbedingungen schaffen, aber die Geschäftsmodelle müssen von der Wirtschaft kommen, damit sie angenommen werden"

"Sicherheitsvorfälle offenbaren, dass es bei Onlineanbietern vielfach noch immer an elementaren Vorkehrungen fehlt, dass sich fehlende Verantwortlichkeiten oder realitätsferne Notfallplanung zeigen", beklagte Hange. Seine Schlussfolgerung: "Online-Services brauchen ein angemessenes Maß an Sicherheit, um Kundenvertrauen zu erhalten – und transparente Prozesse."

Hange würdigte jedoch auch, dass Hersteller und Provider teils den Kunden mit kostenlosen Hilfestellungen unter die Arme greifen. Als Beispiel hierfür nannte er die erfolgreiche Antibotnetzinitiative, die in Zusammenarbeit mit dem BSI auf den Weg gebracht wurde. Sinnvolle Kooperation habe es auch bei der Erstellung der jetzt veröffentlichten finalen Fassung des BSI-Eckpunktepapiers "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" gegeben (vgl. S. 35): Diese Best Practices zur Absicherung von Cloud-Diensten seien nicht "ex cathedra" erlassen worden, sondern im Dialog entstanden. In gleicher Weise wurde am ersten Kongresstag der Entwurf eines Eckpunktepapiers für Mindestanforderungen an den E-Commerce online gestellt, der wiederum in einer zweimonatigen Diskussionphase von Anbietern und Anwendern von E-Commerce-Diensten diskutiert und kommentiert werden soll, um letztlich eine finale Version zu entwickeln. "Der Staat kann Rahmenbedingungen schaffen, aber die Geschäftsmodelle müssen von der Wirtschaft kommen, damit sie angenommen werden", betonte Hange.

Cybersicherheits-Strategie

Cornelia Rogall-Grothe, Staatssekretärin im Bundesministerium des Innern und Beauftragte der Bundesregierung für Informationstechnik, mahnte in ihrer Eröffnungsrede: "Es wird nicht ganz selbstverständlich sein, sicher in die digitale Welt von morgen zu gelangen." Unser Land brauche heute ein funktionierendes und sicheres Internet, die Cybersicherheits-Strategie der Bundesregierung adressiere dieses Bedürfnis. Damit wolle man in Zukunft die Cybersicherheit auf einem hohen Niveau gewährleisten, ohne die Chancen des Netzes aus den Augen zu verlieren.

Cornelia Rogall-Grothe (BMI):"Mehr Sicherheit im Netz werden wir nur erreichen, wenn jeder Akteur – also staatliche Stellen, Anbieter, Hersteller und Nutzer – seine Verantwortung wahrnimmt."

Als einen Kernpunkt nannte Rogall-Grothe in diesem Zusammenhang die Einsetzung von nationalem Cyber-Abwehrzentrum und Cyber-Sicherheitsrat. Stuxnet habe gezeigt, dass Bewertung und Analyse komplexer Bedrohungen Zeit bräuchten, die im Falle einer IT-Krise regelmäßig fehlen werde: "Das Cyber-Abwehrzentrum unter Federführung des BSI schafft eine Informationsplattform, die es zukünftig ermöglicht, schnell und zwischen allen einschlägigen Behörden und Betroffenen abgestimmt technische Informationen zusammenzutragen, zu analysieren und Empfehlungen zum Schutz der IT-Systeme zur Verfügung zu stellen."

In der Woche vor dem Kongress habe sich nun auch der nationale Cyber-Sicherheitsrat konstituiert, zu dessen Arbeitsschwerpunkten die Koordination von Maßnahmen zur Verbesserung von IT-Systemen, die Begleitung technologischer Innovationen und der internationalen Zusammenarbeit gehören. "Den Hauptschwerpunkt wird jedoch die Koordinierung des Vorgehens bei der Absicherung kritischer Infrastrukturen gegen IT-Vorfälle bilden", erläuterte Rogall-Grothe.

