Kommentar zur LÜKEX 2011: Bund und Länder üben den Cyber-War

Im Cyber-Krieg muss Deutschland Angriffe verhindern statt Schäden verringern!

Seite: 2/2

Anbieter zum Thema

Die richtige Balance zwischen Bequemlichkeit und Sicherheit muss manchmal auch unbequem sein.

Viel grundlegender setzt man an, wenn man sich überlegt, wie man Netze trennen kann. Welche Teile der IT eines Energieversorgers, Krankenhauses oder einer Behörde sollen über das Internet arbeiten oder mit ihm verbunden sein – und welche nicht?

Auch das bietet keinen vollständigen Schutz, wie beispielsweise Stuxnet gezeigt hat. Dort ging der Angriffsweg über USB-Sticks, die bei der Wartung verwendet wurden. Solche Schnittstellen lassen sich aber vergleichsweise gut kontrollieren, wenn man ihre Zahl und Nutzung entsprechend reglementiert.

Natürlich wird dann gleich das Argument kommen, dass beispielsweise ein Arzt auch mal schnell etwas im Internet recherchieren können muss oder Behördenmitarbeiter für viele Aufgaben ebenfalls einen Internet-Zugang benötigen. Hier muss man dann aber überlegen, ob man das nicht über getrennte Geräte macht. Der Preis, der dafür zu zahlen wäre, wäre die Bequemlichkeit und eine genaue Analyse, wo es Schnittstellen braucht.

Wenn man einen Self Service über das Internet anbietet, muss dieser mit internen Systemen verknüpft sein. Eine völlige Trennung geht nicht. Aber eine völlige Durchmischung, der wir uns immer mehr nähern, ist mit Blick auf die Sicherheit ein erhebliches Risiko. Hier gilt es, grundlegend darüber nachzudenken, wo und wie das Internet in solchen sensitiven öffentlichen Bereichen in Zukunft genutzt wird, wo nicht und wie ein Übergang erfolgt und kontrolliert wird.

Nicht alle Risiken lassen sich vermeiden.

Man kann nicht alle Risiken ausschließen. Man kann sie aber doch deutlich minimieren. Und das ist die wichtigste Herausforderung für Bund, Länder, Kommunen und andere öffentliche Stellen ebenso wie für die Versorgungsinfrastruktur. Dabei muss konzertiert gehandelt werden, um die Expertise optimal einzusetzen und gute Lösungen zu erreichen. Dazu gehören neben Übungen auch permanente Überwachungs- und Analysestrukturen, also Frühwarnsysteme, die sich über alle betroffenen Stellen erstrecken.

Das setzt entsprechende Investitionen voraus – in Sicherheitslösungen, aber insbesondere auch in die Ausbildung. Denn IT-Sicherheit setzt ein profundes Wissen voraus. Und es setzt auch ein Grundwissen bei allen Anwendern voraus, denn bei vielen Angriffen ist der Einstiegspunkt ein „normaler“ Anwender, der auf eine Phishing-Mail oder Social Engineering reinfällt. LÜKEX 2011 ist wichtig – aber es reicht nicht aus.

(ID:30637430)