Wie der Mangel an IT- und Netz-Sicherheit die digitale Europäische Wirtschaft gefährdet

4. September 2017
Statement Helmut Fallmann EFA17

Einleitungsstatement von Helmut Fallmann bei der Fabasoft Breakout Session #18 „Wie der Mangel an IT- und Netz-Sicherheit die digitale Europäische Wirtschaft gefährdet“ im Rahmen des Europäischen Forums Alpbach 2017

Sehr geehrte Diskussionsteilnehmer, sehr geehrter Herr Moderator, sehr geehrtes Publikum!

Ich bin mit meinem Unternehmen Fabasoft nun schon einige Jahre Partner des Europäischen Forums Alpbach. Ein wesentlicher Grund dafür ist, dass mir das digitale wirtschaftliche Zusammenwachsen Europas ein Kernanliegen ist. Ich habe mich dafür mit meiner Expertise über die Sicherheit der heute alles dominierenden Querschnittstechnologie IKT auch stark in europäische Gremien eingebracht, um einen Beitrag zur Verwirklichung des Digitalen Binnenmarktes in der Europäischen Union zu leisten, mit dem unserem Kontinent die wirtschaftliche Zukunftssicherung gelingen soll.

Die Beteiligung an den Wirtschaftsgesprächen des EFA bietet mir die Möglichkeit, mit unserer Breakout Session „Wie der Mangel an IT- und Netz-Sicherheit die digitale Europäische Wirtschaft gefährdet“ das brennendste Thema der aktuellen europäischen Wirtschaftsentwicklung gemeinsam mit den am Podium versammelten Experten unter die Lupe zu nehmen: die Informations- und Netzsicherheit als Voraussetzung für eine breite Akzeptanz unserer längst unumkehrbaren digitalen Wirtschaftsstrukturen!

Die Digitalisierung geht uns alle an. Sie ist in nur wenigen Jahren zum bestimmenden Faktor unserer gesamten Wertschöpfungsprozesse herangereift. Die Beherrschung der dabei eingesetzten Technologien entscheidet über die Wahrnehmung von Marktchancen durch unsere Industrie, sowie auch unsere Klein- und Mittelunternehmen. Mit der Etablierung einer universellen Netzgesellschaft, in der es kaum noch Limitierungen im Zugang zu Wissen und Information gibt und welche die Liberalisierung der Weltwirtschaft weiter befeuerte, haben sich die Spielregeln für erfolgreiche Marktauftritte dramatisch verändert. Nur Unternehmen, die in der Lage sind, die Komplexität der digitalen Wirtschaft zu meistern, werden ihre Geschichte in Zukunft erfolgreich fortschreiben können. Und der Druck zur Transformation nimmt täglich mit jeder technologischen Innovation weiter zu. Die Rasanz der Entwicklung bei IKT, der sich fast alle wissenschaftlichen Errungenschaften unserer postindustriellen Datenökonomie verdanken, hat die Wirtschaftstreibenden vor nie zuvor gekannte Herausforderungen gestellt.

Erst der zeitgemäße IKT-Einsatz ermöglicht über neuartige Geschäftsmodelle die Erschließung neuer Marktpotenziale. Er verändert eingespielte Unternehmensprozesse und fordert vielfach einen kolossalen Wandel bei langjährig erfolgreichen Unternehmenskulturen ein. Die IKT sind aber auch ein unverzichtbarer Motor für gesellschaftliche Partizipation, für die soziale, demokratische und rechtstaatliche Gestaltung unserer Gemeinwesen.

Wer heute IKT sagt, muss auch Cyber-Security meinen.
Wie wir in dieser „Breakout Session“ noch aus erfahrenem Mund hören werden, lauern im weltweiten Netzlabyrinth zahlreiche Gefahren, die wir abwehren müssen, wenn wir vom Triumphzug des Netzes weiter profitieren wollen. Die digitalen Megatrends aus Mobilität, sozialen Plattformen, Cloud Computing, Big Data, Industrie 4.0 oder des Internet of Things (IoT) können ihre konjunkturelle Kraft für nachhaltige Wohlstandssicherung nur entfalten, wenn es gelingt, die vielfältigen, heute hoch professionell arrangierten Bedrohungsszenarien aus dem Dark Net in Zaum zu halten. 

