Hacker-Angriffe und IT-Sicherheitsgesetz Mehr Schutz für die Behörden-IT

Redakteur: Susanne Ehneß

Mitte Mai 2015 wurde der Deutsche Bundestag Ziel eines massiven Hackerangriffs über mehrere Tage hinweg. Im Doppelinterview erläutern Staatssekretärin Brigitte Zypries und Syss-Chef Sebastian Schreiber die Bedeutung eines IT-Sicherheitsgesetzes für staatliche Stellen.

Firmen zum Thema

Der Hacker-Angriff zeigt die Sicherheitslücken des Deutschen Bundestags
Der Hacker-Angriff zeigt die Sicherheitslücken des Deutschen Bundestags
(Bildcollage: Fotolia.com)

Mitte Juni wurde das neue IT-Sicherheitsgesetz verabschiedet. Behörden und andere staatliche Organe werden im Gesetzesentwurf nicht als „Kritische Infrastruktur“ definiert, im Gegensatz etwa zu privatwirtschaftlichen Energieversorgern. Sollten staatliche Stellen in das IT-Sicherheitsgesetz mit einbezogen werden?

Schreiber: Meiner Auffassung nach stellt selbstverständlich auch ein leistungsfähiger, zuverlässiger Staatsbetrieb eine ganz zentrale Infrastruktur für die Bürger eines Landes, aber auch für dessen Wirtschaft dar. Insofern sind Ministerien und Behörden ebenfalls als Kritische Infrastrukturen zu bewerten. Hier sollten keine Ausnahmen gemacht, keine Rücksichten auf eventuelle Kompetenzstreitigkeiten genommen werden, wenn es um die Frage geht, wer hier wem „auf die Finger schaut“.

Zypries: Da kann ich Ihnen grundsätzlich zustimmen, aber lassen Sie mich etwas weiter ausholen: Informationstechnik ist fester Bestandteil fast aller Aktivitäten in Wirtschaft und Verwaltung. Daher muss auf eine funktionierende Informationstechnik gerade in den Bereichen kritischer Infrastrukturen besonderes Augenmerk gelegt werden. Und natürlich muss verhindert werden, dass dadurch Schwachstellen und leicht zu verletzende Angriffsziele entstehen. Der Begriff „Kritische Infrastrukturen“ muss sicherlich noch ausgefüllt werden, das kann in Verwaltungs- und Gerichtsverfahren anhand praktischer Fälle geschehen.

Ob Bundesbehörden grundsätzlich darunter zu fassen sind, ist eigentlich nicht der entscheidende Punkt. Denn die wesentlichen Verpflichtungen des aktuellen IT-Sicherheitsgesetzes gelten für die Bundesverwaltung schon seit Jahren. Bereits 2007 wurde vom Kabinett der Umsetzungsplan Bund zum Nationalen Plan zum Schutz der Informationsinfrastrukturen in Deutschland beschlossen. Und bereits 2008 erfolgte eine Novelle des BSI-Gesetzes. Bei dieser ging es in wesentlichen Teilen um die Ausweitung von Zuständigkeiten des BSI gegenüber der Bundesverwaltung. Insgesamt obliegen dadurch der Bundesverwaltung erhebliche Pflichten zur Absicherung ihrer IT-Systeme gegen Cyberattacken und auch eine Meldepflicht gegenüber dem BSI.

Die zahlreichen Angriffe auf das Bundesbehördennetz – aber leider auch einige erfolgreiche Angriffe auf einzelne behördliche IT-Systeme – machen deutlich, dass die Verwaltung bei weiteren Umsetzungsschritten zur Erhöhung der IT-Sicherheit nicht Halt machen darf. Und das ist den Verantwortlichen natürlich bewusst.

Ich möchte an dieser Stelle auf den soeben vom Kabinett beschlossenen Bericht zur IT-Konsolidierung Bund hinweisen. Ein ganz wichtiger treibender Punkt ist dabei auch die Verbesserung der IT-Sicherheit durch eine direkte Einbindung des BSI. Reaktionszeiten auf Vorfälle und Krisensituationen sollen damit erheblich verkürzt werden. Außerdem sollen die Fachexpertise entsprechend gebündelt und Sicherheitsstandards zentral und damit schneller umgesetzt werden. Sie sehen also, dass die Bundesverwaltung ebenfalls dabei ist, Verpflichtungen zur Verbesserung der Cybersicherheit umzusetzen.

