Jüngst ist das neue IT-Sicherheitsgesetz erschienen, mit viel Tam-Tam von der Politik und Sicherheitsbehörden begrüßt. Auf den Internetseiten des Deutschen Bundestages sprechen die Verantwortlichen von der Cyber-Sicherheit, die dem Schutz der Wirtschaft, der Bürger und der Funktionsfähigkeit des Staates diene.
Konkret heißt es hierzu aus dem Bundesministerium des Inneren: "Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden." Ob das zielführend ist bleibt dahingestellt. Ganz abgesehen von verfassungsrechtlichen Bedenken kritisieren IT-Sicherheitsexperten das neue Gesetz als zu kurz gefasst. Ganz zu schweigen von einer mangelnden Vorbildfunktion der Politik und dem Fehlen von Impulsen für mehr Awareness im Umgang mit den Risiken unserer digitalen Zeit. Die Redaktion vom Kompetenzportal RiskNET sprach im Rahmen eines virtuellen Round Table mit dem IT-Sicherheits- und Risikomanagementexperten Uwe Rühl, Geschäftsführer der RÜHLCONSULTING GmbH, und mit Herbert Saurugg, seines Zeichens IKT-/Cyber-Sicherheitsexperte.
Nun ist die Kritik laut am neunen IT-Sicherheitsgesetz. Kritisieren ist das eine. Es besser machen, das andere. Was wären Ihre Vorschläge in diesem Kontext?
Herbert Saurugg: Das Problem beginnt damit, dass es in unseren hoch vernetzten Infrastruktursystemen kaum noch möglich ist zu definieren, wer nun alles meldepflichtig ist und wer nicht. Wo beginnt und wo endet etwa die Kritische Infrastruktur? Was ist etwa, wenn ein Systemlieferant einen schwerwiegenden IT-Sicherheitsvorfall hat, diesen entweder wie häufig der Fall gar nicht erkennt oder diesen aus nachvollziehbaren Grund geheim hält und so möglicherweise kompromittiere/fehlerhafte Systemkomponenten in die Kritische Infrastruktur eingebracht werden?
Daher besteht durchaus die Gefahr, dass hier einerseits ein hoher Bürokratieaufwand betrieben und auf der anderen Seite nur die Scheinsicherheit weiter erhöht wird. Die große Gefahr bei genauen gesetzlichen und technischen Vorgaben ist, dass nur diese Auflagen erfüllt werden. Das kennt man bereits aus anderen Bereichen. Viel entscheidender wäre daher, eine entsprechende Vertrauensbasis zwischen den unterschiedlichen Akteuren zu schaffen, um relevante Informationen auszutauschen, was aber natürlich mehr humane Ressourcen erfordern würde. In erster Linie muss es um einen raschen Austausch von Verdachtsmomenten gehen und erst viel später um Detaildaten. Womit auch gleich viele Bedenken reduziert werden könnten. Zum anderen sind durchaus auch harte Sanktionen anzudenken/anzudrohen, wenn nachweislich gewisse Mindeststandards nicht erfüllt werden und diese zu schwerwiegenden Sicherheitsvorfällen führen. Aber dabei ist wiederum zu berücksichtigen, dass damit nicht alle Problemstellungen, die sich durch die zunehmende Vernetzung und Komplexität ergeben, bewältigt werden können. Hier braucht es durchaus auch an Gespür und nicht nur reine starre Regeln.
Uwe Rühl: Grundsätzlich hat das Gesetz bei vielen Unternehmen Unsicherheiten erzeugt. Und das fängt bei der simplen Frage an: Bin ich als Unternehmen vom IT-Sicherheitsgesetz betroffen oder nicht?
Diese Unsicherheit muss durchbrochen werden und in einem klaren Handlungsrahmen münden. Daher ist es aus meiner Sicht dringend notwendig konkrete Ausführungsverordnungen festzulegen, um die derzeitigen Interpretationsmöglichkeiten einzuengen. Konkret heißt das, was braucht es für Organisationen in diesem Umfeld und was braucht es nicht. Nur so lassen sich Unsicherheiten vermeiden und in konkrete Schritte ummünzen.
Aktuell wirkt vieles an politischen Forderungen bemüht, ohne klare Linie, wirklichen Durchblick und ohne roten Faden? Was ist hierzu Ihre Meinung?
