Technologische Souveränität Voraussetzung für mehr Cybersicherheit
Wie die Bürger, Unternehmen, aber auch die Verwaltung in Deutschland hinsichtlich der digitalen Souveränität aufgestellt sind, dazu gaben die Sachverständigen bei einer öffentlichen Anhörung des Ausschusses Digitale Agenda zum Thema „IT-Sicherheit von Hard- und Software“ am Mittwoch, 11. Dezember 2019, unterschiedliche Einschätzungen ab. Bei der Expertenbefragung unter Leitung von Hansjörg Durz (CDU/CSU) ging es vor allem um den Ist-Zustand der IT-Struktur Deutschlands, gesetzgeberischen Handlungsbedarf und Sicherheitslücken. „Cyberangriffe können schwerwiegende Folgen für Wirtschaft, Staat und Gesellschaft haben, sodass die digitale Souveränität Garant für die staatliche Souveränität wird“, sagte Durz zu Beginn der Anhörung.
„Gefährdungslage weiter hoch“
Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), sagte, insgesamt sei die Gefährdungslage weiter hoch. Hacker verfügten über 900 Millionen verschiedene Angriffsprogramme. Das Ziel müsse angesichts wachsender globaler technologischer Abhängigkeiten sein, Risiken zu minimieren.
Technologische Souveränität sei eine Voraussetzung für mehr Cybersicherheit. „Entscheidend ist, die Soft- und Hardware getrennt zu betrachten“, sagte Schönbohm. Er plädiere für einen holistischen Ansatz, der nicht nur Produkte, sondern auch Prozesse betrachte, um Risiken zu verringern. Schönbohm sprach sich weiter dafür aus, Prüfverfahren und Techniken europaweit zu harmonisieren.
„Eklatanter Mangel im Bereich Aus- und Weiterbildung“
Prof. Dr. Michael Waidner (Fraunhofer-Institut für Sichere Informationstechnologie) betonte, dass Deutschland in einem Ländervergleich gut dastehe, auch was die Forschung und die Wirtschaft angehe. Wenn allerdings absolut gefragt werde, wie sicher die IT sei, dann komme man zu dem Ergebnis „angreifbar“ und alle stünden schlecht da, sagte er.
Besonders problematisch sei, dass es auf Anbieterseite keine internationalen Player in Europa gebe. In Bezug auf Infrastrukturen fehle etwa eine Verschlüsselungsinfrastruktur, merkte Waidner an. Er verwies auch auf den „eklatanten Mangel“ im Bereich Aus- und Weiterbildung, was Fachkräfte angehe.
„Abschottung ist nicht der richtige Weg“
Darauf, dass China derzeit massiv in die eigene IT-Sicherheit investiere, verwies Isabel Skierka (European School of Management and Technology GmbH). In Deutschland und Europa sei man in vielen Bereichen sehr abhängig von Technologien ausländischer Hersteller. Abschottung sei nicht der richtige Weg.
„IT-Sicherheit ist die notwendige Bedingung für digitale Souveränität“, sagte die Sachverständige. Sie plädierte dafür, Schlüsseltechnologien und Kompetenzen in Deutschland und Europa massiv zu stärken und die regulatorischen Anforderungen an IT-Sicherheit zu verbessern, deren Einhaltung die Hersteller dann nachweisen müssten.
„Digitale Bildung und Infrastruktur als Schlüssel“
Für Oliver Harzheim von der Vodafone GmbH lag der Schlüssel in Investitionen in die digitale Bildung und Infrastruktur. Hemmschwellen müssten abgebaut und das Bewusstsein der Masse müsse gesteigert werden, um digitale Souveränität sicherzustellen.
Die technische Infrastruktur sei „die Lebensader der digitalen Gesellschaft“, sodass es mehr wettbewerbsfähige Lösungen, auch bei der IT-Sicherheit geben müsse. Das europäische Cloud-Projekt GAIA X gehe in eine richtige Richtung, weitere Initiativen müssten nun folgen, plädierte Harzheim.
„Gelebte digitale Souveränität“
Darauf, dass jeder Einzelne für die Ausübung von digitaler Souveränität mitverantwortlich sei, verwies auch Klaus Landefeld (Eco-Verband der Internetwirtschaft). „Es können nicht nur die Betreiber von Diensten und der Staat in der Verantwortung stehen“, sagte Landefeld.
Die Anwendung, Wissen und der Umgang seien „gelebte digitale Souveränität“, und alle, nicht nur die Betreiber kritischer Infrastrukturen, hätten eine abstrakte Verpflichtung, die IT-Sicherheit zu erhöhen. Zudem könne nicht hingenommen werden, dass staatliche Stellen sogenannte backdoors offen hielten. Dies könne Gefahren für alle nach sich ziehen, sagte Landefeld.
„Besorgniserregende Gesamtsituation“
Ninja Marnau vom CISPA Helmholtz Center for Information Security schätzte die Gesamtsituation als „besorgniserregend“ ein. Das Langfrist-Ziel sei, europäische Hersteller für zentrale Infrastrukturen zu haben. Mittelfristig könne die Kontrolle von Technologien und eine risikoabhängige Bewertung wiederhergestellt werden.
Murnau sprach sich auch für eine „sektorübergreifende Regulierung von IT- und Digitalprodukten“ aus, die sich auf Hersteller, Betreiber und auch Nutzer erstrecken könne. Um informierte Nutzer zu haben, brauche es zudem umfassende Bildungsstrategien zwischen Bund und Ländern über die gesamte Lebenszeit von Menschen hinweg, sagte die Sachverständige.
„Technologie wird als Machtmittel eingesetzt“
Darauf, dass technologische Souveränität auch unter widrigen Umständen gelten müsse, verwies Frank Rieger (Chaos Computer Club e. V.). „Wir leben in einer Welt, in der Technologie als Machtmittel eingesetzt wird“, sagte er. Ein Problem sei, dass Deutschland und Europa schon ein Stück ihrer digitalen Souveränität verloren hätten, da zu spät angefangen worden sei und es keine diesbezügliche Industriepolitik gegeben habe.
Viele Unternehmen seien an ausländische Investoren verloren worden. Rieger sprach sich für gesetzliche Regelungen, die es einfacher machen, die Sicherheit von Systemen zu überprüfen, aus. Auch plädierte er dafür, dass das BSI unabhängig werden solle. (lbr/11.12.2019)
Liste der geladenen Sachverständigen
- Arne Schönbohm, Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Prof. Dr. Michael Waidner, Fraunhofer-Institut für Sichere Informationstechnologie SIT
- Isabel Skierka, European School of Management and Technology GmbH ESMT
- Oliver Harzheim, Vodafone GmbH
- Klaus Landefeld, Eco-Verband der Internetwirtschaft
- Ninja Marnau, CISPA Helmholtz Center for Information Security
- Frank Rieger, Chaos Computer Club e.V.