Lesen Sie auf der nächsten Seite weiter.

Brigitte Zypries, parlamentarische Staatssekretärin beim Bundesminister für Wirtschaft und Energie
Brigitte Zypries, parlamentarische Staatssekretärin beim Bundesminister für Wirtschaft und Energie
(Bild: Bundesregierung/Bergmann)
Die Frage „Wo sind meine Daten?“ taucht immer wieder in Diskussionen auf. Lässt sich dies angesichts der auf globale Vernetzung angelegten digitalen Infrastruktur des Internets überhaupt sinnvoll beantworten?

Schreiber: Die moderne IT-Welt leidet unter einer enormen Arbeitsteilung. Der Bürger wähnt seine Bankdaten beispielsweise bei seiner regionalen Bank- oder Sparkassenfiliale. In Wirklichkeit liegen diese Daten in großen Rechenzentren, die teilweise außerhalb Europas betrieben werden. Das Personal, das Zugriff auf die Server hat, stammt von großen Systemhäusern oder wird über Zeitarbeitsfirmen weltweit zugekauft. Während die Datenbanken von dem einen Dienstleister betrieben werden, stehen etwa Storage und Backup unter der Obhut einer ganz anderen Fremdfirma, die vielleicht ihrerseits auch mit Subunternehmern und Zeitarbeitern operiert. Und eine dritte Firma wiederum liefert Patches, die automatisch eingespielt werden.

Potenziell hat eine riesige, dem Nutzer völlig unbekannte und letztlich unbeschränkte Menge an Firmen und Menschen Zugriff auf die Daten jedes einzelnen. Weder die regionale Bank oder Sparkasse noch irgendein Rechenzentrumsbetreiber kann exakt Auskunft darüber erteilen, wie viele Tausend Menschen grundsätzlich Zugriff auf entsprechende Daten erlangen können, auf welchen Kontinenten sich diese Personen befinden, geschweige denn, wie sie heißen.

Zypries: Grundsätzlich jedoch, möchte ich hier ergänzen, haben wir in Deutschland und der EU Transparenzpflichten der Unternehmen, die Daten verarbeiten. Im Telemediengesetz ist das sehr klar geregelt. In Deutschland ansässige Internetanbieter müssen ihre Nutzer darüber informieren, wenn ihre Daten in Staaten außerhalb der EU verarbeitet werden. Nach dem Bundesdatenschutzgesetz dürfen Daten in solche Drittstaaten auch nur übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist.

In Deutschland nutzen heute viele Dienstleistungen von Unternehmen, die ihre Daten in den USA verarbeiten. Das betrifft besonders populäre Dienste wie Google, Facebook, Twitter und Whatsapp. Die Datenübermittlung in die USA ist legal, denn die Europäische Kommission hat die Selbstzertifizierung der US-amerikanischen Unternehmen nach den sogenannten „Safe-Harbour-Prinzipien“ als angemessenes Datenschutzniveau anerkannt. Dies liegt allerdings 15 Jahre zurück und wird von Datenschützern heute als unbefriedigend empfunden. Aus diesem Grund wird das Safe-Harbour-Abkommen zwischen der Europäischen Kommission und den USA derzeit nachverhandelt.

Zugleich wird die geplante EU-Datenschutz-Grundverordnung für eine stärkere datenschutzrechtliche Regulierung US-amerikanischer Internetkonzerne und höhere Transparenz bei Datenverarbeitungen sorgen. Denn über das durch die Datenschutz-Grundverordnung neu eingeführte Marktortprinzip werden alle Unternehmen, die in der EU Dienstleistungen anbieten, ausnahmslos dem europäischen Datenschutzrecht unterworfen. Damit werden US-amerikanische Unternehmen, die innerhalb der EU ihre Dienste anbieten, insbesondere auch an die hohen Informationspflichten der geplanten EU-Datenschutz-Grundverordnung gebunden. Wir haben ein Interesse daran, dass die Verhandlungen bald zum Abschluss gebracht werden.