Diesen Schwerpunkt habe man gelegt, weil die Verletzbarkeit durch Angriffe auf kritische Infrastrukturen zunehmend Sorge bereite. Dennoch sei zu fragen, ob es Stellen gibt, an denen man nachjustieren müsse: "Die zunehmende Durchdringung der IT hat dazu geführt, dass Bereiche, die wir bisher noch nicht im Fokus hatten, mit einbezogen werden müssen." Man wolle daher gemeinsam mit dem BSI "die Zusammenarbeit mit den Branchen intensivieren, um eine weitaus größere Sensibilisierung auch in anderen Bereichen zu erreichen."

Ein anderes Element der Cyber-Sicherheitsstrategie sei die unter der Federführung des Bundesministeriums für Wirtschaft und Technologie etablierte Task-Force "IT-Sicherheit in der Wirtschaft": Unzureichende Sicherheitsvorkehrungen könnten IT-Systeme schnell zum Einfallstor für Wirtschaftssabotage und -spionage werden lassen. Rogall-Grothe unterstrich: "Mit der Task-Force werden vor allem kleine und mittelständische Unternehmen stärker unterstützt, denn auch dort können Netzangriffe erhebliche Schäden verursachen. Hierzu zählen nicht nur der monetäre Verlust, sondern auch eine mögliche Rufschädigung und der Vertrauensverlust bei der Kundschaft."

Angriffe durch Wirtschaftsspionage und Konkurrenzausspähung auf das Know-how und den Wissensvorsprung deutscher Unternehmen seien heute eine reale und zunehmende Bedrohung. Deutschland sei wegen seiner geopolitischen Lage, der wichtigen Rolle innerhalb von EU und NATO sowie als Standort zahlreicher Unternehmen und Wissenschaftseinrichtungen der Spitzentechnologie auch "in erheblichem Umfang Ziel der Aufklärung fremder Nachrichtendienste". Die Abwehr von Wirtschaftsspionage und der Wirtschaftsschutz seien deshalb zentrale Arbeitsfelder der Nachrichtendienste von Bund und Ländern.

Doch auch der Schutz der Endanwender vor Identitätsdiebstahl sei ein Thema: "Mit der Einführung des neuen Personalausweises haben wir ein Instrument vorliegen, welches das Internet ein Stück weit sicherer macht." Bislang besäßen etwa vier Millionen Bundesbürger das neue Identitätsdokument, bis Ende 2011 sollen es zirka zehn Millionen sein – rund 30 Dienste verschiedener Branchen seien derzeit online unter Zuhilfenahme der Ausweisfunktion nutzbar.

Rogall-Grothe legte jedoch auch Wert darauf, dass staatliches Handeln allein nicht ausreiche: "Mehr Sicherheit im Netz werden wir nur erreichen, wenn jeder Akteur – also staatliche Stellen, Anbieter, Hersteller und Nutzer – seine Verantwortung wahrnimmt." Mit Angeboten wie dem neuen Personalausweis und De-Mail biete der Staat Lösungen zur Verbesserung der IT-Sicherheit an, die jedoch auch von der Wirtschaft und der Bevölkerung genutzt werden müssten. "Nutzen Sie diese kreativ, finden Sie neue Anwendungsmöglichkeiten und entwickeln und entfalten Sie Potenziale, an die wir bisher noch nicht gedacht haben", forderte Rogall-Grothe auf.

Standortvorteil Sicherheit?

Reinhard Clemens, T-Systems CEO und Vorstandsmitglied der Deutschen Telekom, hat seine Eröffnungsrede mit "Standort Deutschland – Vorteil für die Sicherheit?" überschrieben. Informations- und Kommunikationstechnik (ICT) erzeuge heute direkt oder indirekt 25 % vom Wachstum des Bruttoinlandprodukts, 50 % aller Industrieprodukte hängen vom ICT-Einsatz ab und 79 % aller Entscheider sagen, ICT habe eine hohe strategische Relevanz für ihr Geschäft. Somit sei die ICT heute ganz klar eine kritische Infrastruktur – und "Daher gibt es auch einen klaren Standortvorteil für Länder mit stabiler und sicherer ICT." Ein verfügbares Datennetz mit hoher Bandbreite und moderaten Preisen erhöhe die Wettbewerbsfähigkeit in Deutschland – aber: "Ohne Cybersicherheit wird das alles aufs Spiel gesetzt!", betonte Clemens.

