Die Bedeutung der IT-Sicherheit für die Aufrechterhaltung Öffentlicher Sicherheit und die Funktionsfähigkeit Kritischer Infrastrukturen und damit für das Funktionieren unserer Gesellschaft wird seit langem diskutiert; die NSA-Affäre und nicht zuletzt der Hacker-Angriff auf die IT des Bundestages haben für zusätzliche Aktualität gesorgt.
Crisis Prevention sprach mit Marc Bachmann, dem Bereichsleiter für Öffentliche Sicherheit und Verteidigung bei Bitkom e. V. zum Thema IT-Sicherheit und Bedrohungen im Cyber-Zeitalter.

CP: Herr Bachmann, welche Bedeutung hat die IT-Sicherheit für Kritische Infrastrukturen im Bereich Verteidigung und Öffentliche Sicherheit aus Sicht des Bitkom: tun wir genug und tun wir das Richtige? Wie groß ist das Gefahrenpotential für die öffentliche Sicherheit aus Sicht des Bitkom?

Bitkom: Dass die IT-Sicherheit für Kritische Infrastrukturen eine große Bedeutung hat, steht außer Frage. Das hat die Bundesregierung auch erkannt und mit dem IT-Sicherheitsgesetz den richtigen Weg eingeschlagen. Wir als Branchenverband für die ITK haben das Gesetz von Beginn an konstruktiv-kritisch begleitet. Grundsätzlich plädieren wir für einen Whole-of-Government Ansatz kombiniert mit Kooperationen mit der Wirtschaft, um den gestiegenen Herausforderungen auf allen Ebenen zu begegnen. Spektakuläre Fälle der Vergangenheit haben das Gefahrenpotential ja deutlich gemacht, Beispiele finden sich auch im Lagebericht des BSI. Panikmache ist aber aus unserer Sicht nicht zielführend, sondern viel wichtiger ist es, gemeinsam nach Wegen zu suchen, um die IT-Sicherheit allgemein zu erhöhen. Bitkom beschreitet diesen Weg schon seit vielen Jahren, etwa im Rahmen der Allianz für Cybersicherheit mit dem BSI oder der Sicherheitskooperation Cybercrime mit den Landeskriminalämtern.

Bereichsleiter für Öffentliche Sicherheit und Verteidigung bei Bitkom e. V.

Bereichsleiter für Öffentliche Sicherheit und Verteidigung bei Bitkom e. V.

Dass IT-Sicherheit auch eine verteidigungspolitische Dimension hat, wird nicht zuletzt dadurch deutlich, dass amerikanische Militäreinrichtungen in der letzten Zeit wiederholt Opfer von mutmaßlich ausländischen Kräften geworden sind. Dass Stuxnet gezeigt hat, dass Kritische Infrastrukturen auch unterhalb der Kriegsschwelle angegriffen und vielleicht sogar wirksamer ausgeschaltet werden können, ist ebenfalls ein Aspekt. Das heißt, die IT-Sicherheit Kritischer Infrastrukturen hat auch eine sicherheitspolitische Dimension, die über die Versorgungssicherheit hinausgeht. Diese Diskussion muss geführt werden und sie wird ja auch geführt.

CP: Angesichts der immer wieder neuen Enthüllungen über Ausspähungen durch fremde Dienste, Datensammelwut und Wirtschaftsspionage scheint sich in weiten Teilen der Öffentlichkeit bis in die Politik hinein eine gewisse Resignation breit gemacht zu haben. Das kann naturgemäß keine Antwort auf solche Herausforderungen sein. Welche Maßnahmen sind aus Bitkom-Sicht zwingend erforderlich, um den Einzelnen, aber auch Unternehmen und Behörden und Organisationen mit Sicherheitsaufgaben (BOS) arbeitsfähig zu erhalten und ausreichend zu schützen?

Bitkom: Wir leben in einer Welt, in der Daten eine immer größere Rolle spielen. Deshalb haben wir als Bitkom ja auch die Frage gestellt, ob das Prinzip der Datensparsamkeit heute noch zeitgemäß ist. Damit Sie mich nicht falsch verstehen: es geht uns nicht um eine zügel- und ziellose Sammelwut von Daten. Aber gerade da, wo das Sammeln und Auswerten von Daten sinnvoll ist und einen Mehrwert für die Gesellschaft bringt, sollte man sich dem nicht aus rein dogmatischen Gründen verschließen. Um den Einzelnen hier zu schützen, ist es natürlich notwendig, die Daten sicher zu lagern, aber auch Anonymisierung und Pseudonymisierung können hier maßgeblich helfen.

