Management und Wissen / Denkanstöße / Gemeinsame Sicherheitsarchitektur

Schulterschluss statt Zersplitterung

Wie eine gemeinsame Sicherheitsarchitektur helfen könnte

Noch immer ist „IT-Sicherheit“ etwas, das jeder gerne selbst macht. Heikel wird das, wo viele Stellen mit hohem Aufwand parallele Entwicklungen vorantreiben und dabei noch um knappe Ressourcen konkurrieren. Der öffentliche Sektor könnte hier mit gutem Beispiel vorangehen und für eine Bündelung von Kräften sorgen, meint unser Autor.

Von Ramon Mörl, München

Ende Mai 2017 hat Frau Dr. v. d. Leyen auf dem politischen Abend des BITKOM in Berlin überzeugend dargestellt, dass die Fähigkeiten der Bundeswehr und das dazu benötigte Material zu Wasser, zu Lande und in der Luft viele Milliarden Euro kosten, die Nutzung all dieser Fähigkeiten aber eigentlich komplett IT-abhängig ist – dass also letztlich der Schutz der IT erst die Grundvoraussetzung dafür schafft, diese Fähigkeiten im Fall der Fälle auch wirklich nutzen zu können.

Bei der Bundeswehr ist offenkundig, dass „ITSicherheit“ eine mehrdimensionale Aufgabe darstellt. Diese Situation ist heute jedoch auf fast alle Unternehmen, Behörden und sonstigen Organisationen übertragbar: Je weiter fortgeschritten man in der Digitalisierung ist, je „digitaler“ die eigenen Erzeugnisse oder Dienstleistungen sind und je kritischer Produkte in der späteren Verwendung sein können, desto wichtiger wird ein mehrdimensionales Verständnis von Schutz und Sicherheit.

Als begrenzende Faktoren bei dem Versuch, ITSicherheit „an allen Fronten“ mit einer durchgängigen IT-Sicherheitsarchitektur adäquat zu gewährleisten, werden häufig Know-how- und Fachkräftemangel (vgl. [1,2]) sowie die hohe Komplexität heutiger IT und ITSicherheit ins Feld geführt. IT-Sicherheit ist zweifelsohne komplex und in vielen Stellen einer Organisation zu verankern – bildet nun jede Organisation den gesamten Zyklus der IT-Sicherheit innerhalb ihrer eigenen Grenzen ab, so entsteht naturgemäß ein noch höherer Bedarf an IT-Sicherheitsarchitekten, Penetrationstestern, Beschaffern und Rechtsberatern mit Cyber-Security-Kenntnissen, Administratoren und nicht zuletzt auch Ausbildern für ein generell gut geschultes Personal.

Selbst im „Public Sector“ zeigt sich hier Zersplitterung: Jede Kommune verarbeitet sensible personenbezogene Daten. Aber sollte auch jede Kommune Mittel, Know-how und Prozesse aufbringen, um dafür eine angemessene IT-Sicherheitsarchitektur selbst zu definieren, auszuschreiben, zu beschaffen und dann nachhaltig zu implementieren, um letztlich zentral beschriebene Mindestanforderungen zu erfüllen? Schon der Bund gibt für IT etwas über eine Milliarde Euro aus – die Ausgaben von Ländern und Kommunen liegen deutschlandweit bei rund 30 Milliarden Euro. Der Koalitionsvertrag der letzten Legislaturperiode geht von einem Zielwert von 10 % der IT-Ausgaben für die Sicherheit aus. Wie viel mehr ließe sich damit wohl erreichen, wenn man Synergieeffekte zwischen verschiedenen Behörden und Organisationseinheiten erschließen würde?