Herbert Saurugg: Wir versuchen noch immer mit dem alten Denken der Industriegesellschaft, wo ein Top-Down-Ansatz sehr erfolgreich war, die neuen Herausforderungen in der Netzwerkgesellschaft zu lösen. Das ist einfach zum Scheitern verurteilt, da es hier völlig neue Rahmenbedingungen gibt. Vernetzung führt zu einer Komplexitätssteigerung in Systemen und hier spielen dann ganz andere Faktoren eine Rolle. Die zentrale Steuerung funktioniert nicht mehr, da es laufend zu Rückkopplungsprozessen kommt und völlig neue Dynamiken entstehen, was wir fast überall beobachten können. Und trotzdem wird weiterhin versucht "die Kontrolle im digitalen Raum wiederzuerlangen". Es wird einfach nicht funktionieren.
Uwe Rühl: Es hat den Anschein, als stehe aktuell die Reaktion vor der Prävention. Das Ganze ist derzeit wohl das Kalkül der Verantwortlichen. Grundsätzlich wird man durch das IT-Sicherheitsgesetz aus Meldungen zu potenziellen Ereignissen gewisse Erkenntnisse ziehen, wie auf Bedrohungen zu reagieren ist. Und gerade im Reagieren liegt die Krux. Agieren wäre der bessere Weg. Die Frage ist, ob die Politik und auch die Wirtschaft eine konkrete Agenda für die Absicherung der Informationsverarbeitung verfolgen. Wichtiger noch ist die Antwort auf die Frage, ob die Agenda mit den Entwicklungen Schritt halten kann oder ob wir nicht den Entwicklungen hinterherlaufen? Das ist in der Vergangenheit leider zu oft passiert und am Rande sei erwähnt, dass sich Angreifer wohl kaum an ein eine deutsche Agenda halten. Das wirft die Frage auf, wie unsere Abwehr eigentlich aussehen könnte? Das Ganze hat den Anschein als wären wir an dieser Stelle nicht auf dem aktuellen Stand der Entwicklungen.
An welchen Stellen sehen Sie den größten Nachholbedarf?
Uwe Rühl: Für Unternehmen sehe ich aktuell den größten Bedarf darin, sicherzustellen, ob sie vom IT-Sicherheitsgesetz betroffen sind. Darin schließt sich die Frage an, was konkret von ihnen erwartet wird? Und wenn sie nicht betroffen sind, entbindet das trotzdem nicht davon, sich mit dem Thema Sicherheit aktiv auseinander zu setzen. Generell gilt: Beobachten wir die aktuellen Entwicklungen im IT-Sicherheitsumfeld nur oder gestalten wir sie aktiv mit? Im Klartext heißt das, wie können wir Einfluss nehmen und den Prozess aktiv und inhaltlich begleiten. Wichtig ist in diesem Kontext, dass sich Organisationen auf mögliche Angriffsszenarien vorbereiten. Etwas süffisant formuliert drängt sich hierzulande manchmal der Eindruck auf, als habe Deutschland die IT-Sicherheit outgesourct.
Herbert Saurugg: Wir müssen unser Denken und Handeln an die neuen – von uns selbst geschaffenen Realitäten – anpassen. Im Mittelpunkt steht dabei vernetztes, ganzheitliches und systemisches Denken, das sich wesentlich von unserem bisherigen Industriezeitalterdenken unterscheidet. Nur wenn wir lernen, System als Ganzes zu betrachten, was durch die steigende chaotische Vernetzung nicht unbedingt einfacher wird, wird es uns auch gelingen, mit den damit verbundenen Auswirkungen wieder umgehen zu können.
Grundsätzlich stellt sich die Frage, was zukünftig überhaupt sinnvoll ist im Bereich der IT-Sicherheit? Vor allem vor dem Hintergrund, dass eine durchgängige Digitalisierung und Vernetzung neue Wege im Sicherheitsdenken braucht.
Herbert Saurugg: Es wird wohl notwendig sein, ein paar Schritte zurückzugehen und zu hinterfragen, ob es nicht auch andere Lösungswege geben kann, die vielleicht wirkungsvoller sind. Etwa wieder einfachere statt komplexere Lösungen. Aus der Naturbeobachtung wissen wir, dass die langfristige Lebensfähig von Systemen im Wesentlichen von drei Säulen abhängig ist: Von der Energie- und Ressourcenbedarfssenkung, von der Dezentralität und von der Fehlerfreundlichkeit. Wir versuchen etwa nach wie vor den Menschen an die Technik anzupassen, anstatt zur Kenntnis zu nehmen, dass Menschen komplexe Systeme und daher nie 100-prozentig berechenbar beziehungsweise steuerbar sein werden. Zum anderen lassen sich komplexe Systeme nicht zentral steuern, sondern erfordern eine dezentrale autonome Selbststeuerung. Natürlich kann es dazu eine übergeordnete "gemeinsame Sicht" und "Orchestrierung" geben, damit nicht jeder seine eigenen Wege geht und das Ganze im Chaos endet. Aber das ist nicht mit Plan- sondern nur mit Zielvorgaben zu erreichen, was wir ja auch aus dem Kalten Krieg gelernt haben könnten.