Bitte lesen Sie auf der nächsten Seite weiter.

Wäre in diesem Zusammenhang eine „IT-Sicherheit Made in Germany“ ein gangbarer Weg, „Cloud“ und „Transparenz“ in Einklang zu bringen?

Zypries: Vertrauen und Sicherheit in Informations- und Kommunikationstechnologien sind der Schlüssel, um die Chancen digitaler Technologien in Zukunft besser nutzen zu können. Dies ist jedoch eine gemeinsame Aufgabe vieler Akteure. Wirtschaft, Wissenschaft und Politik sind gleichermaßen teiligt. Die Rolle des Staates ist es, die richtigen Rahmenbedingungen zu setzen, die Akzeptanz und Bewusstsein für Veränderungen schaffen und die Risiken beherrschbar machen. Mit der Digitalen Agenda 2014-2017 leistet die Bundesregierung einen signifikanten Beitrag dazu, dass Deutschland einer der sichersten digitalen Standorte bleibt. Sicherheit der Systeme und Schutz der Daten werden als die zentralen Querschnittsthemen der Digitalisierung in allen Handlungsfeldern der Digitalen Agenda berücksichtigt.

Zudem ist eine Vielzahl konkreter Einzelmaßnahmen vorgesehen: Wir sensibilisieren Bürgerinnen und Bürger sowie Unternehmen für bestehende Sicherheitsrisiken und bieten Unterstützung beim sicheren Einsatz von Informationstechnologien. Wir fördern einfach zu nutzende Sicherheitstechniken, und die Bundesregierung hat ein IT-Sicherheitsgesetz zum Schutz Kritischer Infrastrukturen auf den Weg gebracht. Wir bauen unsere Standardisierungsaktivitäten aus und stärken das Vertrauen in die Sicherheit digitaler Dienste, wie Cloud-Anwendungen oder Industrie 4.0. Wir wollen auch unsere technologische Systemkompetenz erweitern und Abhängigkeiten reduzieren. Dazu werden wir den Einsatz deutscher und europäischer IT-Produkte und ihre Hersteller weiter fördern.

Sebastian Schreiber, Geschäftsführer der Syss GmbH
Sebastian Schreiber, Geschäftsführer der Syss GmbH
(Bild: Syss GmbH)

Schreiber: Ich möchte hier jedoch etwas einschränken: Offen gestanden, sind wir Deutschen keine „Player“ bei der Erstellung von Betriebssystemen, Datenbanken, Cloud-Lösungen et cetera. Wir sind also abhängig von ausländischen, insbesondere amerikanischen Unternehmen, aber auch zum Beispiel Herstellern von Rootern oder Mobilfunkgeräten aus Asien. Selbst wenn einzelne Server-Farmen innerhalb der deutschen Grenzen betrieben werden, stammen Hard- und Software aus anderen Ländern. Das Problem bleibt also bestehen. Ich glaube nicht, dass es eine „IT-Sicherheit Made in Germany“, die den Namen wirklich verdient, geben wird. Ich glaube auch nicht, dass wir dazu in der Lage sind, uns aus dieser Abhängigkeit zu befreien. Die deutschen Software- und Hardwarehersteller sind derzeit kaum konkurrenzfähig. Um dies zu verändern und um diesen Nachteil aufzuholen, wären natürlich eine Förderung der deutschen Unternehmen möglich beziehungsweise auch Handelsbeschränkungen – Importverbote, Zölle – denkbar. Letzteres kann sich eine Exportnation wie Deutschland allerdings nicht leisten.

In Brüssel befindet sich derzeit die EU-Datenschutznovelle in Vorbereitung, die unter anderem erweiterte Meldepflichten für Unternehmen vorsieht, sofern diese Ziel von Hackerangriffen werden. In diesem Punkt ähneln sich EU-Datenschutznovelle und IT-Sicherheitsgesetz. Ist eine solche Regelung auf EU-Ebene aus Ihrer Sicht sinnvoll?

