Thesenpapier deckt Defizite auf und formuliert Lösungen
Leitliniendokument mit konkreten Forderungen an die Politik
Im März diesen Jahres übergaben Vertreter des Bundesverbandes der IT-Anwender „VOICE“ und des Bundesverbandes IT-Sicherheit e.V. – TeleTrusT ihr gemeinsam erarbeitetes Manifest zur IT-Sicherheit an die Bundesregierung. Das an die Politik adressierte Leitliniendokument stellt Defizite und Problembereiche im Umfeld der IT-Sicherheit dar. Dabei zeigen die im Manifest formulierten Ziele und Absichten große Übereinstimmung mit der im November 2016 von der Bundesregierung beschlossenen Cyber-Sicherheitsstrategie für Deutschland.
Aber der Reihe nach. Bevor wir uns dem 20-seitigen Papier widmen, rufen wir uns noch einmal besagte Cyber-Sicherheitsstrategie in Erinnerung:
Status quo in Sachen IT-Sicherheit
Mit Fortschreiten der Digitalisierung nimmt die Anzahl und Qualität von Cyber-Attacken kontinuierlich zu. Auffällig dabei ist einerseits der hohe Professionalisierungsgrad der Angriffe: Hochentwickelte Schadprogramme nehmen gezielt nur unzureichend gesicherte IT-Landschaften ins Visier. Andererseits reichen die klassischen Abwehrmaßnahmen aus Antiviren-Programmen oder Zugangssicherung per Passwort und Benutzernamen längst nicht mehr aus.
Um angesichts dieser Tatsachen die Handlungsfähigkeit und Souveränität der Bundesrepublik zu gewährleisten, beschloss die Regierung im November 2016 ihre neue Cyber-Sicherheitsstrategie für Deutschland. Dabei lautet der Grundtenor für die Cyber-Sicherheitspolitik der Bundesregierung: Deutschland muss die Chancen und Potenziale der Digitalisierung voll ausschöpfen können und gleichzeitig auch die damit verbundenen Sicherheitsrisiken beherrschen.
Die Cyber-Sicherheitsstrategie für Deutschland
Das Strategiepapier wirbt für sicheres, selbstbestimmtes Verhalten der Bürger und stellt sich gegen die „digitale Sorgloskultur“. Staat und Wirtschaft sollen näher zusammenrücken, unterdessen die europäische und internationale Cyber-Sicherheitspolitik noch enger verflochten werden sollen.
Als konkrete Schritte benennt das Papier den Ausbau des nationalen Cyber-Abwehrzentrums (NCAZ), sodass es in Schadensfällen als Krisenzentrum arbeiten kann. Zudem soll der bereits 2011 eingerichtete nationale Cyber-Sicherheitsrat stärker eingebunden werden, um „Handlungsnotwendigkeiten“ zu identifizieren. Ergänzt werden diese Maßnahmen um die Aufstellung von „Mobile Incident Response Teams“ (MIRTs), die im Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie in der Bundeswehr zum Einsatz kommen.
Noch in diesem Jahr soll ein IT-Gütesiegel, betreut vom BSI, eingeführt werden, das Verbrauchern sichere IT-Produkte anzeigt. So sollen sie „bei der Kaufentscheidung für neue IT-Produkte und bei der Inanspruchnahme entsprechender Dienstleistungen schnell und einfach feststellen können, welche Angebote wie gut zum Schutz der IT und der Daten beitragen“. Außerdem sollen Bürger unter anderem zur Nutzung der Onlineausweisfunktion ihres Personalausweises animiert werden.
Die Bundesregierung ist zu dem Schluss gelangt, dass Sicherheit nach dem klassischen Benutzername-Passwort-Prinzip nicht mehr ausreicht. So soll beispielsweise die Nutzung von Verschlüsselungstechniken gefördert werden: „Die Bundesregierung wird die spezifischen Hemmnisse beim Einsatz von Verschlüsselungslösungen untersuchen und Initiativen zum Abbau dieser Hemmnisse fördern“, heißt es im Strategiepapier. Zudem wird die Regierung die stetige Weiterentwicklung der technischen Fähigkeiten von Strafverfolgungs- und Sicherheitsbehörden parallel zur technischen Entwicklung in Sachen Verschlüsselung forcieren.