Konkurrenz durch Kollegen

Allein im Raum Koblenz bis Köln sind mit vielen sicherheitsrelevanten Stellen der Bundeswehr, dem BSI, dem Bundesamt für Verfassungsschutz, der Bundespolizei sowie der operativen IT einiger Bundesbehörden schon so viele Organisationen angesiedelt, die IT-Sicherheit wirklich ernst nehmen, dass nicht nur mit den vielen privatwirtschaftlichen Unternehmen am Arbeitsmarkt ein Wettbewerb um Mitarbeiter entsteht. Warum kann man sich nicht zusammentun und „das Beste von allem“ gemeinsam entwickeln und so im Sinne einer gemeinsamen IT-Sicherheitsarchitektur Kosten sparen und Ressourcen (inkl. Know-how) schonen?!

Plakativ gesprochen, fehlt für ein solches Vorgehen jedoch nicht nur das Vertrauen zwischen verschiedenen Organisationen untereinander, sondern zum Teil sogar das Vertrauen zwischen zwei Standorten oder Bereichen der gleichen Organisation. Darüber hinaus gibt es keine etablierte Basis und Prozesse, die eine gemeinsame Planung und Umsetzung ermöglichen würden.

Zwar ist mit dem BSI-Gesetz schon vor langer Zeit ein formaler Schritt in Richtung der Zentralisierung von Kompetenzen gemacht worden, aber selbst dabei sieht die Praxis noch anders aus. An erster Stelle werden hier Punkte angeführt wie: „Behörden können keine konkreten Aussagen zu Produkten weitergeben, da das eine Marktverzerrung wäre und dem Wettbewerb entgegensteht“ – und natürlich dürfen trotz intensiver Forderungen nach digitaler Souveränität weder die Herkunft eines Produkts noch die nachweisbare Hintertürfreiheit ein Kriterium bei Ausschreibungen sein.

Gemeinsame Ziele?

Unabhängig von all diesen Schwierigkeiten wäre auch noch zu überprüfen, ob denn bei den Schutzzielen ein klarer Konsens besteht: Man sollte nicht übersehen, dass es mittlerweile viele Menschen (auch in Deutschland) gibt, welche die hohen Anforderungen des Datenschutzes als überholt ansehen – und am liebsten auch gleich die neuen Anforderungen aus der EU-Datenschutzgrundverordnung (DS-GVO) als „antik“ und nicht relevant betrachten möchten. Im Wahlkampf hat beispielsweise die FDP mit dem Slogan „Digital first, Bedenken second“ geworben – von einer Staatssekretärin im Verkehrsministerium des Bundes war auf der Cyber-Security-Konferenz in München zum Thema Digitalisierung zu hören „nutzt die Chancen, vergesst die Risiken“.

Sollten wir feststellen, dass sich unsere Demokratie von bestimmten Grundwerten weg entwickelt (oder eben doch daran festhalten will), dann muss das auch geeignete Auswirkungen haben. Als Beispiel sei angeführt, wie der illegale Schadstoffausstoß bei Dieselfahrzeugen in den USA zu signifikanten Strafzahlungen führt, wohingegen der jahrelange Verstoß ausländischer Unternehmen gegen deutsche Datenschutzgesetze eher als Kavaliersdelikt gesehen wird.

So oder so gilt es, gleiche Chancen für alle herzustellen. Zumindest für kontinentaleuropäische Unternehmen muss die gleiche reale Wettbewerbssituation bestehen – auch indem man eine wirksame Verfolgbarkeit von Datenschutzthemen bei Unternehmen außerhalb Europas etabliert.

Von juristischen Marktteilnehmern wird oft beklagt, dass es schwierig sei, „Industrie 4.0“ auf der Basis von „Gesetzgebung 1.0“ umzusetzen – für die Strafverfolgung sieht die Sachlage nicht besser aus. Wenn aber der Schutz im Cyber-Informations-Raum durch den Staat (noch) nicht vollständig wahrgenommen werden kann, dann bleibt dem Einzelnen nur, (mit entsprechendem Aufwand) seinen Schutz zu erhöhen, wenn er das Thema Digitalisierung ernst nimmt – oder eben die Risiken mehr oder weniger zu vernachlässigen.

