Messen und Kongresse / Nachbericht

Deutscher IT-Sicherheitskongress

Stimmen vom BSI-Kongress

Mitte Mai fand in Bonn – Bad Godesberg der 14. Deutsche IT-Sicherheitskongress des BSI statt. Unsere Rückschau fasst Kernaussagen aus den Keynotes zusammen.

Das Motto des diesjährigen BSI-Kongresses lautete „Risiken kennen, Herausforderungen annehmen, Lösungen gestalten“. Rund 600 Teilnehmer haben vom 19. bis zum 21. Mai die gut fünfzig Fachvorträge, Keynotes und Diskussionen verfolgt.

Langfassungen der Paper zu den Vorträgen sind im 591-seitigen Tagungsband erschienen (ISBN 978- 3-922746-94-2, erhältlich über den Buchhandel oder direkt von shop.secu.media) – etliche Vortragsfolien stehen zudem über www.bsi.bund.de/DE/Aktuelles/ Veranstaltungen/IT-Sicherheitskongress/ 14_ITSicherheitskongress/14_ IT-SiKongress_Vortraege.html zum kostenlosen Download bereit.

Bedrohungslage

In seinem Eröffnungsvortrag ging BSI-Präsident Michael Hange unter anderem auf die Auswertung der durch die Snowden-Enthüllungen öffentlich gewordenen NSA-Unterlagen ein. Hier seien vier Angriffsvektoren sichtbar:

: Michael Hange: „80–90 % der Cyberangriffe wären durch Standardmaßnahmen abzuwehren.“

strategische Aufklärung, die versucht, alle anfallenden Daten abzugreifen und unverschlüsselte Daten mitzulesen,
individuelle Angriffe auf IT-Systeme „interessanter“ Personen und Institutionen, wozu im Vorfeld systematisch Schwachstellen ausgenutzt würden,
die Beeinflussung / Schwächung von Sicherheits-Standards und -Implementierungen (bes. bei Kryptografie) sowie
gezielte Manipulation von IT-Equipment durch Eingriffe in Bestell-, Liefer- und Service-Ketten, vor allem weit verbreiteter Produkte von Global Players.

In der Gesamtbewertung seien jedoch nachrichtendienstliche Aktivitäten vorrangig für Regierungsnetze bedeutend. Für Bürger und Wirtschaft stelle hingegen heute die Masse der Angriffe mit kriminellem Hintergrund die größere Bedrohung dar – diese würden in Qualität und Quantität noch weiter zunehmen.

Als Lösungsansätze skizzierte Hange verschiedene Maßnahmen- Bereiche. So könne eine Förderung der Kompetenz und Vertrauenswürdigkeit im Bereich der IT-Sicherheit zum „Schutz von Grundrechten der digitalen Welt durch Sicherung der technischen Handlungsfähigkeit und Förderung vertrauenswürdiger IT“ beitragen. Darüber hinaus sei es wichtig die Wirtschaft zu befähigen, industrielle Kernkompetenzen mit vorhandenem IT-Sicherheits-Wissen zu verbinden, sowie das Engagement im Bereich der Zertifizierung und Standardisierung zu verstärken.

Nicht zuletzt müsse man die breitflächige Anwendung sicherer Technologie fördern – schließlich trage jeder zunächst die Eigenverantwortung für seine Systeme und Sicherheitsmechanismen: „Der Lichtblick am Ende des Tunnels ist, dass 80–90 % der Cyberangriffe durch bekannte Standardmaßnahmen abzuwehren wären“, betonte Hange. Dementsprechend wesentlich sei eine konsequente Umsetzung solcher Best Practices.

Auch Bundesinnenminister Dr. Thomas de Maizière ging auf die Ausspähung durch Nachrichtendienste ein, warnte dabei jedoch davor, nur auf die USA zu schauen: „Wir wollen, dass unsere Arbeit vor Angriffen aller Art, aus welcher Himmelsrichtung auch immer, geschützt wird – IT-Sicherheit richtet sich gegen niemanden und schützt alle.“

Der Blick der Deutschen auf das Internet und die Digitalisierung habe sich in den letzten Monaten infolge der zahlreichen Medienberichte über großflächigen Diebstahl von Identitäten durch Kriminelle, über kaum reguliertes Datensammeln durch große IT-Konzerne und Ausspähung durch Nachrichtendienste aus der ganzen Welt verdüstert. „Aber welche Konsequenzen ziehen die Menschen hieraus?“, fragte de Maizière.