Reinhard Clemens (T-Systems): "Das Thema Datensicherheit Ernst zu nehmen, konstant und kontinuierlich umzusetzen, ist noch längst keine Selbstverständlichkeit."

Die gute Internetinfrastruktur habe gleichzeitig ihre Schattenseiten: So sei Deutschland mittlerweile auch die größte Quelle von Schadsoftware in Europa. Allein im ersten Quartal 2011 habe die Telekom über 145 000 Kunden individuell wegen Botnetzaktivitäten auf deren Rechnern gewarnt. Ein ausreichendes Verantwortungsbewusstsein bezüglich Schadsoftware sei bei vielen Bürgern "noch nicht angekommen". Und angesichts von Geschwindigkeit und Variantenreichtum neuer Malware sei auch klar, dass Anti-Virus-Software dieses Problem nicht (alleine) lösen könne.

Man müsse daher bei Konsumenten Sicherheitsbewusstsein fördern – aber auch im Mittelstand: Problematisch dabei sei, dass (auch größere) KMU sich State-of-the-Art-Sicherheit im eigenen Hause heute eigentlich gar nicht leisten können: "Wir müssen überlegen, wie wir diesen Unternehmen helfen können, die notwendige Sicherheit mit tragbaren Kosten zu implementieren", forderte Clemens.

Und selbst aufgrund von Erfahrungen aus der Großkundenbetreuung müsse er beklagen: "Das Thema Datensicherheit Ernst zu nehmen, konstant und kontinuierlich umzusetzen, ist nicht überall in dieser Welt und auch nicht in Deutschland eine Selbstverständlichkeit." Auch die Deutsche Telekom habe erst "ihre Lektion lernen müssen", nachdem vor vier Jahren verschiedene Datenskandale das Unternehmen in die Schlagzeilen gebracht hatten – darauf habe man reagiert und versucht, einen extrem hohen Standard zu implementieren, gerade in Sachen Datenschutz.

Generell blieben allzu oft Verwundbarkeiten trotz schnellerer Updatezyklen noch immer recht lange auf PCs bestehen und Stuxnet habe gezeigt, dass das in der Industrie nicht besser aussieht als beim einfachen Anwender. Der langen Reaktionszeit, um Lücken zu schließen, müsse man in der Konsequenz mit neuen Designprinzipien für "automatisch sichere" Produkte begegnen.

Aufgrund der hierzulande positiveren Einstellung zum Datenschutz könne "Security by Design" für Deutschland und auch ganz Europa durchaus einen Standortvorteil bedeuten, wenn Produkte und Dienstleistungen entsprechend implementiert werden – gerade auch im "Megatrend" Cloud-Computing, wo Sicherheit ein kritischer Erfolgsfaktor sein werde.

Da man zudem heute mit Wirtschaftsspionage auch durch befreundete Staaten rechnen muss, sei es zudem wesentlich, nicht nur beispielsweise auf Komponentenhersteller aus Fernost und marktführende Softwareanbieter, etwa aus den USA oder Russland, zu setzen. Weil die Integrität heutiger Systeme kaum prüfbar ist, müssen wir den Herstellern "relativ blindes Vertrauen entgegenbringen" – umso wichtiger sei es, die entsprechenden Kompetenzen im eigenen Land und in Europa wieder zu stärken. Bei allen Anstrengungen sei jedoch klar, dass das niemand alleine voranbringen könne: "Politik, Wirtschaft und Gesellschaft müssen an einem Strang ziehen", resümierte Clemens.

Konvergenz und Risiko

Die Konvergenz digitaler Technologie sowie ihre Durchdringung des privaten wie beruflichen Lebens zog sich als roter Faden durch den Beitrag von Andreas Ebert, Leiter IT-Security und BCM-Governance bei der RWE AG: "IT ist heute so vielschichtig – oft ist sie gar nicht mehr als solche zu identifizieren", sei es in modernen Autos, im Handy oder in der Prozesssteuerung. Telekommunikation und Informationstechnik seien bereits weitestgehend verschmolzen, damit übertragen sich klassische IT-Bedrohungen auch auf TK-Systeme.

