Sicherheit im globalen Netz

Transkript

1 1 Februar regio it REGIONALAUSGABE Zeitschrift der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister e.v. MOBILITY BROKER Mobilitätsangebote per App KUNDENBEIRAT DER REGIO IT zieht erste Bilanz Sicherheit im globalen Netz Cloud-Lösung weckt Interesse bei Bildungseinrichtungen

2

3 \ EDITORIAL Wer bin ich und wenn ja wie viele? Wäre die Netzpolitik eine Person, könnte sie sich jetzt diese Frage stellen. Denn nun ist sie da: die Lösung für die Verankerung von Netzpolitik in der neuen Bundesregierung. Kein Internetministerium, sondern die Verteilung der Fragestellungen auf viele Ministerien. Dies, liebe Leserinnen und Leser, kann man begrüßen, weil endlich die Erkenntnis gereift ist, dass der Übergang in die digitale Gesellschaft so viele Facetten und Perspektiven hat, dass man die Verantwortung nicht einem Ressort übertragen kann. Dies kann man scharf kritisieren, weil die Gefahr besteht, dass viele Köche den Brei verderben. Zu konstatieren ist, dass es nie zuvor eine Bundesregierung gab, in der Netzpolitik, Fragen der Digitalisierung von Staat, Wirtschaft und Gesellschaft einen solchen Stellenwert hatten. Es scheint erkannt zu sein, dass die Entwicklung der digitalen Gesellschaft Leitplanken, Regeln und Gestaltungsräume braucht, die politisch ausgestaltet werden müssen. Dies unterstreicht auch der neue Ausschuss im Bundestag für Internet und digitale Gesellschaft. Die Verteilung der Themen auf verschiedene Ministerien birgt aber auch Gefahren: vor allem des Gerangels um Zuständigkeiten. E-Government, Sicher heit und Datenschutz bei Inneres, Smart Grids und IT bei Wirtschaft und Energie, Breitbandausbau und Telekommunikation im Ministerium für Verkehr und digitale Infrastruktur, Verbraucherschutz und Urheberrecht im Justizministerium, Jugendschutz im Web bei Familie um nur die wichtigsten Ministerien zu nennen. Da es zwischen den Themen Schnittmengen gibt, wird die Kunst darin bestehen, die Fäden zusammenzuhalten und klare Verantwortlichkeiten zuzuweisen. Hier kommt dem Bundestagsausschuss eine vornehme Aufgabe zu. Zudem wird die Qualität einer digitalen Agenda Einfluss auf die Qualität politischer Entscheidungen haben. Das wichtigste wird jedoch sein, dass sich die Verantwortlichen einer gemeinsamen Sache verpflichtet fühlen. Lähmung durch Kompetenzgerangel kann sich die Bundesregierung bei den rasanten Entwicklungen im IT-Umfeld nicht erlauben. Die nächsten Monate werden lehren, welche Energie die Akteure in die Inhalte der Netzpolitik stecken und welche in die Debatte um Zuständigkeiten. Die öffentlichen IT-Dienstleister und ihre Kunden, die Kommunen, werden die Entwicklung aufmerksam verfolgen. Der kommunale Raum braucht Entscheidungen des Bundes, zunächst als Rahmenbedingung. Für den kommunalen Entscheidungsraum wäre aber genauso wünschbar, wenn die digitale Agenda auf Bundesebene Strahlwirkung auf die anderen Ebenen entfalten könnte. An der Ausgestaltung wirken wir gern mit. In diesem Sinne wünschen eine gute Lektüre Peter Kühne, Vorstandsvorsitzender, Dr. Marianne Wulff, Geschäftsführerin, Vitako Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister. 3