Genauso wie Unternehmen für Geschäftsmodelle Daten benötigen, brauchen auch Sicherheitsbehörden Daten, um ihren Aufgabe nachzukommen, etwa in der Bekämpfung von Computerkriminalität oder bei der Lagefeststellung im Katastrophenfall. Der Datenschutz darf dem Ziel der öffentlichen Sicherheit nicht grundsätzlich im Wege stehen. Allerdings müssen Gesetzestexte, wie aktuell der Entwurf zu Höchstspeicherfristen, deutlicher machen, was ihr Mehrwert ist und sich nicht der gesellschaftlichen Debatte verschließen. Denn ansonsten überlässt man das Feld denjenigen, die mit dem Schüren von Ängsten ohnehin leichteres Spiel haben. Wenn es gute Argumente für das Erheben und Auswerten von Daten gibt und diese Argumente auch in der Diskussion standhalten, haben es Politik und Behörden leichter, Ihre Vorhaben auch umzusetzen.

CP: Furore hat kürzlich der Hacker-Angriff auf den Bundestag gemacht, bei dem ja offensichtlich auch Server vom Angreifer übernommen wurden. Der außenstehende Beobachter reibt sich verwundert die Augen angesichts doch wohl unzureichender Schutzmaßnahmen und angesichts des Zeitbedarfs bis zum Ergreifen wirkungsvoller Gegenmaßnahmen. Was ist aus Ihrer Sicht hier versäumt worden und welche Empfehlungen gibt der Branchenverband den Abgeordneten mit auf den Weg?

Digitale Souveränität. (Grafik: Bitkom e. V.)

Digitale Souveränität. (Grafik: Bitkom e. V.)

Bitkom: Die Abgeordneten des Deutschen Bundestages sind im täglichen Umgang mit ihren Kommunikationsmitteln ebenso wenig vor Fehlern gefeit wie andere Akteure. Was genau passiert ist, wird ja noch ermittelt. Von daher will ich nicht spekulieren. Dass IT-Sicherheit aber auch beim Deutschen Bundestag zukünftig eine größere Rolle spielen muss, liegt auf der Hand. Verständnis sollte man m. E. auch dafür haben, dass die Abgeordneten als Angehörige der Legislative eine gewisse Zurückhaltung haben, sich quasi der „Kontrolle“ der Exekutive zu unterwerfen, wenn das BSI als nachgeordnete Behörde des Bundesinnenministeriums Befugnisse im Bundestag erhielte. Gleichwohl hoffe ich, dass die Zusammenarbeit der IT-Sicherheitsverantwortlichen in der Bundestagsverwaltung mit dem BSI gut ist und die Empfehlungen des BSI beachtet werden. Im IT-Sicherheitsgesetz sollen ja nun auch Bundesbehörden zur Zusammenarbeit mit dem BSI gebracht werden und Informationen weiterleiten. Diesen Aspekt hat Bitkom schon sehr früh gefordert und begrüßt die Änderung. Der Bundestag sollte hier nicht versuchen, sich auszunehmen, sondern ebenfalls die Zusammenarbeit suchen.

CP: IT-Sicherheit ist ja offensichtlich eine wesentliche Voraussetzung für ein funktionierendes Gemeinwesen und letztlich auch für politische Autonomie und Souveränität der Staaten. Was können Ihre Mitgliedsfirmen dazu beitragen, dass in einer vernetzten Welt die Souveränität erhalten bleibt? Gibt es dazu einen Markenkern „Made in Germany“?

Bitkom: Selbstverständlich gibt es viele hochinnovative deutsche Unternehmen, die gerade im Bereich IT-Sicherheit ganz vorn platziert sind. Mit unserem Papier zu Digitaler Souveränität haben wir ja bereits Handlungsempfehlungen unterbreitet, aber auch dafür plädiert, dass Thema nicht zu sehr in den Bereich der Abschottung abdriften zu lassen. Souveränität bedeutet für uns, selbstbestimmt handeln zu können. Das ist natürlich auch mit Produkten ausländischer Unternehmen möglich, zumal ich bei einigen Infrastrukturkomponenten gar nicht umhin komme, diese einzukaufen. Wenn ich Zweifel habe, muss ich natürlich die Finger von diesen Produkten lassen und eventuell teuer, aber dafür zuverlässiger einkaufen. Die gesamte Branche hat durch die Enthüllungen der vergangenen Jahre sicherlich an Vertrauen eingebüßt und unser aller Ziel ist es, dieses Vertrauen wieder aufzubauen. Viele Unternehmen haben auch viel dafür getan und es sind einige strategische Partnerschaften zwischen Global Playern und deutschen kleinen und mittelständigen Unternehmen (KMU) entstanden. Dies ist aus unserer Sicht eine gute Entwicklung.