Manifest IT-Sicherheit: Thesen und Problembereiche
Zurück zum Manifest IT-Sicherheit: VOICE und TeleTrust haben in ihrem Thesenpapier sechs Problemfelder identifiziert. Dem aber nicht genug. Gemeinsam haben die beiden Verbände daraus sechs Thesen erarbeitet. Konkrete Aufgaben in jeder These skizzieren, wie die jeweilige Herausforderung bewältigt werden könnte.
-
These 1: Sicherheitsprobleme gefährden nachhaltige Digitalisierung
Die IT-Sicherheitsprobleme werden jedes Jahr größer. Die IT-Architekturen von Endgeräten, Servern und Netzkomponenten sind nicht sicher genug konzipiert, um den Fähigkeiten von intelligenten Hackern standzuhalten. Für ihre erfolgreichen Angriffe machen sich Kriminelle auch die unzureichende Qualität von Software zu Nutze: Sie installieren Malware, stehlen Passwörter und Identitäten und spionieren Endgeräte aus.
-
These 2: Zu wenige sichere und vertrauenswürdige IT-Lösungen
Immer komplexer werdende Software und immer kompliziertere Zusammenhänge zwischen Protokollen, Diensten, IT-Geräten und globalen Infrastrukturen vergrößern die Angriffsfläche für Hacks derart, dass sogar „harmlose“ Geräte wie Kaffeemaschinen, Drucker oder Smartwatches als Einfalltore missbraucht werden. Hinzu kommt die Tatsache, dass der IT-Sicherheitsmarkt aus vielen kleinen Anbietern besteht, die nur Nischen abdecken. Da eine „Komplettlösung“ aus einer Hand eines nationalen Herstellers nicht existiert, hat dies zur Folge, dass Anwender für einen umfänglichen Schutz gegen allerhand Bedrohungen Nischenlösungen „übereinander stapeln“ müssen.
-
These 3: Fehlende Transparenz und Vertrauen
Staatlich motivierte Schwachstellen und Hintertüren in der IT sorgen für weniger Sicherheit und zerstören das Vertrauen in IT-Technologien und IT-Dienste. So werden IT-Produkte häufig bereits als „unsicher“ am Markt platziert und IT-Sicherheitsfeatures meist erst auf Nachfrage oder Druck von Anwendern angeboten beziehungsweise sind erst dann zu- oder abschaltbar. Es mangelt zudem an flächendeckender Verschlüsselung für die Übertragung und Speicherung digitaler Informationen. Hierfür jedoch müssen erst sichere und vertrauenswürdige Verschlüsselungsprodukte geschaffen werden, die einfach zu integrieren und zu nutzen sind.
-
These 4: Unzureichende Umsetzung der Prinzipien Security-by-Design sowie Privacy-by-Design
Die Qualität und die Prozesse rund um die Entwicklung von quelloffener Software bergen noch großes Verbesserungspotential bezüglich Sicherheit und Vertrauen in die IT. Jedoch wird dieses Verbesserungspotential für sichere und vertrauenswürdigere Software, insbesondere Open Source Software, noch nicht ausreichend gefördert, gefordert und genutzt. Dabei erlauben es Offene Systeme, IT-Architekturen und IT-Produkte, Sicherheit und Vertrauenswürdigkeit bei Bedarf jederzeit zu überprüfen.
-
These 5: Mangelnde Selbständigkeit der europäischen IT-Sicherheitsinfrastruktur
Europa mangelt es an einer eigenen IT-Sicherheitsinfrastruktur. Diese ist jedoch für eine eigene Souveränität sowie sichere und vertrauenswürdige IT-Lösungen unerlässlich.
-
These 6: Steigende Bedrohung durch Cyber-War
Cyber-War, Cyber-Sabotage und Cyber-Spionage durch andere Staaten oder terroristische Gruppen auf Kritische Infrastrukturen stellen eine steigende Gefahr für Unternehmen, aber auch die gesamte Gesellschaft, dar.