Wir brauchen Chancengleichheit gegenüber den Arsenalen der Cyberkriminalität, die nur mit einer hoch innovativen eigenen Industrie für Informations- und Netzsicherheit in Europa hergestellt werden kann. Im virtuellen Raum kommen heute nahezu alle Formen von Delinquenz vor, die bis vor Kurzem die Strafverfolgungsbehörden weltweit bloß in der realen Welt beschäftigten: Betrug, Erpressung, Wirtschaftsspionage, Geldwäsche oder Menschen-, Drogen- und Waffenhandel bis hin zu konspirativen Absprachen über geplante Staatsstreiche und terroristische Anschläge.

Die Konfliktherde der Welt haben sich ins Netz verlagert, und wir hinken diesen unheilvollen Entwicklungen hinterher, weil sich IT- und Netzsicherheit noch nicht als primäres gesellschaftliches Allgemeingut etabliert hat. Im Sinne der Kernthese des aktuellen Europäischen Forums Alpbach müssen wir nunmehr eine durchgehende Phalanx aus Wissenschaft, Wirtschaft, Politik und Kultur bilden, die sich der Sicherung der heute wichtigsten Assets – Information und Daten – annimmt. Nur mit einer umfassenden Kooperation aller fortschrittsorientierten Akteure können wir die Stoßrichtung der künftigen Netzentwicklung beeinflussen und zum Entfaltungsraum einer nach fairen Regeln konzipierten Wirtschaft sowie zum faszinierenden Lebensraum für alle machen.

Bei dieser großen Vision dürfen wir jedoch nicht vergessen, dass es immer auch die Parallelität realer Erlebnisse braucht, in der sich Menschen austauschen können. Das weltweite Netz bietet ein Meer von Entwicklungschancen, es ist aber kein „Offline-Surrogat“ für gelebte Kommunikation. Aus dieser Einsicht erwächst der Zivilgesellschaft die Pflicht, eine Balance zwischen dem Virtuellen und dem Realen zu suchen. Netzaktivitäten sind dann besonders erfolgreich, wenn sie begleitende Initiativen und Bindungen außerhalb der Cyberwelt zur Folge haben.

Auch im Netz nach europäischen Werten leben und handeln
Cyberschutz hat alle Qualitäten, die es braucht, um diese Aussöhnung gelingen zu lassen. Dort wo der Staat, die Unternehmen und die Menschen für europäische Werte einstehen, werden sie auch in ihren Netzlandschaften nach diesen Werten streben. Informations- und Netzsicherheit sind nach diesen Maßstäben mehr als nur die einer konzertierten technologischen Kapazität geschuldete Fähigkeit, Daten, intellektuelle Eigentumsrechte und akkumuliertes Wissen vor unbefugtem Zugriff zu sichern. Cybersicherheit kann so zum Enabler einer einzigartigen, in ihrer Gesamtheit nur schwer verletzbaren europäischen Kultur werden, die auch im Netz ihre Selbstreinigungskraft gegenüber dem gesellschaftlich Unerwünschten unter Beweis stellt.

Informations- und Netzsicherheit müssen gerade in diesen dynamischen Jahren des Strebens nach der Vollendung des digitalen Binnenmarktes zum kategorischen Imperativ werden. Wir müssen mit nationalen Innovationsclustern die Zusammenarbeit zwischen Wissenschaft und Forschung und der Fertigungsindustrie für Soft- und Hardwarelösungen im Bereich Datenschutz und Netzsicherheit stärken und dabei auch die Start-ups sowie die Klein- und Mittelunternehmen mit ins Boot holen. Wir müssen die Ausbildungs-Curricula im Bereich Cyberschutz schärfen und an die neuesten Bedrohungen anpassen. Und wir Unternehmen der IT-Wirtschaft müssen Bewusstsein und Angebote für den sicheren Umgang mit digitalen Daten und daraus resultierenden europäischen Technologieentwicklungen in der ganzen Breite der heute anstehenden gesellschaftlichen Herausforderungen schaffen.