4 \ IMPRESSUM \ INHALT Herausgeber: Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister e. V. Markgrafenstr Berlin Tel. 030 / redaktion@vitako.de V.i.S.d.P.: Dr. Marianne Wulff Die Redaktion behält sich vor, eingesandte Berichte auch ohne vorherige Absprache zu kürzen. Der Inhalt der Beiträge gibt nicht in jedem Fall die Meinung des Herausgebers wieder. Alle Rechte vorbehalten. Nachdruck oder elektronische Verbreitung nur mit Zustimmung des Herausgebers. Realisation: Goergen Kommunikation GmbH Lungengasse Köln - Redaktion: Anne Goergen, Michael Wayand, Kai Ortmann - Grafik: Nicola Gabriel Erscheinungsweise: 4 Ausgaben im Jahr Auflage: Lektorat: Ursula Barthel Grafikdesign, Bremen ub-grafikdesign@t-online.de Regionalausgaben: Konzeption, Layout, Satz und Lektorat Ursula Barthel Grafikdesign, Bremen ub-grafikdesign@t-online.de Litho u. Druck: köhler + bracht GmbH & Co. KG, D Rastede/Wahnbek Bildnachweise: Bayerisches Staatsministerium der Finanzen (S. 13); Bergische Universität Wuppertal (S. 25); Bundesministerium des Innern (S.9, 17); Deutscher Städte- und Gemeindebund (S. 27); Donau-Universität Krems (S. 23); FH Aachen (S. 19); Fraunhofer FOKUS (S. 29); Gesellschaft für Informatik e.v. (S. 31); Götz Hamann (S. 7); Innenministerium Nordrhein-Westfalen (S. 32); Stadt Karlsruhe (S. 25); KDVZ citkomm (S. 11); Stadt Köln (S. 27); Kommunales Rechenzentrum Minden-Ravensberg/Lippe (S. 11); KRZN (S. 18); regio it (S. 15); Sächsisches Staatsministerium der Justiz (S. 21); Thinkstock/istockphoto: Greg Epperson (Titel), Themacx (S. 6), maxkabakov (S. 8), Studio-Annika (S. 10), Fesus Robert (S. 14), Merydolla (S. 16), vitanovski (S. 16), carloscastilla (S. 20), Bob Dorn (S. 24), Bordei Liana Monica (S. 31); Thinkstock/ moodboard: moodboard (S. 19), Mike Watson (S. 28); Thinkstock/Digital Vision (S. 12); Thinkstock/Fuse (S. 18); Thinkstock/ Hemera: Daniel Kaesler (S. 22) Autoren dieser Ausgabe: Dr. Wilfried Bernhardt, Sächsisches Staatsministerium der Justiz und für Europa Hartmut Beuß, Ministerium für Inneres und Kommunales Nordrhein-Westfalen Prof. Dr. Roland Goertz, Bergische Universität Wuppertal Arnd Gottschalk, FH Aachen Franz-Reinhard Habbel, Deutscher Städte- und Gemeindebund Götz Hamann, Die Zeit Reinhold Harnisch, Kommunales Rechenzentrum Minden-Ravensberg/Lippe Heiko Hartenstein, Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) Guido Kahlen, Stadt Köln Clara Landler, Donau-Universität Krems Dr. Andreas Mück, Bayerisches Staatsministerium der Finanzen Dr. Michael Neubauer, KDVZ citkomm Alexander Rabe, Gesellschaft für Informatik e.v. Dr. Peter Parycek, Donau-Universität Krems Dieter Rehfeld, regio IT Martin Schallbruch, Bundesministerium des Innern Rudi Schneider, Kommunales Rechenzentrum Niederrhein Dr. Joachim Sturm, Bundesministerium des Innern Dr. Björn Weiße, Stadt Karlsruhe Christian Wittig, Fraunhofer-Institut für Offene Kommunikationssysteme (FOKUS) Hinweis: Vitako aktuell erscheint zusätzlich mit 3 Regionalausgaben: Ausgabe krz Lemgo Ausgabe Lecos Leipzig Ausgabe regio it Der Vertrieb erfolgt durch das jeweilige Vitako-Mitglied. ISSN SICHERHEIT IM GLOBALEN NETZ 6 Zeit des Aufbruchs Nach den Spähskandalen setzt die Politik auf neue Methoden, aber es gibt noch unklare Zuständigkeiten, wie Zeit-Autor Götz Hamann feststellt. 8 Der Bedrohung begegnen Die Bundesregierung sieht die IT-Sicherheit als prioritäres Handlungsfeld, schreibt Martin Schallbruch, IT-Direktor im Bundesinnenministerium. 10 Schein oder nicht Schein? Machen die BSI-Grundschutzkataloge für kommunale IT-Dienstleister sinn? Über diese Frage diskutieren Reinhold Harnisch, Geschäftsführer des krz Lemgo, und Dr. Michael Neubauer, Geschäftsführer KDVZ citkomm. 12 Vereint handeln! Über die Leitlinie für Informationssicherheit des IT-Planungsrates als Blaupause für die Verwaltung in Bund, Ländern und Kommunen schreibt Dr. Andreas Mück vom Bayerischen Staatsministerium der Finanzen. 14 Inseln des Vertrauens Dezentrale kommunale Strukturen und IT-Dienstleister können entscheidend zur IT-Sicherheit beitragen und Vertrauen erzeugen, meint Dieter Rehfeld, Vorsitzender der Geschäftsführung bei der regio it. 16 Treffsicheres Konzept Das nationale Waffenregister bietet Anknüpfungspunkte für föderale E-Government Strukturen. Dr. Joachim Sturm, Referatsleiter im Bundesinnenministerium, erläutert warum. 18 Volle Übersicht Rudi Schneider, verantwortlich für die Öffentlichkeitsarbeit im KRZN, erklärt den Zertifizierungsprozess in seinem Haus. INNOVATION UND KOMMUNALVERWALTUNG 19 Solide Grundlage Die Technik allein reicht nicht, die Energiewende braucht auch gut ausgebildete Fachleute. Arnd Gottschalk von der FH Aachen stellt den Studiengang Energiewirtschafts-Informatik vor. 20 Mit Weitblick geplant Sachsen gibt sich ein eigenes E-Government-Gesetz, das in Teilen noch weiter geht als die Vorgabe aus dem Bund. CIO Dr. Wilfried Bernhardt erklärt die Gemeinsamkeiten und Unterschiede. 22 Serie: Open Government in Europa Österreich Die offene Bereitstellung von Verwaltungsdaten ist in Europa unterschiedlich weitverbreitet. Dr. Peter Parycek und Clara Landler von der Donau- Universität Krems geben einen Überblick über den Stand in Österreich. 24 Auf alles vorbereitet Dr. Björn Weiße, Leiter des Ordnungsamtes Karlsruhe, und Prof. Dr. Roland Goertz von der Bergischen Universität Wuppertal schildern kommunale Vorbereitungsstrategien auf den Katastrophenfall. 4