Andreas Ebert (RWE): "Wir brauchen weniger Schutz von Geräten und mehr Schutz von Informationen als solchen – weniger zusätzliche Sicherheitsprodukte und dafür mehr sichere Produkte."

Gleiches gelte für die zunehmend vernetzten Systeme mit Steuerungsaufgaben, wo die Sicherheitsmaßnahmen bislang jedoch nur unzureichend angepasst und weiterentwickelt worden seien: "Verantwortliche für Realtime-Systeme haben oft nur lückenhafte Kenntnisse hinsichtlich moderner Softwareentwicklungsmethoden und IT-Sicherheit. Umgekehrt ist es bei klassischen IT-Leuten, die zwar mittlerweile die IT-Sicherheit gut verstehen, nicht aber die sehr viel stärker ingenieurmäßig geprägten Steuerungssysteme", stellte Ebert fest. Hier sei zukünftig ein stärkerer Austausch elementar wichtig.

Ein weiteres Problem bezeichnete er als "Risikoparadoxon". Bedrohungen und Risiken lassen sich oft nur schwer zutreffend erkennen und einschätzen, da ihre Wahrnehmung von zwei psychologischen Fallen überlagert werde: erstens einem "stark unrealistischen Optimismus" und zweitens einer Kontrollillusion im Sinne der Sichtweise "wir haben das schon im Griff". Überdies erscheinen bekannte, tägliche Gefahren den Menschen meist weniger bedrohlich, wie beispielsweise der – an sich lebensgefährliche – Straßenverkehr mit hohen Fahrgeschwindigkeiten verdeutliche. "Vermeintlich beeinflussbare Gefahren werden als weniger riskant eingeschätzt, seltene Ereignisse überschätzt und ein einmal akzeptiertes Risiko wird anschließend als weniger bedrohlich wahrgenommen und manchmal auch 'wegdiskutiert'", warnte Ebert.

Generell sei ein klares – und zugleich nachvollziehbares – Selbstverständnis für die Informationssicherheit gefragt. Auch wenn Sicherheitsmaßnahmen teilweise anderen Anforderungen im Wege zu stehen scheinen, dienten sie doch letztlich der Sicherung des Fortbestands des eigenen Unternehmens. Eine Aufgabentrennung sei daher wesentlich: "Der Verantwortliche für Informationssicherheit muss ein starker Sparringspartner des CIO sein", forderte Ebert. Denn der CIO stehe für digitale Innovationen, bestmögliche Unterstützung der Prozesse (Ergonomie und Bequemlichkeit für Anwender) sowie die Optimierung der Budgets – all das seien jedoch "natürliche Feinde der Sicherheit".

RWE setze in diesem Umfeld auf den Dreiklang, dass Informationssicherheit "integriert, konsequent und umfassend" erfolge: "Integriert bedeutet, Informationssicherheit ist Bestandteil der Konzernsicherheit", was gleichzeitig die funktionale Trennung zum CIO widerspiegele. Konsequent bedeute: "Informationssicherheit läuft als Prozess über alle Stufen der Informationsgewinnung und -verarbeitung, unabhängig vom Medium (egal, ob auf Papier oder digital). Und 'umfassend' erfordert den Einbezug aller denkbaren derzeitigen digitalen Technologie in diesen Prozess, sowohl der klassischen IT, als auch der Telekommunikation, SCADA sowie Gebäude- und Medientechnik", erläuterte Ebert.

Als zusätzliches wesentliches Element nannte er die Kooperation: "Informationssicherheit – gerade bei kritischen Infrastrukturen – kann und darf keine Einzelkämpferaufgabe sein." Networking sei Pflicht und sollte dem Zuständigen zur Herzensangelegenheit werden. Denn: "Austausch ist erforderlich, um eigene Sichtweisen regelmäßig zu überprüfen und zu ergänzen", betonte Ebert.

