Am 24. September 2017 sind Bundestagswahlen in Deutschland. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat seine Mitglieder (Führungskräfte und Mitarbeiter der IT-Sicherheitsbranche in Deutschland) befragt, welche IT-sicherheitsrelevanten Themen die Parteien mit Blick auf die Wahl adressieren sollen.

Cyber Sicherheit in Deutschland

Die Anregungen, die deutsche IT-Sicherheitsexperten Politikern in ihrem Land auf die Agenda setzen, decken sich z.T. mit denen ihrer Kollegen in anderen europäischen Ländern, allen voran die Forderung an die Regierung gute Bedingungen für die digitale Transformation zu schaffen, um zukünftig weltweit wettbewerbsfähig zu bleiben. Mit insgesamt neunzehn Merkposten* warten die IT-Sicherheitsexperten und -manager für die Politiker auf. Einige davon haben wir uns herausgegriffen, um sie etwas ausführlicher zu beleuchten. Die Bedrohungslage durch Cyberkriminalität wird von Jahr zu Jahr ernster. CIOs und Sicherheitsmanager versuchen Schritt zu halten und Ihre Unternehmen, Organisationen, Behörden und Institutionen vor Angriffen zu schützen. Angesichts vermehrter Fälle von Ransomware-Attacken, Fake News und Cyberspionage wenden sie sich an die Parteien, die folgenden IT-sicherheitsrelevanten Themen ernst zu nehmen und mit Blick auf die Bundestagswahl 2017 zu adressieren.

„Digitale Souveränität: Die Bundesrepublik Deutschland darf ihre technologische Hoheit über kritische IT-Anwendungen nicht verlieren.“

US-Technologien sind weltweit im Einsatz. An amerikanischen Firewalls, Cloud Services, Betriebssystemen führt (fast) kein Weg vorbei. Angesichts der amerikanischen Marktführerschaft im Technologiebereich sollte in Deutschland unbedingt an eigenen Technologien gearbeitet werden, um in der zukunftsweisenden Branche weiter mitmischen zu können.

„Es bedarf eines überparteilichen Konzeptes, wie Deutschland Unternehmen davor schützt, über die IT ausgespäht zu werden und Innovationen zu verlieren.“

Interessanter Punkt, aber wie will die Politik dafür ein überparteiliches Konzept erstellen und wie wollen sie es umsetzen? Die Mühlen der Politik mahlen langsam, zu langsam. Auf ein überparteiliches Konzept zu hoffen, könnte vergeblich sein und in punkto IT-Sicherheit behalten dann doch wieder andere die Nase vorn.

“Die Bundesregierung muss zu einem aktiven, orchestrierenden Part in der Cybersicherheit werden, dazu ihre Erkenntnisse über die Schutzqualität von (durch Bundesbehörden) getesteten Verfahren, Produkten, Dienstleistungen auch Anderen, insbesondere Ländern und Kommunen, zur Verfügung stellen und mittelfristig einen Basisschutz bei allen öffentlichen Organisationen etablieren.“

Auch hier sehen wir eher die Wirtschaft als die Politik in der Lage zu handeln, weil sie insgesamt über mehr Know-How und flexiblere Strukturen verfügt und es so schneller und effizienter zum gewünschten Ergebnis schafft.

“Digitalisierung darf nicht automatisch den Verlust der Hoheit über vertrauliche Daten bedeuten.“

Dieser Merkposten zielt darauf ab genau zu überlegen wer Zugriff auf vertrauliche Unternehmensinformationen haben darf und soll. Viele IT-Lösungen sind sehr komplex. Deshalb verlagern Unternehmen ihre Daten und Prozesse in die Cloud. Cloud-Lösungen sind nicht nur sehr bequem und komfortabel, sondern auch preiswert und sie sind in vielen Bereichen zu empfehlen. Denkt man an Besprechungen oder Präsentationen mit Teilnehmern aus verschiedenen Ländern, so sind Softwareanbieter von internetbasierten Web- und Videokonferenzen aus dem Unternehmensalltag nicht mehr verzichtbar. Ein Service, der für vertrauliche Besprechungen jedoch nicht geeignet ist. Deshalb sollte genau überlegt und abgewogen werden bevor Geschäftsprozesse und -bereiche digitalisiert werden. Kann die Hoheit über die Unternehmensdaten bei einem anderen Unternehmen, z.B. dem amerikanischen Cloud-Service, liegen? Oder muss die Datenhoheit im Unternehmen selbst liegen? Dann können Sicherheitslösungen wie Cryptshare zum Einsatz kommen, die on-site betrieben werden können und dennoch einen geringen administrativen Aufwand erfordern.

