IT-Sicherheit: Gefährdungslage weiter hoch

Wie die Bürger, Unternehmen, aber auch die Verwaltung in Deutschland hinsichtlich der digitalen Souveränität aufgestellt sind, dazu gaben die Sachverständigen bei einer öffentlichen Anhörung des Ausschusses Digitale Agenda zum Thema »IT-Sicherheit von Hard- und Software« unterschiedliche Einschätzungen ab. Bei der Expertenbefragung unter Leitung von Hansjörg Durz (CSU) ging es am Mittwoch vor allem um den Ist-Zustand der IT-Struktur Deutschlands, gesetzgeberischen Handlungsbedarf und Sicherheitslücken. »Cyberangriffe können schwerwiegende Folgen für Wirtschaft, Staat und Gesellschaft haben, sodass die digitale Souveränität Garant für die staatliche Souveränität wird«, sagte Durz zu Beginn der Anhörung.

Arne Schönbohm (Bundesamt für Sicherheit in der Informationstechnik, BSI) sagte, insgesamt sei die Gefährdungslage weiter hoch. Hacker verfügten weltweit über 900 Millionen verschiedene Angriffsprogramme. Das Ziel müsse angesichts wachsender globaler technologischer Abhängigkeiten sein, Risiken zu minimieren. Technologische Souveränität sei eine Voraussetzung für mehr Cybersicherheit. »Entscheidend ist, die Soft- und Hardware getrennt zu betrachten«, sagte Schönbohm. Er plädiere für einen holistischen Ansatz, der nicht nur Produkte, sondern auch Prozesse betrachte, um Risiken zu verringern. Schönbohm sprach sich weiter dafür aus, Prüfverfahren und Techniken europaweit zu harmonisieren.

Michael Waidner (Fraunhofer-Institut für Sichere Informationstechnologie) betonte, dass Deutschland in einem Ländervergleich gut dastehe, auch was die Forschung und die Wirtschaft angehe. Wenn allerdings absolut gefragt werde, wie sicher die IT sei, dann komme man zu dem Ergebnis »angreifbar« und alle ständen schlecht da, sagte er. Besonders problematisch sei, dass es auf Anbieter-Seite keine internationalen Player in Europa gebe. In Bezug auf Infrastrukturen fehle etwa eine Verschlüsselungsinfrastruktur, merkte Waidner an. Er verwies auch auf den »eklatanten Mangel« im Bereich Aus- und Weiterbildung von Fachkräften.

Isabel Skierka (European School of Management and Technology GmbH) verwies darauf, dass China derzeit massiv in die eigene IT-Sicherheit investiere. In Deutschland und Europa sei man in vielen Bereichen sehr abhängig von Technologien ausländischer Hersteller. Abschottung sei nicht der richtige Weg. »IT-Sicherheit ist die notwendige Bedingung für digitale Souveränität«, sagte die Sachverständige. Sie plädierte dafür, Schlüsseltechnologien und Kompetenzen in Deutschland und Europa massiv zu stärken und die regulatorischen Anforderungen an IT-Sicherheit zu verbessern, deren Einhaltung die Hersteller dann nachweisen müssten.

Für Oliver Harzheim von der Vodafone GmbH lag der Schlüssel in Investitionen in die digitale Bildung und Infrastruktur. Hemmschwellen müssten abgebaut und das Bewusstsein der Masse müsste gesteigert werden, um digitale Souveränität sicherzustellen. Die technische Infrastruktur sei »die Lebensader der digitalen Gesellschaft«, sodass es mehr wettbewerbsfähige Lösungen, auch bei der IT-Sicherheit geben müsse. Das europäische Cloud-Projekt GAIA X gehe in eine richtige Richtung, weitere Initiativen müssten nun folgen, sagte Harzheim

Auf den Umstand, dass jeder Einzelne für die Ausübung von digitaler Souveränität mitverantwortlich sei, verwies auch Klaus Landefeld (Eco-Verband der Internetwirtschaft). »Es können nicht nur die Betreiber von Diensten und der Staat in der Verantwortung stehen«, sagte Landefeld. Die Anwendung, Wissen und der Umgang seien »gelebte digitale Souveränität« und alle, nicht nur die Betreiber kritischer Infrastrukturen, hätten eine abstrakte Verpflichtung, die IT-Sicherheit zu erhöhen. Zudem könne nicht hingenommen werden, dass staatliche Stellen sogenannte backdoors offen hielten. Dies könne Gefahren für alle nach sich ziehen, sagte Landefeld.

Ninja Marnau vom CISPA Helmholtz Center for Information Security schätzte die Gesamtsituation als »besorgniserregend« ein. Das Langfrist-Ziel sei, europäische Hersteller für zentrale Infrastrukturen zu haben, mittelfristig könne die Kontrolle von Technologien und eine risikoabhängige Bewertung wiederhergestellt werden. Murnau sprach sich auch für eine »sektorübergreifende Regulierung von IT- und Digitalprodukten« aus, die sich auf Hersteller, Betreiber und auch Nutzer erstrecken könne. Um informierte Nutzer zu haben, brauche es zudem umfassende Bildungsstrategien zwischen Bund und Ländern über die gesamte Lebenszeit von Menschen hinweg, sagte die Sachverständige.

Frank Rieger (Chaos Computer Club e.V.) forderte, dass technologische Souveränität auch unter widrigen Umständen gelten müsse. »Wir leben in einer Welt, in der Technologie als Machtmittel eingesetzt wird«, sagte er. Ein Problem sei, dass Deutschland und Europa schon ein Stück ihrer digitalen Souveränität verloren hätten, da das Problem zu spät erkannt wurde und es keine diesbezügliche Industriepolitik gab. Viele Unternehmen seien an ausländische Investoren verloren worden. Rieger sprach sich für gesetzliche Regelungen aus, die es einfacher machen, die Sicherheit von Systemen zu überprüfen. Auch plädierte er dafür, dass das BSI unabhängig werden solle.