Die Antwort auf die zunehmende Konvergenz und Durchdringung sieht Ebert in der konsequenten Anwendung bekannter und bewährter Maßnahmen auf alle digitalen Verfahren und Systeme. Darüber hinaus plädierte er für "weniger Schutz von Geräten und mehr Schutz von Informationen als solchen" und "weniger Sicherheit durch zusätzliche Produkte, dafür aber mehr sichere Produkte" – Informationssicherheit müsse bereits im Rahmen der Anforderungssdiskussion und des Produktdesigns ihren Platz finden.

Europäischer Schulterschluss

Patrick Pailloux, Generaldirektor der französischen Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) betonte die Verbundenheit mit dem BSI und die gemeinsamen Anstrengungen der französischen und deutschen Agenturen. Seit vor gut einem Jahr auf ministerieller Ebene eine bilaterale Kooperation beschlossen worden ist, habe man unter anderem den Austausch operativer Informationen und die Zusammenarbeit in europäischen Foren weiter intensiviert.

Patrick Pailloux (ANSSI): "Unternehmen der Privatwirtschaft sollten gemeinsam für eine bessere Sicherheit im Cyberspace arbeiten – auch wenn sie zueinander im Wettbewerb stehen."

Angesichts verständlicher nationalstaatlicher Interessen und nicht zuletzt eigener Geheimnisse, die es vor dem Rest der Welt zu bewahren gilt, sowie einem wirtschaftlichen Wettbewerbsverhältnis sei eine enge Zusammenarbeit keine Selbstverständlichkeit. Die zunehmende Digitalisierung unserer Gesellschaft und Abhängigkeit von Unternehmen und Regierungen von der IT hätten jedoch das gemeinsame Interesse an Cybersicherheit deutlich wachsen lassen: "Frankreich und Deutschland stehen denselben Bedrohungen gegenüber und müssen diesen auch gemeinsam entgegentreten."

"In einigen Bereichen hat sich die Situation von einem fairen Wettbewerb, der sich auf die Produkt- und Servicequalität bezog, zu einem unfairen Wettbewerb gewandelt, der auf dem Diebstahl von Informationen beruht", beklagte Pailloux. Dieser bösartigen Form des Wettbewerbs entgegenzutreten erfordere den Schulterschluss über nationale Grenzen hinweg. In diesem Zusammenhang hält Pailloux auch verstärkte gemeinsame Initiativen zum Austausch von Informationen über Sicherheitsvorfälle für notwendig.

Doch neben staatlichen Stellen sei auch die Wirtschaft gefragt: So sollten Unternehmen stärker auf Produkte aus der EU setzen, um Abhängigkeiten von Drittländern zu verringern. Zudem betonte Pailloux: "Ich hoffe, dass Unternehmen der Privatwirtschaft sich des gemeinsamen Interesses bewusst werden, gemeinsam für eine bessere Sicherheit im Cyberspace zu arbeiten – auch dort, wo sie zueinander im Wettbewerb stehen". Es gebe bereits Präzedenzfälle, in denen trotz einer vorliegenden Wettbewerbssituation deutsche und französische Unternehmen Hand in Hand gegen gemeinsame Bedrohungen vorgegangen seien. Pailloux wünschte sich, dass mehr Unternehmen angestammte Hürden überwinden und eine derartige Form der Kooperation akzeptieren.

Seinen Vortrag schloss Pailloux mit einer Mahnung, Worten und Einsichten auch Taten folgen zu lassen – er zitierte hierzu Johann Wolfgang von Goethe: "Es ist nicht genug, zu wissen, man muss auch anwenden; es ist nicht genug, zu wollen, man muss auch tun."

Cloud-Computing

Neben Fachvorträgen am ersten Kongresstag stand auch der Vormittag des 11. Mai ganz im Zeichen der "Cloud" – zunächst in der Keynote von Ralph Haupter, Vorsitzender der Geschäftsführung Microsoft Deutschland und "Area Vice President International", die mit "Cloud ist Zukunft! Chancen nutzen – Vertrauen sichern – Standort stärken" überschrieben war, und anschließend auf einer Podiumsdiskussion zum Thema.