Manchen Studien zufolge würden konkrete Maßnahmen trotz alledem nur geringfügig häufiger genutzt als zuvor – offenbar erfüllten Lösungen nicht die Erwartungen der Nutzer an einfache Bedienbarkeit. Zudem sei das Digitale ein Trendsetter mit großer Verführungskraft – aber eben auch immer undurchschaubareren technischen Prozessen. „Das kann dazu führen, dass man am Ende resigniert und sich gar nicht mehr um seine Sicherheit kümmert – nach dem Motto ‚hat ja alles doch keinen Zweck‘“, konstatierte der Minister.

: Dr. Thomas de Maizière: „Leicht gemachte Sicherheit muss ein Kriterium für gute IT-Sicherheit sein.“

: Prof. Dr.-Ing. Peter Liggesmeyer: "Datenzugriffsschutz allein ist Schnee von gestern.“

Hier sei ein Umdenken erforderlich: „Nicht nur bei den Nutzern, sondern auch bereits bei der Entwicklung von IT-Produkten.“ Anwender müssten darauf vertrauen können, dass „Prozesse sicher gestaltet sind und aufgedeckte Sicherheitslücken schnellstmöglich geschlossen werden“ – IT-Sicherheit müsse von Anfang an mitgedacht und über den gesamten Lebenszyklus erhalten werden. De Maizière forderte: „Leicht gemachte Sicherheit muss ein Kriterium für gute IT-Sicherheit sein.“

IT-Sicherheits-Gesetz

Auch der Staat trage im Sinne seiner Schutz- und Gewährleistungsfunktion Mitverantwortung für das Internet als Infrastruktur, betonte der Innenminister. Hier gehe man mit dem anstehenden IT-Sicherheitsgesetz einen wichtigen Schritt. Dabei sei jedoch ein Wechselspiel von Betreibern und Behörden essenziell: „Melden und warnen, Standards und Sicherungsmaßnahmen entwickeln – dies alles geht nur gemeinsam.“

Dieser kooperative Ansatz zeige sich auch darin, dass im Gesetz Durchsetzungsbefugnisse zwar vorgesehen seien, dies aber maßvoll: Man gehe damit einen neuen Weg, weg vom „typischen Regulierungshandwerk mit imperativen behördlichen Vorgaben“. De Maizière plädierte überdies dafür, auch außerhalb des gesetzlichen Rahmens im praktischen Alltag neue Zusammenarbeitsformen zu suchen, bei denen „jede Stelle ihre Fähigkeiten einbringen kann“.

Safety meets Security

Prof. Dr.-Ing. Peter Liggesmeyer hat als Präsident der Gesellschaft für Informatik (GI) und Leiter des Fraunhofer-Instituts für experimentelles Software-Engineering (IESE) eine Keynote über „Umfassende Sicherheit: Safety meets Security“ gehalten. Betrachte man den Sicherheitsbegriff anhand der Frage „Wer bedroht wen?“, so behandele die Daten-/IT-Sicherheit (Security) Gefährdungen durch Menschen für Geräte – die Betriebs-/Funktionssicherheit (Safety) den umgekehrten Fall. Darüber hinaus gebe es zivile/ militärische Sicherheit (Menschen vs. Menschen) und Sicherheitsintegrität (Geräte vs. Geräte).

Unglücklicherweise ließen sich diese vier Bereiche heute nicht mehr sauber voneinander trennen. „Wir werden die Fähigkeit erwerben müssen, das zusammenzuführen und ein globales Optimum von Safety und Security zu finden“, betonte Liggesmeyer. Beide Seiten zeigten zudem noch Defizite: So müsse einerseits eine heute übliche manuelle Safety-Zertifizierung statischer Systeme zur Entwicklungszeit durch eine autonome Zertifizierung dynamischer Systeme zur Laufzeit ersetzt werden.

Und in Sachen Security warnte Liggesmeyer: „Datenzugriffsschutz allein ist Schnee von gestern.“ Heute gebe es zwei Extreme: die Freigabe von Daten „ohne Rücksicht auf Verluste“ oder eben ihr (zumindest angestrebtes) „100%-ig sicheres Wegschließen“. Gefragt sei aber vielmehr eine Datennutzungskontrolle, die einen Mittelweg ermöglicht, also eine Freigabe mit definierten Grenzen – und dazu passende technische Lösungen, die eine Einhaltung der Verpflichtungen erzwingt oder zumindest vor Verletzungen warnt.