CP: Wenn ich den Gedanken aufgreifen darf, dass verloren gegangenes Vertrauen wieder aufgebaut werden muss, dann ist doch die Frage, was dazu konkret nötig ist.

Bitkom: Generell lässt sich aber sagen, dass Deutschland aufzuholen hat. In der aktuellen Legislaturperiode spielt die Digitalisierung zwar eine so große Rolle wie nie zuvor. Wir haben aber erst kürzlich in einer Einschätzung zum Umsetzungsstand der Digitalen Agenda darauf hingewiesen, dass an vielen Stellen noch Nachbesserungsbedarf besteht z. B. beim Datenschutz und im Bereich der Weiterbildungs- und Bildungspolitik, aber auch im Hinblick auf den Ausbau des BSI und des Nationalen Cyberabwehrzentrum sind noch Fragen offen. Wir als Branche stehen bereit, diese Umsetzungsschritte konsequent weiter zu gehen.

Ein anderer Aspekt der Digitalen Souveränität sind die Anstrengungen im Wirtschaftsschutz. Bitkom hat dazu eine Studie vorgelegt, die zeigt, wie groß die Gefahren und die daraus resultierenden Schäden sind. Bei einer Betroffenheit von über der Hälfte der Unternehmen entstehen jährliche Schäden von 51 Mrd. Euro.

Außerdem hat die Diskussion um die Zusammenarbeit von deutschen und ausländischen Nachrichtendiensten gezeigt, wie abhängig wir sind. Wenn unsere Nachrichtendienste teilweise zwei Technologiegenerationen hintendran sind, sind sie auf die Zuarbeit oder Unterstützung von ausländischen Partnern angewiesen. Hier ist dringender Nachholbedarf.

CP: Verbände wirken häufig in die Öffentlichkeit und Politik hinein mit Hilfe von Publikationen und Empfehlungen. Bitkom hat angekündigt, die bestehenden Leitfäden zu Katastrophenschutzmanagement und Border Control, die aus dem Jahre 2008 stammen, demnächst zu überarbeiten. Ist die sich rasant weiterentwickelnde Welt auf dem Gebiet IT/Cyber hierfür ausschlaggebend gewesen und welchen Änderungsbedarf sehen Sie hauptsächlich?

Bitkom: Grundsätzlich ist es nach sieben Jahren allerhöchste Zeit, sich der Überarbeitung solcher Leitfäden zu widmen. Natürlich ist die weiter voranschreitende Digitalisierung ein wichtiger Aspekt. Aber auch Veränderungen der Rahmenbedingungen spielen eine Rolle. So gibt es heute Entwicklungen im Bereich der Fluggastdaten, die sich perspektivisch auf den Bereich Border Control auswirken werden. Im Bereich Katastrophenschutz wurde das Thema Großschadenslagen durch die Vorkommnisse der Love Parade 2010 oder, noch einige Nummern größer, durch Fukushima 2011 neu und anders in den Fokus gerückt. Sich hier gut aufzustellen, muss das Ziel der Behörden sein, d. h., Lagefeststellung und -bearbeitung, Kommunikation und Einsatzführung muss für alle Beteiligten in einem vernetzten Ansatz ressortübergreifend und ohne Einschränkungen durch fehlende Interoperabilität möglich sein. Die ITK-Branche kann das Ihrige dazu tun, und wir als Branchenverband sind zur Hilfestellung bereit.

CP: Herr Bachmann, vielen Dank für diese interessanten Ausführungen. Wir wünschen Ihnen und Bitkom weiterhin gutes Gelingen in Ihrer Aufklärungs- und Informationspolitik.

———————-

Marc Bachmann

Marc Bachmann hat Geschichte und Sozialwissenschaften an der Helmut-Schmidt-Universität und Corporate Communication an der Rotterdam School of Management studiert, war 13 Jahre Angehöriger der Bundeswehr und dort zuletzt mit der regionalen Öffentlichkeitsarbeit des Presse/Informationsstabes des Bundesministeriums der Verteidigung betraut. Darüber hinaus war er im Freistaat Sachsen für die Schnittstellenkommunikation zwischen Bundeswehr, Politik, Wirtschaft, Bildung und Gesellschaft zu bundeswehrspezifischen und sicherheitspolitisch relevanten Themen verantwortlich. In seiner jetzigen   Funktion übt er erneut eine Schnittstellenfunktion aus zwischen Verband, Industrie und den Behörden und Organisationen mit Sicherheitsaufgaben.

Aufmacherbild: Sicherheits-Kooperation Cybercrime. (Bild: Bitcom e. V.)

(HHS, SH)