„Datenschutz "made in Germany" muss ein international wettbewerbsrelevanter Standortfaktor sein.“

“Made in Germany“ ist immer noch ein Qualitätsmerkmal – auch wenn einige Automobilhersteller dem Image in den letzten Jahren einige „Dellen“ zugefügt haben. Deutschland gilt als eines der Länder in Europa mit einem der fortschrittlichsten Datenschutzgesetze. Ein klarer Appell an die Politik: Das ist gut so und sollte auch so bleiben. Die Politik sollte sich hier auf keine Kompromisse bei neuen Gesetzesentwürfen einlassen - auch wenn diese von datengetriebenen Unternehmen immer wieder gefordert und gern gesehen wären. Gleichzeitig ist es aber auch ein Appell an die Unternehmen, selbst das Prinzip „Privacy by Design“ anzuwenden, also den Datenschutz beim Entwickeln neuer Technik von Anfang an mitzudenken und datenschutzfreundliche Einstellungen einzubauen. So kann Datenschutz „made in Germany“ ein echter Wettbewerbsvorteil sein und für Unternehmen weltweit zur bevorzugten Alternative werden.

„Anwender müssen im digitalen Umfeld zum Einsatz von Kryptographie motiviert werden.“

Diesen Ansatz können wir nur unterstreichen. Gerade digitale Daten sind schnell und einfach kopiert, geändert und somit manipuliert. Digitale Kommunikation ist angreifbar und sie wird immer häufiger gezielt angegriffen, um einen monetären Nutzen daraus zu ziehen. Der Staat könnte bei seinen Bürgern in Form von Aufklärungskampagnen Aufmerksamkeit für das Thema erzeugen und bei Unternehmen und Privatpersonen eine offenere Haltung gegenüber Verschlüsselungstechnologien herbeiführen. Bildungsangebote in Schulen und an Universitäten könnten tiefgreifendes Wissen über Verschlüsselungsverfahren vermitteln und die Hemmschwelle zur Nutzung im Alltag massiv herabsetzen.

„Mailverschlüsselung muss einfach und damit für alle nutzbar sein, d.h. Unterstützung eines deutschlandweit einheitlichen Angebotes.“

Jein. Wir sind ebenfalls der Meinung, dass E-Mail-Verschlüsselung einfach sein muss und gehen noch weiter und sagen: sie muss einfach, sicher und nachvollziehbar sein. (Wer Cryptshare im Einsatz hat, kann das bestätigen.) Doch die von der Bundesregierung subventionierte De-Mail ist alles andere als einfach. Sie hat sich bis heute nicht etabliert. „Derzeit gibt es mehr als eine Million De-Mail Teilnehmerinnen und Teilnehmer“ (Zum Vergleich: Cryptshare zählt über 2,5 Millionen lizensierte Nutzer in 30 Ländern.) Die komplizierte Identitätsprüfung beim Einrichten eines De-Mail Kontos schreckt ab. Vielleicht ist auch die Kritik an der bis 2015 mangelnden Sicherheit und das seitdem verspielte Vertrauen der Nutzer die Ursache. Oder doch der von Grund auf verfehlte Ansatz, dass De-Mail als nationaler Alleingang das Ziel digitaler Kommunikation, die in unserer globalisierten Welt immer internationaler wird, nicht leisten kann. An der Stelle möchten wir für Vielfalt und Wettbewerb am Markt plädieren und Unternehmen die einfache, sichere und nachvollziehbare E-Mail-Kommunikation mit Cryptshare empfehlen.

„"Bundestrojaner" sind abzulehnen.“

Auch hier ein klares: jein! Einerseits ist die Online-Durchsuchung potentieller Krimineller zum Schutz der Bevölkerung tatsächlich hilfreich und kann Straftaten helfen aufzuklären und sie im besten Falle verhindern. Dem gegenüber steht die oft geäußerte Befürchtung, dass der Staat seine Bürger systematisch überwachen will. Letztendlich braucht es weiterhin die Debatte in der wir herausfinden müssen wieviel Sicherheit und welches Maß an Privatheit wir als Gesellschaft wollen. Könnte die Antwort sein, den Bundestrojaner nicht grundsätzlich abzulehnen, sondern ihn vernünftig und kontrolliert einzusetzen, um kriminellen Elementen Einhalt zu gebieten. Letztlich ist dies eine Frage des Vertrauens in den Staat und die Effektivität seiner Kontrollinstanzen.

Fazit

Schließlich können wir in den meisten Punkten zustimmen und die Parteien nur dazu ermutigen im Interesse der deutschen Wirtschaft und im Interesse Ihrer Bürger das politische Augenmerk auf IT-sicherheitsrelevante Punkte zu legen - jetzt und in Zukunft. Der Staat kann viel tun, um die Informationssicherheit in Deutschland zu stärken, u.a. durch steuerliche Vergünstigungen, das Stärken des Bewusstseins für IT-sicherheitsrelevante Themen von klein auf mit Hilfe von Awareness-Programmen, angefangen in der Schule und darüber hinaus durch passende Studiengänge und weiter durch Wettbewerbe, Ausschreibungen, Forschungsgelder um Anreize zu schaffen, IT-Talente zu fördern und sie dazu zu motivieren, in die IT-Sicherheitsbranche zu gehen. Der Staat kann viel, muss aber nicht alles. Günstige Voraussetzungen zu schaffen, ist sicher die beste Maßnahme die er ergreifen kann. Wenn es an die Umsetzung geht, sind IT-Unternehmen sicher schneller und effizienter.