Schreiber: Die Europäische Union ist tatsächlich ein gewichtiger „Player“. Hier kann ich mir vorstellen, dass ein Bündeln der Kräfte möglich und sinnvoll ist. Trotzdem bleibe ich dabei: IT kann überall weltweit hergestellt werden. Deshalb scheint mir in Bezug auf IT-Sicherheit eine regional fokussierte Vorgehensweise weniger zielführend. Letztlich muss jede einzelne Firma und Organisation – unabhängig von deren Standort – kontinuierlich und systematisch in den Schutz der je eigenen IT-Infrastruktur investieren.

Zypries: Mit dem IT-Sicherheitsgesetz wird Deutschland der EU-Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union, so genannten „NIS-Richtlinie“, zuvorkommen. Die Bundesregierung steht dabei in einem sehr engem Kontakt mit Brüssel, um weitestmögliche Kompatibilität herzustellen. Ziel der vorgeschlagenen NIS-Richtlinie ist es, die IT-Sicherheit in der EU zu verbessern. Dazu sollen private Betreiber, so genannte „Marktteilnehmer“, erhebliche IT-Sicherheitsvorfälle melden. Zusätzlich sollen EU-weite Mindestanforderungen an die IT-Sicherheit sowohl öffentlicher als auch privater Betreiber gestellt werden. Angesichts der zunehmenden Vernetzung können Vorfälle in anderen Staaten Auswirkungen auf die IT-Sicherheit in Deutschland haben. Die Stärkung der grenzüberschreitenden IT-Sicherheit „Made in EU“ ist daher unbedingt notwendig und sinnvoll.

Lesen Sie auf der nächsten Seite weiter.

Wo liegt – aus Ihrer persönlichen Sicht – derzeit das drängendste Problem, wenn es um IT-Sicherheit in Deutschland geht?

Zypries: Mir ist besonders wichtig, das Thema IT-Sicherheit in Unternehmen weiter voranzubringen, denn diese kommen heute ohne Informationstechnologien im Geschäftsbetrieb nicht mehr aus. Dazu wollen wir das Angebot der Initiativen „IT-Sicherheit in der Wirtschaft“ weiter ausbauen. Wichtig ist insbesondere auch eine bessere Koordinierung von Schutz- und Abwehrmaßnahmen gegen IT-Vorfälle und die Bereitstellung zeitnaher, aktueller und praxisorientierter Informationen durch staatliche Stellen wie das BSI. Das IT-Sicherheitsgesetz bietet insoweit einen konkreten Lösungsansatz.

Schreiber: Noch immer wird IT-Security sträflich vernachlässigt. Noch immer wird zu viel über Policies, Verträge, Compliance und Datenschutz gesprochen und geschrieben anstatt Netze, Webapplikation und Server wirklich sicher zu machen. Noch immer kommen nur ganz wenige Vorfälle an die Öffentlichkeit. Oft werden Vorfälle sogar vor dem eigenen Management verschwiegen.

Beim Hacker-Angriff auf den Bundestag war das glücklicherweise anders: Es kam zu einer öffentlichen Diskussion über diese wichtige Thema. Es wäre schön, wenn wir nun im zweiten Schritt von der Diskussion zu deutlich mehr konkreten Maßnahmen kommen. Ich würde mir wünschen, dass mehr elektronische Kommunikationswege verschlüsselt und so endlich eMails sicher transportiert werden. Hier kann jeder Nutzer relativ einfach selbst tätig werden. Und ich würde mir wünschen, dass Unternehmen die Sicherheit ihrer Systeme regelmäßig unter Einsatz von Penetrationstests messen und etwaige Schwachstellen beheben – und zwar bevor es zu einem Sicherheitsvorfall kommt.

Das Interview führte Dr. Oliver Grasmück.

Mehr Informationen zum IT-Sicherheitsexperten Syss GmbH finden Sie online.

Hacker-Angriffe auf Behörden und Ministerien
Bildergalerie mit 141 Bildern

(ID:43474678)