IT-Grundschutz sollte in jedem einzelnen Unternehmen bereits gelebte Wirklichkeit sein. Obwohl es keinen Mangel an Informationen zur Umsetzung von IT-Sicherheitsstrategien in den Unternehmen gibt, hat sich die Sensibilität für den richtigen Umgang mit IT-Systemen noch nicht einmal gegenüber elementaren Gefahrenquellen wie E-Mail-Anhängen zweifelhafter Herkunft, geschweige denn in der heute erforderlichen Reichweite über alle Komponenten und Ressourcen eingesetzter IT hinweg durchgesetzt. Zu viele KMUs laborieren noch an Schwachstellen beim passwortgeschützten Zugang ins Firmennetz, bei Virenschutz, Daten-Backups, Patch-Management oder Verschlüsselung, vom Einsatz einer voll rechtstauglichen IT-Compliance ganz zu schweigen. Eine Firewall alleine ist in Zeiten von Advanced Persisent Threats (APTs), von Phishing, Account Hijacking durch Men-in-the-Middle-Attacken, CEO-Fraud oder durch Ransomware, Botnets und DDoS nur noch ein unzureichender Cyberschutz. Die mit dem Aufkommen von BYOD (Bring Your Own Device) entstehende Schatten-IT und die damit verbundenen Insider-Gefahren haben die Fragilität schlecht geschützter Firmennetzwerke in den letzten Jahren noch einmal kräftig anwachsen lassen. In nur wenigen Großunternehmen gibt es durchdachte Konzepte für ein MDM (Mobile Device Management) mit strukturiert festgelegten Zugriffsrechten auf Dokumente und Unternehmensressourcen in Abhängigkeit von definierten Jobprofilen. Mit dem Aufkommen vieler neuer Anwendungen, die aus dem Zusammenschluss von IT wie z. B. industriellen Kontrollsystemen mit Sensorik-Anwendungen zu CPS (cyber-physikalische Systeme) resultieren, werden sich die Angriffsflächen für Datenklau und -missbrauch weiter potenzieren. Für die Unternehmen jeder Größenordnung heißt dies, sich jetzt schnell und umfassend im IT-Grundschutz zu profilieren, damit der Übertritt in die digitale Wirtschaft nicht zum unbelohnten Wagnis wird.

Die Standards zum IT-Grundschutz des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben darüber Aufschluss, wie ein effektives Managementsystem für Informationssicherheit (ISMS) konzipiert werden kann. Dazu werden die vom Bundesamt über Jahre entwickelten IT-Grundschutzkataloge herangezogen, mit denen Basis-Sicherheitskonzepte für typische Prozesse, Anwendungen und Komponenten in der Informationstechnik erstellt werden können. Diese sind nach einem Schichtenmodell in fünf Bündeln (Bausteinen) zusammengefasst: 

  • übergreifende Aspekte der Informationssicherheit wie z. B. Personal, Datensicherung, Outsourcing, 
  • baulich-technische Gegebenheiten, 
  • IT-Systeme wie Clients, Server, TK-Anlagen, Laptops und Mobiltelefone,
  • Vernetzungsaspekte wie WLAN, VoIP, Netz- und Systemmanagement 
  • und die eigentlichen Anwendungen wie z. B. E-Mail, Webserver und Datenbanken. 

Diese Beschreibungen weisen die relevanten Gefährdungen und die relevanten Standard-Schutzmaßnahmen auf. Stark vereinfacht gesagt muss eine IT-Sicherheitsstrategie über die Stufen Strukturanalyse, Risikoanalyse, Umsetzung und Konsolidierung der evaluierten Sicherheitsmaßnahmen, Qualitätskontrolle und Zertifizierung sowie darauf aufbauend der Erstellung eines Not- (Aus-)fall-Konzeptes (Recovery-Plan) entwickelt werden.

Die vielen kleineren und mittleren Unternehmen, die angesichts dieser komplexen Herausforderungen jetzt am liebsten kapitulieren würden und aus Angst vor Cybergefahren entweder die Digitalisierung aufschieben oder mit lückenhafter IT-Security weiterwursteln und einfach nur hoffen, von Attacken verschont zu bleiben, kann ich beruhigen. Es gibt viele erfahrene Dienstleister, die den KMUs bei Informations- und Netzsicherheit unter die Arme greifen können. So haben z. B. wir bei Fabasoft die Erfordernisse eines wirksamen Cyberschutzes mit allen unseren Lösungen bereits „by default“ und „by design“ umgesetzt. Unsere Branche versteht sich seit jeher als Treuhänder für die anvertrauten Kundendaten und kann somit aus der Tradition des sicherheitsorientierten Software-Engineerings Kundenlösungen mit allen erforderlichen Security-Funktionalitäten anbieten. Wer daher als Unternehmer beim Thema Informations- und Netzsicherheit auf die Auslagerung seiner Daten in die sichere Umgebung eines hochsicheren Cloud-Ökosystems setzt, hat gut für die Zukunft vorgesorgt.