: Dr. Klaus Mittelbach: „Der ZVEI tritt dafür in, das Teilen von Daten als Chance zu verstehen.“

Internet der Dinge

Dabei hätten wir gute Chancen auf universell einsetzbare Lösungen, denn letztlich würden das Internet der Dinge (IoT), Industrie 4.0 und Big Data die gleiche Kategorie von Systemen beziehungsweise dieselbe Herausforderung (unter Betonung verschiedener Schwerpunkte) beschreiben. Liggesmeyer zeigte sich hoffnungsvoll: Denn die Forschung arbeite intensiv und die Politik habe die Weichen richtig gestellt. Das sei aber auch dringend nötig, denn: „Gerade wir müssen es schaffen, Daten- und Funktionssicherheit zusammenzuführen, weil unsere Wirtschaft von Systemen abhängig ist, die genau das voraussetzen.“

Dr. Klaus Mittelbach, Geschäftsführer des Zentralverbands Elektrotechnik- und Elektronikindustrie (ZVEI), argumentierte in dieselbe Richtung und forderte eine Stärkung der Industrial-IT-Security als Teil einer strategischen Industriepolitik für Deutschland. Zum IoT kommentierte er: „Bei den Dingen sind wir Weltmarktführer – im Internet ist das nicht der Fall. Jetzt kommen die beiden aber zusammen und die Frage ist, wer ist am Ende vorne?“ Hier sei noch nichts entschieden – aber wir „müssen das mit großer Entschiedenheit angehen, um am Ende wieder und weiterhin erfolgreich zu sein“.

Industrial-IT-Security sieht Mittelbach als strategische Notwendigkeit. Hierfür würden einzelne Cybersicherheitsmaßnahmen nicht mehr ausreichen – vielmehr brauche man „Resilienzstrukturen für ein widerstandsfähiges Gesamtsystem“ und zudem eine Abkehr vom bisherigen „Zaundenken“: Bislang war Abschottung üblich, Teilen wollte man nur, wenn das einen konkreten Vorteil bedeutete. In Zukunft würden Maschinen jedoch weltweit miteinander kommunizieren und jegliche Unternehmensgrenzen obsolet machen.

: Martina Koederitz: „Wir müssen ein horizontales, vernetztes Sicherheits-Denken
entwicklen.“

Big Data

Die Verknüpfung und Analyse von Daten könne großen Nutzen stiften, berge aber auch Gefahren und rufe bei vielen erhebliche Sorgen hervor, was man ernst nehmen müsse, betonte Mittelbach: „Wir brauchen die Zustimmung zur digitalen Gesellschaft von Anfang an. Andernfalls wird es schwierig, die Potenziale von Big Data und einer digitalen Wirtschaft – gerade auch zum Vorteil von Anwender und Verbraucher – nutzen zu können.“ Dazu brauche man sowohl akzeptierte Regeln als auch Vertrauen.

Eigentum sei zwar die Grundlage unseres marktwirtschaftlichen Systems, doch zukünftig werden sich Daten nicht mehr durch die klassischen Eigentumsmechanismen sowie Patente und Normen schützen lassen, meint Mittelbach: „Wissen ist Macht“ heiße es schon seit der Aufklärung – „heute erkennen wir, dass auch von Daten eine gewaltige Macht ausgeht – diese muss gestaltet werden! ... Sich zu verschließen, durch Datensparsamkeit oder durch straffe staatliche Kontrolle, ist aber nicht zielführend. Der ZVEI tritt dafür ein, das Teilen von Daten als Chance zu verstehen.“

Dass wir heute – global und in allen Branchen – einen epochalen Wendepunkt erleben, unterstrich Martina Koederitz, Vorsitzende der Geschäftsführung der IBM Deutschland: „Ich glaube, noch nie hat ein Phänomen so tiefgreifend in unser Leben eingegriffen, in unsere Wirtschaft, in die Art und Weise, wie wir ... als Menschen miteinander agieren – aber auch noch nie hat eine Veränderung so viel Anpassungs- und Veränderungsbereitschaft und -willen von den Menschen gefordert.“ Nur eine sichere Basis könne in der breiten Gesellschaft für Akzeptanz sorgen.