Manifest IT-Sicherheit: Gemeinsame Aufgabenstellungen
Der Grad an IT-Sicherheit und Vertrauenswürdigkeit ist in Deutschland derzeit nicht ausreichend. Es fehlt an Wissen, Verständnis, Einschätzungskompetenz, Technologien und Vorgehensweisen. Viele IT-Produkte erreichen nicht den nötigen Reifegrad hinsichtlich IT-Sicherheit, um ein grundlegendes Maß an Vertrauenswürdigkeit zu etablieren. Deshalb haben TeleTrust und VOICE Aufgaben zur Lösung der oben genannten Thesen und Problemfelder formuliert.
-
Aufgabe 1: Gemeinsam intolerant gegenüber unsicheren IT-Lösungen!
Die Verbände sind sich einig darüber, dass das Sicherheitsniveau eines IT-Produktes klar erkennbar, überprüfbar und mit dem anderer vergleichbar sein muss. Das Aushängeschild „IT Security made in Germany“ für IT-Sicherheit und Daten-schutz hat sich in diesem Zusammenhang zwar bereits erfolgreich etabliert. Kernaufgabe muss es jedoch werden, auch eine IT-Sicherheitssouveränität zu schaffen und zu fördern.
Ein Großteil erfolgreicher Angriffe erfolgt über veraltete Software. Deshalb müssen die Hersteller in die Pflicht genommen werden Schwachstellen in Hard- und Software zu schließen. Gleichzeitig gilt es, bekannte Konzepte, auf denen die heutige Softwareentwicklung aufsetzt, im Hinblick auf IT-Sicherheitsaspekte zu überprüfen und, wenn notwendig, neu zu entwerfen. Aber damit nicht genug: Auch Anwender müssen die angebotenen Nachbesserungsmöglichkeiten schnellstens annehmen.
-
Aufgabe 2: Gemeinsam für wirkungsvolle IT-Sicherheit!
Das Thesenpapier betont die notwendige Zusammenarbeit der Verbände mit IT-Marktführern, um eine optimale Integration von IT-Sicherheitslösungen in Hard- und Software umzusetzen und zu überprüfen. Die Einbeziehung von Anwendern ist jedoch nötig, um angemessene, wirkungsvolle, sichere und vertrauenswürdige IT-Lösungen zu schaffen. VOICE und TeleTrust erachten dabei die Erarbeitung und Festlegung einer gemeinsamen IT-Sicherheitsstrategie mit konkreten Zielen, wie der Sicherheit und Vertrauenswürdigkeit in der IT, als notwendig.
-
Aufgabe 3: Gemeinsam digitale Werte sicher verschlüsseln!
Transparenz und Vertrauen müssen vom Alleinstellungsmerkmal zum Standard-Ausstattungsmerkmal eines IT-Produktes werden – so lautet die grundlegende dritte Aufgabenstellung laut Thesenpapier. Und so soll sie gelöst werden: Verschlüsselung muss nicht nur häufiger aktiv zum Einsatz kommen, sie muss auch einfach in der Bedienung sowie in der Integration werden. Dafür müssen Hersteller und Anwender von Verschlüsselungslösungen enger zusammenarbeiten. Beide Seiten müssen einer staatlich motivierten Schwächung von Kryptografie oder den Wünschen nach Hintertüren gemeinsam eine Absage erteilen. Im gleichen Atemzug ist die konsequente Erstellung und Nutzung von IT-Technologien und -Diensten, die keine staatlich motivierten Schwachstellen und Hintertüren in IT-Lösungen beinhalten, Voraussetzung.
Zudem fordern beide Verbände eine klare Positionierung der EU-Länder und der EU hinsichtlich des Schutzes der digitalen Werte. Darüber hinaus sollten sie dafür sorgen, dass mehr sichere und vertrauenswürdige IT-Technologien und IT-Dienste entwickelt und genutzt werden.
-
Aufgabe 4: Security-by-Design und Privacy-by-Design Software müssen Anforderungen an Sicherheit erfüllen!