Ralph Haupter (Microsoft): "Cloud bietet Chancen, braucht aber auch (Gestaltungs-)Raum, um seine Innvovationskraft leben lassen zu können."

"Die Welt von Morgen wird aus Sicht von Microsoft durch Cloud-Computing gestaltet", eröffnete Haupter – das volle Spannungsfeld verschiedener Anforderungen zeige sich dabei naturgemäß in den so genannten Public Clouds. Haupter betonte, dass Cloud etwas Neues sei und nicht nur ein Hype oder Re-Branding von altbekannten IT-Verfahren: "Es geht darum, wie die Industrie Servicemodelle entwickelt, neue Technologie zur Verfügung stellt, um neue Lösungspakete zu etablieren, und wie massenhaft Daten benutzt werden können" – letztlich: "wie IT aus der Steckdose funktionieren kann."

In diesem Zusammenhang seien auch Antworten auf heutige Megatrends gefragt, wie die fortwährende Verfügbarkeit im Netz, Social Networking und Computing sowie neue Formen der Interaktion mit IT. "Cloudverfahren bieten technologischen Rückhalt und wichtige Skalierungsmöglichkeiten für neue Herausforderungen", betonte Haupter – auch in Sicherheitsfragen: So bliebe etwa ohne den Rückgriff auf Cloud-Services offen, wer Mittelständlern hilft, ihre Rechenzentren gemäß aktueller Security-Standards zu betreiben und zu auditieren oder ihre Software immer auf dem aktuellen Stand zu halten.

Cloud-Computing als Technologie der Zukunft kenne jedoch durchaus noch unbeantwortete Fragen. Unter der Überschrift "Corporate Technical Responsibility" wolle sich Microsoft der gesellschaftlichen Herausforderung stellen, mit Fragen von Datenschutz und -sicherheit im Umfeld des Cloud-Computing umzugehen. Haupter gab sich zuversichtlich: "Wir haben auf viele dieser Fragen gute Antworten – Kunden geben uns diese Rückmeldung. Wir haben in Deutschland über 5000 Kunden, die von uns Cloud-Services in unterschiedlicher Ausprägung benutzen." Weitere Fragen sollten im Dialog beantwortet werden – gemeinsam mit Wettbewerbern, Anwendern und Politik.

"Cloud bietet Chancen, braucht aber auch (Gestaltungs-)Raum, um seine Innvovationskraft leben lassen zu können", plädierte Haupter zum Schluss seiner Rede.

Podiumsdiskussion

Über Chancen und Risiken des Cloud-Computing diskutierte anschließend eine vierköpfige Teilnehmerrunde unter der Moderation von Dr. Ralf Müller-Schmid (Deutschlandradio): Neben Ralph Haupter (Microsoft) und Michael Hange (BSI) waren Dr. Thilo Weichert, der Landesbeauftragte für den Datenschutz Schleswig-Holstein, und Andreas Weiss, Direktor des EuroCloud Deutschland_eco e. V., auf dem Podium.

Zum Einstieg betonte Hange, es gebe viele Chancen im Cloud-Computing, aber auch Bedenken: "Anbieter haben die Neigung Cloud-Computing als ein Rundum-Sorglospaket anzubieten, aber IT-Sicherheit muss Vertrauen schaffen; insofern muss man die Gegenargumente auch Ernst nehmen."

Andreas Weiss (EuroCloud): "Die Vorteile von Cloud-Computing sind signifikant, wenn es richtig gemacht wird."

Weiss räumte einen gewissen Nachholbedarf ein: Outsourcing sei ja nicht neu, bekomme aber durch Cloud-Computing eine neue Wahrnehmung "Von daher müssen wir einfach all die Themen, die in den letzten zehn Jahren vielleicht ein bisschen verschlafen wurden, in relativ kurzer Zeit aufbereiten – denn wir sprechen über nicht viel Neues: Cloud-Computing ist keine neue Technologie – das ist ein Konzept, eine Architektur. Man hat einen anderen Anwendungsbereich, den man durch Cloud-Computing vermitteln kann. Und die Vorteile sind – besonders für den Mittelstand – signifikant, wenn es richtig gemacht wird." Bedenken seien verständlich, auf der Basis von Zertifizierungen und Gütesiegeln sehe er jedoch eine gute Chance, dass sowohl der Anwenderbedarf erfüllt als auch die Anforderungen von Datenschutz und -sicherheit richtig adressiert werden können, argumentierte Weiss weiter.

