title=

mawionline

„Die IT-Sicherheitsprobleme werden immer größer und größer“

Foto: Markus Vogelbacher_pixelio.de

Foto: Markus Vogelbacher_pixelio.de

Norbert Pohlmann, Vorsitzender TeleTrusT – Bundesverband IT-Sicherheit e.V. und Professor am Institut für Internet-Sicherheit – if(is), der Westfälischen Hochschule Gelsenkirchen, über die aktuelle IT-Sicherheitssituation und die Notwendigkeit der Wirtschaft zur professionellen IT-Abwehr.

Prof. Norbert Pohlmann, Vorsitzender TeleTrusT: „Wir zahlen viel Geld für Verschlüsselungsprodukte, die keinen Nutzen für uns haben“ (Foto: TeleTrusT)

Prof. Norbert Pohlmann, Vorsitzender TeleTrusT: „Wir zahlen viel Geld für Verschlüsselungsprodukte, die keinen Nutzen für uns haben“ (Foto: TeleTrusT)

 

Herr Prof. Pohlmann, nach Ihrer Einschätzung ist die aktuelle IT-Sicherheitssituation für eine moderne Informations- und Wissensgesellschaft wie Deutschland nicht angemessen sicher und vertrauenswürdig genug. Woran machen Sie das fest?

Prof. Pohlmann: Die Schäden durch Angriffe im Internet zeigen, dass wir uns zurzeit nicht angemessen schützen. Wir beobachten, dass die IT-Sicherheitsprobleme immer größer und größer und nicht kleiner werden. Mit der NSA-Affäre hat sich diese Problematik noch verstärkt. Bei der kritischen Beurteilung der aktuellen IT-Sicherheitssituation fallen einige Sicherheitsprobleme besonders deutlich auf, die berücksichtigt werden sollten, um mehr IT-Sicherheit und Vertrauenswürdigkeit aufzubauen. Das sind zum Beispiel zu viele Schwachstellen in Software, ungenügender Schutz vor Malware, Passworte für die Authentifikation im Internet, unsichere Webseiten im Internet, neue Gefahren durch die Nutzung mobiler Geräte und Geschäftsmodelle, wie das Bezahlen mit persönlichen Daten, usw.
Besorgniserregend ist außerdem, dass die NSA in IT-Sicherheitsprodukte Hintertüren einbaut, so IT-Sicherheits-Standards und -Technologien manipuliert und daher unser Geschäftsleben und unsere Internet-Aktivitäten unsicher macht. Schlechte Zufallszahlen in IT-Sicherheitsprodukten machen die Verschlüsselung sinnlos. Wir zahlen viel Geld für Verschlüsselungsprodukte, die jedoch keinen Nutzen für uns haben. Nicht nur die NSA nutzt diese Schwachstelle, um auf unsere Daten zuzugreifen, sondern auch kriminelle Organisationen und Wirtschaftsspione. Die NSA gibt jährlich 75 Milliarden Dollar für Spionage aus, und einen großen Teil davon verwendet sie dafür, die Sicherheit des Internet zu kompromittieren und unsere Werte angreifbar zu machen! Das ist eine wirklich schlechte Situation für uns alle.

Sie stellen fest, dass die IT-Kriminalität eine zunehmende Industrialisierung erfährt  und eine bisher nicht gekannte professionalisierte Nachhaltigkeit erzielt hat.  Welche Strukturen müssen in den Unternehmen geschaffen werden, um dieser Entwicklung mit gleicher professioneller IT-Abwehr gegenzusteuern?