Security als Enabler

„Sicherheit ist das Fundament für alle Neuerungen, an denen wir zusammen arbeiten. Und meines Erachtens wurde das Thema Sicherheit viel zu lange kümmerlich oder weniger wichtig behandelt – ja sogar als Bremsklotz des Fortschritts gesehen,“ kommentierte Koederitz. Doch genau das Gegenteil sei der Fall: Nur unter Berücksichtigung einer „integrierten Sicherheit von Anfang an“ ließen sich die Digitalisierung „und damit auch unser Geschäftserfolg“ beschleunigen.

Hierzu müssten wir alle ein „horizontales, vernetztes Sicherheits- Denken“ entwickeln – alleine werde die Aufgabe für niemanden zu bewältigen sein. Das Jahr 2015 sieht Koederitz als „Tipping-Point“: „In der Diskussion ist Eile geboten, damit wir die Innovationskraft, die wir hier haben, nicht beschädigen, ... die Angst vor dem Neuen drehen, Verantwortlichkeiten übernehmen, um die Zukunft für uns und die nächsten Generationen zu gestalten.“

Dr. Hartmut Isselhorst, Leiter der Abteilung Cyber-Sicherheit im BSI, beschrieb einen „Cyberteufelskreis“, in dem eine zunehmende IT-Durchdringung für steigende Angreifbarkeit und Gewinnaussichten für Kriminelle sorgen, während auf der Seite von Betreibern und Benutzern häufig digitale Sorg- oder Hilflosigkeit herrschten. Zu Malware kommentierte er: „Wir haben uns zwar daran gewöhnt, aber wir haben die Lage nicht im Griff.“

Als Ausweg skizzierte Isselhorst eine Kombination von Einschränkungen für die Täter: Deren Risiko müsse erhöht, ihre Gewinnerwartung und Aktionsfreiräume geschmälert werden. Dies erfordere unter anderem Sicherheit in der Breite und eine schnellere Detektion von Angriffen.

Grundschutz von morgen

Hierzu mit dem IT-Grundschutz (ITGS) eine Hilfestellung zu geben, bedeute neue Anforderungen, denen sich das BSI in einem bereits laufenden Modernisierungsprozess stelle. So müsse und wolle man etwa „schneller reale Gefährdungen adaptieren und Empfehlungen bereitstellen – idealerweise im monatlichen Rhythmus“, berichtete Isselhorst. Um zukünftig auch kleinere Unternehmen zu erreichen, müsse der Grundschutz „in den Vorgehensweisen, im Aufwand, der zu betreiben ist, und auch im Schutzbedarf“ skalierbarer werden.

Konkret sei eine dreistufige Maßnahmenkategorisierung vorgesehen: Neben den bislang üblichen, klassischen Basismaßnahmen soll es dann Hochschutz- und Erstmaßnahmen geben. Analog dazu sind drei Vorgehensweisen intendiert: Neben ein klassisches ISMS treten ein „Kronjuwelen“-Ansatz für den Hochschutzbedarf und ein „Quick- Win“-Prinzip für KMU.

Beim Baustein-Aufbau will das BSI durch eine Trennung der Empfehlungen für CISOs von konkreten Maßnahmen „Luft rausnehmen“: Essenzielles für das Sicherheit-Management soll künftig im eigentlichen Baustein auf 10 Seiten passen – inklusive einer Referenzierung aller Dokumente, die das Amt im entsprechenden Kontext anbietet. Die Umsetzungshinweise für Administratoren enthält dann ein unabhängiger Text, der „beliebig umfangreich“ werden könne.

: Dr. Hartmut Isselhorst: „Wir haben uns zwar an Malware gewöhnt, aber wir haben die Lage nicht im Griff.“

Überdies sollen Profile für typische IT-Szenarien (bspw. in Krankenhäusern) empfehlenswerte Vorgehensweisen, Bausteine, Maßnahmenauswahl sowie gegebenenfalls Ergänzungen anwendungsspezifisch zusammenfassen. Solche Profile würden in der Regel durch Dritte erstellt – so könne etwa ein Verband seinen Mitgliedern eine erste Orientierung an die Hand geben und den „mächtigen Grundschutz auf die Bedürfnisse zuschneiden, die man selbst hat“, schlug Isselhorst vor.

2015 werde es eine letzte klassische Ergänzungslieferung zum ITGS geben – man gehe davon aus, 2016 die ersten neuen Komponenten online zur Diskussion zu stellen, um „eine Community aufzubauen und gemeinsam mit den Praktikern den ITGS weiterzuentwickeln“. Dabei seien auch die einschlägigen Toolhersteller mit im Boot – es gebe Schnittstellen und Möglichkeiten zur Modernisierung, betonte Isselhorst.