Security-by-Design und Privacy-by-Design Software vermeiden hohe nachträgliche Sicherheitsassessments, weshalb zukünftige Vorhaben diese Anforderungen erfüllen müssen. Derweil muss Open Source Software bezüglich der IT-Sicherheitsaspekte nachhaltig überprüft werden. Beide Verbände sehen hierfür den gemeinsamen Aufbau eines Fonds als notwendig: Über ihn können finanzielle Mittel für die Verbesserung der Softwarequalität von wichtigen Open Source-Komponenten zur Verfügung gestellt werden. Ziel müsse es sein, sichere und vertrauenswürdige IT-Technologien schnell in die Fläche von wichtigen und zukunftsorientierten Anwendungsbereichen zu bekommen.
-
Aufgabe 5: Ausbau, Sicherung und Förderung des technologischen Stands in Europa!
TeleTrust und VOICE fordern die EU auf, kurz- bis mittelfristige Maßnahmen zu ergreifen, um die Souveränität im Bereich IT- Sicherheit für wichtige IT-Infrastrukturen aufzubauen und zu sichern. Hierfür schlagen die Verbände vor, dem Attribut „IT-Sicherheitsinfrastruktur in Europa“ einen besonderen Wert beizumessen. Gleichzeitig sollen Aufsichtsräte und Beiräte deutscher sowie europäischer Unternehmen in ihren Strategien die Anforderungen an IT-Sicherheit sowohl für Produkte als auch für Dienstleistungen und Anwendungen hinterfragen und bewerten.
-
Aufgabe 6: Regelmäßige Kontrolle potenziell gefährlicher IT-Lösungen!
Sofern eine IT-Lösung das Potenzial aufweist, negative Auswirkung auf die kritischen Infrastrukturen auszuüben, liegt die Aufgabe nach Meinung beider Verbände darin, diese sorgfältig zu prüfen und regelmäßig zu kontrollieren. Zum Erreichen einer höheren Sicherheit und Robustheit fordern TeleTrust und VOICE dabei eine Zusammenarbeit aller Interessengruppen.
Darüber hinaus sollte auch in Prävention, Detektion und Reaktion investiert werden. Notwendig seien Notfallpläne für ein Worst-Case Szenario, die Entwicklung von Krisenstabsübungen sowie die Bildung von Eingreiftruppen.
Zentrales E-Mail-Management mit der iQ.Suite
Mit der iQ.Suite von GBS umfassendes Lösungspaket zum E-Mail-Management, das alle notwendigen Bausteine auf dem Weg zur E-Mail-Compliance miteinander verbindet. Beginnend beim Viren- und Spamschutz, über Verschlüsselung und Haftungsausschluss bis hin zu rechtssicheren Archivierung decken wir alle Aspekte eines durchgängigen E-Mail-Managements ab.IT-Security Trends: Hacker im El Dorado
Der Präsident des Bundesamtes für Verfassungsschutz vergleicht Hacker-Angriffe mit gelenkten Mittelstreckenraketen. Zahlen und Fakten zum Thema IT- Sicherheit finden Sie in diesem Beitrag in unserer übersichtlichen Infografik „Cyberattacken“.Fazit
TeleTrust und VOICE e.V. stellen in ihrem Manifest ganz konkrete Forderungen an Politik und IT-Anbieter. Werden die bestehenden Sicherheitsmängel in Hardware, Software und Betriebssystemen nicht von Grund auf beseitigt, sehen beide Industrieverbände große Gefahren auf eine sich zunehmend vernetzende Wirtschaft zukommen. Hart ins Gericht gehen sie insbesondere mit dem geringen Reifegrad von Systemen und deren Widerstandsfähigkeit gegen Angriffe. Kritik üben TeleTrust und VOICE auch an der fehlenden Standardisierung vorhandener Sicherheitslösungen.
Europäische Hersteller werden aufgefordert, vermehrt eigenes Know-how rund um die IT-Sicherheit aufzubauen und alle IT-Produkte so zu designen, dass Sicherheit und Datenschutz von Beginn an berücksichtigt werden. Zudem fordern die Verbände IT-Anbieter auf, Lösungen anzubieten, die das Prinzip Security-by-Design befolgen. Alles andere würde sonst IT-Anwendungsunternehmen in ernsthafte Schwierigkeiten bringen, ihren Teil zur Cyber-Sicherheit beizutragen.
Der Beitrag Manifest IT-Sicherheit identifiziert sechs Problemfelder erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.