Pohlmann: Zurzeit haben wir ein starkes Ungleichgewicht zwischen Angreifern und Verteidigern. Die Angreifer arbeiten zusammen, indem sie beispielsweise die Programmierung von intelligenter Malware von den besten Informatikern aus der ganzen Welt schreiben lassen und dann erst zusammenfügen. Sie teilen ihr kriminelles Geschäftsfeld auf, zum Beispiel nach „Erstellung der Malware“, „Verteilung der Malware“ und die kriminelle „Nutzung der Malware“. Ein weiterer Aspekt ist, dass die Angreifer nur eine Schwachstelle im Internet oder bei ihrem Ziel-Unternehmen brauchen, um erfolgreich angreifen zu können.
Die Unternehmen sind gefordert, alle ihre vorhandenen Schwachstellen zu sichern, um sich vor Angriffen zu schützen. Kleinere Unternehmen sind hier im Nachteil, weil sie sich oftmals Sicherheitsspezialisten für die Verteidigung nicht leisten können.

Umso wichtiger ist es, dass den Unternehmen bewusst ist, welche Werte bei ihnen vorhanden sind und welchen Schutzbedarf sie haben. Dazu müssen angemessene IT-Sicherheitslösungen mit geeigneter Wirkung zum Einsatz gelangen, um das Risiko eines positiven Angriffs zu reduzieren. Außerdem braucht die Wirtschaft ein Businessmodell, das die Zusammenarbeit der Unternehmen fördert, damit die Verteidigung effektiv und wirkungsvoll umgesetzt werden kann. Das ist beispielsweise der aktive Austausch über eine neue Angriffsmethode und wie sich Unternehmen dagegen erfolgreich gesichert haben. Diese Information, verteilt an alle anderen Unternehmer, hilft, Kosten für jedes einzelne Unternehmen zu sparen und eine sehr viele höhere Sicherheit zu erzielen – mit dem Ziel, Schäden in der Wirtschaft insgesamt deutlich zu reduzieren.

Die schnelle Einführung von Industrie 4.0 mit einem angemessenen Sicherheitsniveau entscheidet über die Wettbewerbsfähigkeit des Industriestandortes Deutschland. Wird die IT-Sicherheit damit über die eigentliche Produktentwicklung  bzw. -produktion gestellt und so zur Überlebensfrage für die Wirtschaft?

Pohlmann: IT-Sicherheit sollte als ein wichtiges Feature betrachtet werden, mit dem sich die deutschen Unternehmen im Bereich Industrie 4.0 international besonders gut positionieren können. Mit sicheren Autos hat die Automobilbranche gezeigt, dass Sicherheit und Vertrauenswürdigkeit helfen können, den Weltmarkt als Marktführer entscheidend zu beherrschen. Dies kann und sollte mit sicheren und vertrauenswürdigen Industrie 4.0 Anlagen sicherlich auch erreicht werden. Daher ist IT-Sicherheit ein besonderes Unterscheidungskriterium, mit einem sehr hohen Potential an Erfolg.

Sie plädieren für ein neues Qualitätszeichen, um den Industriestandort Deutschland zu stärken und empfehlen „IT Security made in Germany“ (ITSMIG), um ein neues Qualitätszeichen zu etablieren. Was ist genau unter der Begrifflichkeiten zu verstehen und was bedeutet das in der Praxis für die Unternehmen?

Das Qualitätszeichen „IT Security made in Germany“ wird vom Bundesverband für IT-Sicherheit – TeleTrusT vergeben. Die Unternehmen geben hier eine Selbsterklärung ab, die beinhaltet, dass der Unternehmenshauptsitz in Deutschland ist, die angebotenen Produkte keine versteckten Zugänge  enthalten (keine „Backdoors“), das Unternehmen vertrauenswürdige IT-Sicherheitslösungen anbietet, die IT-Sicherheitsforschung und -entwicklung des Unternehmens in Deutschland stattfinden und die Unternehmen sich verpflichten, den Anforderungen des deutschen Datenschutzrechtes zu genügen. Dadurch wir eine höhere Vertrauenswürdigkeit der IT-Sicherheitstechnologie und -lösung bewertbar. Dieses Qualitätszeichen wird helfen, die manipulierten IT-Sicherheitstechnologien und -lösungen in Deutschland auszutauschen und eine Internationalisierung aus Deutschland positiv zu beflügeln.