Weichert gab sich jedoch skeptisch: "Als Datenschützer stellen wir fest, dass hier zwar viel von Vertrauen, aber nicht von Vertraulichkeit gesprochen wird – die Konzepte zur Wahrung von Vertraulichkeit werden erst entwickelt. Wir erleben mit dem Hype um Cloud-Computing eine 'Operation am offenen Herzen': Das ist eine Art, die Datenverarbeitung jetzt erst einmal zu praktizieren und dann zu sehen, ob Probleme und Risiken auftauchen", warnte er. Siegel wie von Eurocloud und Thesenpapiere wie die Eckpunkte des BSI seien der richtige Weg, aber "erst der Anfang des Weges" – von Vertraulichkeit und Transparenz sei man noch weit entfernt.

Thilo Weichert (LfD Schleswig-Holstein): "Beim Cloud-Computing wird zwar viel von Vertrauen, aber nicht von Vertraulichkeit gesprochen."

Auf die Rückfrage des Moderators, ob wir angesichts von Kosten- und Innovationsdruck eher über hinnehmbare Unsicherheiten als über wünschenswerte Sicherheit sprechen müssten, entgegnete Weichert: "Gewisse Unsicherheiten müssen wir immer akzeptieren – aber was ist hinnehmbar? Am Beispiel der Atomkraft wird uns gerade klar, dass das, was wir über 30 Jahre hinweg als hinnehmbare Unsicherheit akzeptiert haben, nicht akzeptabel ist. Ist es beim Cloud-Computing wirklich hinnehmbar für ein Unternehmen, dass es nicht weiß, wo auf der Welt seine Daten verarbeitet werden? Natürlich nicht!" Hier gebe es nicht nur technische, sondern auch organisatorische und rechtliche Anforderungen, die man einfordern können müsse.

Haupter erwiderte indes: "Vornan steht doch die Frage: Was will der Kunde?" Betrachte man heute übliches Anwenderverhalten, lasse sich darin oft keine Priorität für Sicherheit erkennen. Haupter zeigte sich zwar dankbar für aufgeworfene Problemstellungen, da man nur konkrete Fragen auch konkret beantworten könne, betonte aber gleichzeitig: "Eine Nein-Kultur hilft uns nicht in diesem Innovationsthema – die Dinge werden ohnehin passieren, die Frage ist: Wie können wir helfen, sie intelligent zu regeln?" Haupter wünschte sich hier ein inhaltlich faktisches Abarbeiten der Aufgabenstellungen – dann sei man in der Lage zu differenzieren "den Teil haben wir, jener Teil ist zu leisten und ein anderer ist inhaltlich oder wirtschaftlich unsinnig."

Hange unterstrich indessen die Wichtigkeit skalierbarer Sicherheit: "Es gibt unterschiedliche Qualitäten von Daten und danach muss man auch Sicherheitskonzepte ausrichten." Wesentlich seien daher neben einer allgemeinen Diskussion auch anforderungsorientierte Zertifizierungsprozesse: "Zertifizierungen schaffen zwar nicht alle Probleme aus der Welt, leisten aber einen wesentlichen Beitrag zum Vertrauen in Dienstleister", konstatierte Hange.

Weiss gab zu Bedenken, man dürfe auch nicht vergessen, dass durch die Umlage auf viele Kunden nicht nur Betriebskosten sinken, sondern auch die Umsetzung von Sicherheitsstandards ermöglicht werden könne, die bei einzelnen Unternehmen womöglich unrentabel wären oder schlicht an mangelndem Know-how scheitern würden.

Smartere Zukunft?