Auswege

Um die erkannten Probleme aus dem Weg zu räumen, müssten zuallererst die vorhandenen qualifizierten Kräfte gebündelt werden – und nicht weiter zersplittert. Heute zeigt sich jedoch die Tendenz, dass sich jede Region, jede Behörde, jeder Verband, jede Branche, jede Unternehmensgröße ihr eigenes Cyber-Security-Cluster bildet, wodurch sich die Kräfte der Know-how-Träger aber eben nicht bündeln, weil keine Orchestrierung der Maßnahmen und Gruppen stattfindet. Regulierung, so sie auf demokratischem Boden gewünscht ist, kann nur vom Staat ausgehen. Die Erfahrungen aus dem Projekt der Konsolidierung der IT des Bundes (inkl. der IT-Sicherheit als Teilbereich der IT) zeigen hierfür einen hervorragenden Weg.

Das zu bündelnde Know-how hat mindestens drei Säulen: Eigenerklärungen der gesamten Lieferkette, Beurteilungen des erreichten Schutzes durch unabhängige Dritte und Berichte über qualifizierte Betriebserfahrungen (vgl. [3,4]). Lieferanten müssen dazu in Sachen Sicherheit zumindest gegenüber interessierten Kunden transparent machen, welche Komponenten ein ausgeliefertes Produkt enthält. Diese Liste muss vollständig und diese Vollständigkeit mit signifikanter Haftung des CEOs besichert sein. Im besten Fall beschafft der Lieferant von allen enthaltenen Komponenten Eigenerklärungen der jeweiligen Hersteller und reicht die Haftung an den Endkunden durch.

Prüfungen der Robustheit von Produkten, Lösungen und Verfahren sowie zur Verlässlichkeit von Beratungsleistungen müssen, wenn sie mit Steuermitteln erstellt wurden, zwingend an alle anderen steuerkonsumierenden Stellen weitergegeben werden, die ähnliche Investitionen durchführen wollen oder müssen. Die Qualität des Prüfungsergebnisses kann dabei geeignet nivelliert werden, da das Gespräch mit einem Reseller, der eine kommunale Organisation mit verschiedenen Anti-Virus- Lösungen versorgen will, sicher nicht die gleiche Qualität hat wie der Test von Experten der IT-Sicherheit in den jeweiligen Fachorganisationen des Bundes und der Länder.

Schutz, der zwar sicher wäre, sich aber nicht betreiben oder bezahlen lässt, ist nicht empfehlenswert. Daher ist es wichtig, dass man bei der Weitergabe von Erfahrungen nicht Äpfel mit Birnen vergleicht. Eine Hochsicherheitsumgebung mit wenigen hundert Usern hat naturgemäß ganz andere Betriebsaspekte als eine gemeinsame Infrastruktur für hunderttausend Anwender. Außerdem ist noch signifikante Forschungsarbeit zu leisten, um zu verstehen, wie man die Anonymität von Informationsgebern gewährleisten und gleichzeitig die notwendige Qualität erreichen kann.

Fazit

Die drei skizzierten Säulen wären ein erster Schritt, um zunächst eine echte Vertrauensbasis zwischen öffentlichen Auftraggebern untereinander und im Weiteren auch zu ihren Lieferanten zu schaffen. Diese Vertrauensbeziehung könnte dann nachhaltig bewirtschaftet werden, wodurch sich ganz natürlich Know-how- Schwerpunkte herausbilden würden, die das Vertrauen weiter stärken und so Mehrfachbesetzungen der gleichen Themen überflüssig machen. Die IT-Sicherheit könnte durch dieses Vorgehensmodell weg vom „Glauben“ und den Bauchschmerzen wegen vager Bedrohungen und stärker in Richtung einer transparenten, auf Fakten basierenden Entscheidung wachsen. Der Schutz des Cyber-Informations-Raums (CIR) ließe sich so mit weniger Aufwand auf demokratischem Boden gemeinsam entwickeln – und später als Erfolgsmodell auf andere Bereiche übertragen.

Ramon Mörl ist Geschäftsführer der itWatch GmbH.