Unser Sicherheits- und Risikodenken, das immer auf mehr oder weniger Bekanntem aufbaut, sich auf das Wesentliche konzentriert und dem mechanistischen, linearem Weltbild entspricht, erfordert einer Erweiterung zum Robustheits- und Resilienzdenken. Wenn etwa eine unbedachte Einstellung in der Konfiguration von Leittechniksystemen beinahe einen europaweiten Stromausfall auslösen hätte können, dann geht das weit über die bisherigen IT-Sicherheitsansätze hinaus. Bis zu diesem Zeitpunkt war ein solches Szenario völlig unvorstellbar, zumindest glaubte man das so. Zum anderen zeigt gerade das Szenario eines großflächigen Stromausfalls, dass wir als Gesellschaft insgesamt kaum Rückfallebenen haben, um auch mit solchen Ereignissen umgehen zu können. Resilienz bedeutet daher auch, dass wir Menschen uns wieder krisentauglicher organisieren müssen, denn es zeichnen sich für die nächsten Jahre nicht nur aus dieser Ecke massive Umbrüche ab. Ja, wir sollten die technischen Errungenschaften und Möglichkeiten nutzen, aber nicht vergessen, dass diese auch verletzlich machen. Daher darf der Fokus nicht nur auf die Verhinderung von Vorfällen gelegt werden, sondern muss viel stärker auf die rasche Bewältigung und Wiederherstellung der Funktionsfähigkeit von Systemen nach Störungen gerichtet werden.
Uwe Rühl: An dieser Stelle braucht es neben branchenspezifischen Standards und Vorgaben, wie vom IT-Sicherheitsgesetz angesprochen, auch eine übergreifende Denkweise. Wer ist mit wem verflochten und vernetzt? Nehmen wir folgendes Beispiel: Eine Klinik, deren Diagnostik von extern gewartet werden kann, ist angreifbar. Denn ein Cyber-Angriff auf den externen Dienstleister hat direkte und eventuell fatale Auswirkungen auf die Klinik. Oder denken wir an die Vernetzung der Stromversorgung. Und was hier im Rahmen der kritischen Infrastrukturen gilt, gilt mehr oder weniger für jedes Unternehmen. Hier müssen auch Notfallprozesse zur Entkopplung von Netzen vorhanden sein. Zudem braucht es einen präventiven und vorausschauenden Ansatz. Und der heißt schlicht, dem Angreifer möglichst einen Schritt voraus sein.
Im IT-Sicherheitsumfeld wird immer von der Vorbildfunktion gesprochen. Was heißt das konkret und welche Vorbilder braucht es?
Uwe Rühl: Die vielfach zitierte Vorbildfunktion fängt damit an, Kindern und Jugendlichen einen bewussten Umgang mit Informationsverarbeitung beizubringen. Dabei muss Licht und Schatten, also die oft zitierten Risiken und Chancen, gleichermaßen behandelt werden. Dies geht weiter über die berufliche und universitäre Bildung. Es muss eine Kompetenz werden, die unbewusst abgerufen werden kann, ob privat oder beruflich. Dazu braucht es natürlich immer wieder Schulungen, Auffrischungen und Sensibilisierungsmaßnahmen auf unterschiedlichen Kanälen. Vor allem aber ist es wichtig, dass Führungskräfte und Manager Vorbild sein müssen und nicht für sich Ausnahmen proklamieren. Leider geschieht dies immer wieder und wird mit Floskeln abgetan wie: Man habe keine Zeit. Doch genau an dieser Stelle müssen sich Führungskräfte Zeit nehmen und können sich nicht aus der Verantwortung stehlen. Ein Thema, das übrigens auch Politiker betrifft. Denn Vorbildfunktion fordert alle relevanten Bereiche und deren Verantwortliche einer Gesellschaft.
Herbert Saurugg: Es ist schwer nachvollziehbar, warum sich andere an Regeln halten müssen, wenn gleichzeitig der, der diese Vorgaben macht, sich nicht daran halten muss, wie ja gerade das ITSiG zeigt. Der "Gesetzgeber" macht Vorgaben und muss zur gleichen Zeit einen sehr schweren Zwischenfall eingestehen. Das ist halt für die Glaubwürdigkeit nicht sehr zuträglich.