Die Keynote am dritten Kongresstag hielt Dr. Lothar Mackert, Vice President des Geschäftsbereichs Verteidigung und innere Sicherheit bei IBM. Seine These zum Einstieg lautete: Sicherheit werde zukünftig eine noch zentralere Rolle einnehmen als heute – denn nur mit Sicherheit werde die "Technologie für eine bessere Welt" smarter werden. In Bälde erwarte man, dass zwei Milliarden Menschen und vier Milliarden Systeme an das Internet angebunden sein werden – 2015, so schätze man, werden eine Billion Geräte über das Internet miteinander kommunizieren. "Es wird immer mehr Datenquellen geben, die Welt wird immer stärker instrumentiert – und die Systeme werden immer intelligenter und kommunikativer", blickte Mackert in die Zukunft – damit stiegen zwangsläufig auch die Anfälligkeit für Fehler und die Angriffsfläche für Attacken.

Lothar Mackert (IBM): "Sicherheit darf nicht als etwas aufgesetzt werden, das am Schluss kommt, sondern es muss von vornherein bedacht werden und in eine ganzheitliche Architektur eingehen."

Gleichzeitig nähmen die Bedrohungen deutlich zu: Schon heute beobachteten die Security-Operations-Center der IBM "X-Force" bei rund 4000 Kunden weltweit täglich rund 13 Milliarden sicherheitsrelevante Ereignisse. Alarmierende X-Force-Zahlen präsentierte Mackert bezüglich aufgetretener Schwachstellen: Einerseits sei die Zahl der Schwachstellen 2010 um 27 % gestiegen, andererseits seien 44 % aller im vorigen Jahr entdeckten Schwachstellen bis Ende 2010 nicht geschlossen worden. Zudem beobachte man auch eine qualitative Verbesserung der Attacken.

Als wesentliche Reaktion auf diese Entwicklungen nannte Mackert unter anderem, dass jeder einzelne Anwender und jedes Unternehmen tätig werden müssten. Drei Bereiche seien hier verbesserungbedürftig: "Das ist zum einen der professionelle Umgang mit IT-Sicherheit – Sicherheit darf nicht als etwas aufgesetzt werden, dass am Schluss kommt, sondern es muss von vornherein bedacht werden und in eine ganzheitliche Architektur eingehen. Wer dabei glaubt, dass IT-Sicherheit ein 'Technologie-Issue' ist, der irrt!" Technologie mache dabei vielleicht 5–10 % aus, "die wesentlichen Herausforderungen liegen in der Art und Weise, wie ich mich organisiere – in den Prozessen." Man brauche daher eine proaktive, ganzheitliche Sicht, um das Thema richtig anzugehen.

Zweitens werde künftig die Zusammenarbeit zwischen öffentlicher Hand, Unternehmen und Wissenschaft entscheidend sein: "Man kann nicht mit dem Finger beispielsweise auf Verwaltung oder Hersteller zeigen und Handlungen einfordern. Das Thema ist viel zu komplex, als das man es singulär an eine Stelle binden könnte", unterstrich Mackert. Das nationale Cyberabwehrzentrum sei hier ein guter Schritt in die richtige Richtung, wobei es aber erst ein kleiner erster Schritt sei, dem weitere folgen müssen. Als dritten bedeutenden Punkt bezeichnete Mackert die Internationalisierung: Sicherheit müsse im weltweiten Kontext institutionalisiert werden. Er beklagte: "Das ist noch sehr in den Kinderschuhen." Es gebe zwar schon Anstrengungen auf EU-Ebene und in der Wissenschaft, aber "das muss weiter vertieft werden und bis in die Verwaltungen und auch in die Unternehmen hinein kommen", um letztlich etwas entscheidend zu verbessern.

Fachvorträge

Die fachliche Fülle der über 40 auf dem Kongress gehaltenen Fachvorträge würde selbst in Kurzform an dieser Stelle jeden Rahmen sprengen, weswegen der schon traditionelle Verweis auf den Tagungsband gestattet sein möge (vgl. Kasten). Einige Präsentationen sind zudem über  www.bsi.bund.de/ContentBSI/Aktuelles/Veranstaltungen/IT-SiKongress/12praesentationen.html im Internet abrufbar.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2011^#3, Seite 27
tag:kes.info,2007:lp:2011-3-A