Die Mobilisierung der KMUs für Cyberschutz, auch angesichts der neuen Datenschutz-Grundverordnung sowie eine auf höchstem Niveau realisierte Netz- und Informationssicherheit bei kritischen Infrastrukturen in der EU (auf Basis der NIS-Richtlinie), mit der viele neue Rechenschaftspflichten auf Auftragsdatenverarbeiter und Infrastrukturbetreiber zukommen werden, ist uns daher in diesem Countdown-Jahr ein großes Anliegen. 

Aus Sicht unseres Themas sind insbesondere die Verpflichtungen gemäß Art. 32 und 35 der DSGVO relevant, welche die Sicherheit der Verarbeitung personenbezogener Daten bzw. die verpflichtende Durchführung einer Datenschutz-Folgeabschätzung bei Annahme eines besonderen Risikos zum Inhalt haben. Die Sicherheit in der Verarbeitung zielt mit Verfügbarkeit, Belastbarkeit (Resilience), Vertraulichkeit und Integrität auf eine gemeinsame Schnittmenge aus Datenschutzvorgaben und Informationssicherheit. Für beide Nachweispflichten ist die Führung des Verarbeitungsverzeichnisses Grundlage der Umsetzung und muss den Namen des Verfahrens, den Zweck der Verarbeitung, interessierte Parteien und die verantwortliche Stelle enthalten. 

Mit dem Einschluss interessierter Parteien hat der Gesetzgeber auf die vielfältigen Wechselprozesse bei Verarbeitung und Weiterleitung von personenbezogenen Daten Bezug genommen. Wir als Fabasoft haben in unseren Softwaresystemen mit dem zentralen B2B Content-Management-Ansatz immer schon diese Stoßrichtung verfolgt und sind damit bei der Verwaltung, Bearbeitung und beim Transport der uns anvertrauten Kundendaten bestens auf die neuen Rechtsvorschriften vorbereitet. DS-GVO-Schutz im Sinne der Rechte und Freiheiten natürlicher Personen gilt immer auch im Verarbeitungsverbund.

In nationaler Vollziehung der NIS-Richtlinie müssen bis nächstes Jahr sämtliche Betreiber kritischer Infrastrukturen (z. B. Telekommunikation, Energieversorger etc.), auf welche die Bestimmungen angewandt werden sollen, benannt sein. Fabasoft macht sich insbesondere vor dem Hintergrund neuer aufkommender Auslagerungen von Netzfunktionalitäten wie SDN (Software Defined Network) oder NFV (Network Function Virtualization) in Cloud-Umgebungen dafür stark, dass auch Cloud-Anbieter bzw. im Abwägungsfall leistungsstarke OTT-(Over-the-Top)-Provider wie Plattformbetreiber als monopolartige Schnittstelleninhaber mit großer Reichweite und Kundenanzahl allenfalls als kritische Infrastruktur im Sinne von NIS eingestuft werden.

Zum Abschluss meines Statements über die universelle Bedeutung einer durchgehenden, nachhaltigen Informations- und Netzsicherheit möchte ich nochmals meinen heuer schon mehrmals ausgesprochenen Appell an die heimische wie auch die europäische IT-Security-Wirtschaft aussprechen: Unser Land und unser Kontinent müssen ihre herausragenden wissenschaftlichen und ökonomischen Ressourcen bündeln und dafür nutzen, Europa in den kommenden Jahren bei Cyber-Security zum weltweiten Vorzeigemodell zu machen. Gerade in den aufkommenden Trends wie z. B. quantenphysikalischer Verschlüsselung, schlüsselloser Datensicherung mittels „Secret Sharing“, dem Einsatz von künstlicher Intelligenz und von Machine Learning in der Big Data-Analyse und zur Anomalie-Erkennung oder von Blockchain-Technologie für Informations- und Netzsicherheit sowie dem massiven Ausbau sicherheitstechnisch robuster Lichtwellenleiter-Netze brauchen wir im Geiste Alpbachs neue und vertiefte Kooperationen der besten Köpfe aus Informatik und Netzwirtschaft, um als Europa ganz vorne mitzuspielen.

 

Helmut Fallmann
Mitglied des Vorstandes

Vor fast drei Jahrzehnten gründete Helmut Fallmann gemeinsam mit Leopold Bauernfeind die Unternehmensgruppe Fabasoft. Heute ist er Mitglied des Vorstandes der Fabasoft AG. Fabasoft hat sich zu einem führenden europäischen Softwareprodukthersteller und Cloud-Dienstleister mit Sitz in Linz, Österreich, entwickelt.

Tags

Digitalisierung
Europäisches Forum Alpbach
Sicherheit

Diesem Blog folgen

To prevent automated spam submissions leave this field empty.