Zum anderen spielt hier wieder der Faktor Mensch eine Rolle, der halt nur bedingt steuerbar ist. Wenn der Chef sagt, er macht das anders oder er will genau das so haben, auch wenn man weiß, dass das aus IT-Sicherheitssicht nicht sehr klug ist, dann ist es so. Daher ist die Forderung zwar berechtigt und wünschenswert, aber ich würde behaupten, es gibt wenig Aussicht auf Erfolg.
Und welche Rolle spielt das Thema Awareness? Gerade bei einem Blick auf die Organisationsrealitäten, wo das Thema vielfach noch ein Nischendasein fristet?
Herbert Saurugg: Ich habe mich beruflich viele Jahre mit dem Thema "Awareness" beschäftigt. Ja, es ist wichtig und notwendig, aber wir dürfen davon nicht erwarten, dass damit alle Probleme gelöst werden. Besonders spannend finde ich das Thema "Social Engineering". Als ich dieses Thema Mitte der Nullerjahre aufbereitet habe, war es noch ein völliges Nischenthema. Heute kommt kein Sicherheitsvorfall ohne diesen Aspekt aus. Die technische Sicherheit konnte inzwischen deutlich erhöht werden, aber den Faktor Menschen kann man halt nur schwer beeinflussen. Awareness-Maßnahmen tragen zwar zu einer Verbesserung bei, aber gegen den Faktor Social Engineering ist niemand immun. Zum falschen Zeitpunkt am falschen Ort und man fällt genauso rein, wie andere. Nicht so leicht, aber es ist trotzdem nicht ausgeschlossen. Daher ist es wesentlich, die Fehlerfreundlichkeit und -toleranz in Systemen zu erhöhen und nicht wie derzeit häufig praktiziert wird, Fehler um jeden Preis ausschalten zu wollen. Das funktioniert einfach nicht, zumindest so lange Menschen dabei auch eine Rolle spielen – und das wird wohl weiterhin so bleiben.
Uwe Rühl: Das Thema Awareness und Sensibilisierung spielt eine große Rolle. Wie bereits in der vorausgehenden Frage beantwortet, muss das Thema auf unterschiedlichen Kanälen und Ebenen in Organisationen verankert werden. Auch an dieser Stelle müssen Vorgesetzte das Thema vorleben und eine demensprechende Unternehmenskultur fördern.
Wagen wir den Blick nach vorne: Wie wird sich Ihrer Meinung nach das IT-Sicherheitsumfeld in den kommenden Jahren verändern (müssen), um den wachsenden Herausforderungen begegnen zu können?
Uwe Rühl: Ich befürchte, dass wir uns laufend gegen Angriffe von außen, ob zufällige und gezielte, wehren müssen. Dies hat leider damit zu tun, dass wir aktuell jeden als Freund betrachten und zu gutgläubig im Umgang mit der Informationssicherheit und unseren Daten sind. Zukünftig werden ein gesundes Misstrauen und eine stärkere Abwehrhaltung an der Tagesordnung sein müssen. Grundsätzlich werden wir uns von alten Weltbildern verabschieden müssen, denn die Digitalisierung aller Lebensbereich wird uns und das IT-Sicherheitsumfeld vor ganz neue Herausforderungen stellen.
Herbert Saurugg: Wie bereits gesagt, wir müssen unser Denken und dann Handeln an die neuen Realitäten und Rahmenbedingungen der Netzwerkgesellschaft anpassen. Mehr vom selben wird auch weiterhin nicht zum Erfolg führen. Ein Kernproblem ist dabei unser wachstumsgetriebenes Wirtschaftssystem. So lange kurzfristiges Gewinnstreben und Effizienzsteigerung um jeden Preis die Oberhand behalten, werden wir aus dem Dilemma kaum herauskommen. Zum anderen fürchte ich, dass wir es auch nicht aus Vernunft sondern erst nach folgenschweren Krisen und Katastrophen tun werden. Klingt pessimistisch, hat aber eher mit Realismus und unserer Geschichte zu tun. Wir haben uns grundsätzlich immer über Versuch und Irrtum weiterentwickelt.
Leider wird das durch die zunehmenden vernetzten Abhängigkeiten immer schwieriger beziehungsweise folgenreicher. Und wie bereits gesagt, ohne dass wir uns wirklich über Systemgrenzen hinaus dafür interessieren noch dass wir über entsprechende technische oder gesellschaftliche Rückfallebenen verfügen. Wenn man die (IT-)Sicherheit zumindest in vernetzten Infrastruktursystemen erhöhen möchte, dann wäre es durchaus erstrebenswert, wie das bereits von vielen IT-Sicherheitsexperten eingefordert wird, von vorne zu beginnen und vor allem für die kritischen Komponenten in Europa neue und einfache Eigenentwicklungen zu starten.
[Das Interview führte Andreas Eicher, Redaktion RiskNET]