5 \ INHALT VERWALTUNG DER ZUKUNFT 26 Internet für alle! Ungehinderter Zugang zum Internet ist durchaus ein Standortfaktor im Wettbewerb der Regionen, wie Kölns Stadtdirektor Guido Kahlen bei der Vorstellung der Pläne der Domstadt erläutert. Franz-Reinhard Habbel vom DSt- GB fordert auch bessere rechtliche Grundlagen. 28 Vernetzung neu denken Heiko Hartenstein vom Fraunhofer FOKUS berichtet über erste Ergebnisse einer Studie seines Instituts zu den Vorteilen der Nutzung sozialer Netze in der öffentlichen Verwaltung und den nötigen Voraussetzungen. RUBRIKEN 30 Web-Check: Digitale Debatte Vitako aktuell nimmt im Web 2.0 Check den Internetauftritt der Landeshauptstadt Dresden unter die Lupe. 31 Bitte mitreden! Das Wissenschaftsjahr 2014 steht unter dem Motto Die digitale Gesellschaft. Zu einem guten Gelingen gehört vor allem eine rege Beteiligung von Bürgern, Verwaltung und Forschung, findet Alexander Rabe von der Gesellschaft für Informatik e. V. (GI). 32 Vitako fragt... Hartmut Beuß, CIO des Landes Nordrhein-Westfalen 33 Vitako antwortet... Dr. Ulrich Maly 34 Vitako Panel 34 ProVitako 35 In eigener Sache 35 Termine 35 Vorschau auf die nächste Ausgabe Wer die besonderen Anforderungen öffentlicher Auftraggeber erfüllen will, muss sie verstehen. Dazu gehört die Fähigkeit, über den eigenen Horizont hinauszublicken. Bechtle handelt vernetzt, mit klarem Fokus auf die Zielgruppe und ist als anerkannter Partner öffentlicher Auftraggeber etabliert. Europaweit. Es geht immer ums Ganze. Die IT-Landschaft befindet sich im Wandel: Technologie verändert sich und mit ihr die Ansprüche der Kunden. Um hohe Ziele zu erreichen, brauchen öffentliche Auftraggeber einen starken IT-Partner, der herstellerunabhängig moderne, sichere und effiziente Lösungen anbietet. Und nie den Blick fürs Ganze verliert. Geschäftsbereich Öffentliche Auftraggeber Karl-Heinz Heithaus Branchenmanager Kommunen 5 SYHXXXX_ANZ_ÖA_Schwarm_180x122_01_2014.indd :47

6 \ SICHERHEIT IM GLOBALEN NETZ Zeit des Aufbruchs Hohe Internetkompetenz in der großen Koalition Die Politik reagiert auf die großen Spähskandale des Jahres 2013 und setzt auf mehr nationale Kom petenz und bessere Verschlüsselung allein die Zuständigkeiten sind noch unübersichtlich. Das mächtigste Land Europas steht wie ein digitaler Tölpel da. Die deutsche Industrie baut keine eigenen Handys und Computer mehr. Ausländische Geheimdienste belauschen die Kanzlerin und lesen s von ganz normalen Bürgern routinemäßig mit. Was tun? Wo anfangen? Öffentlich äußert sich die Bundeskanzlerin praktisch nicht zur Affäre um den US-Geheimdienst NSA. Aber wer sich die neue Regierung in Berlin anschaut, wird erkennen, dass Union und SPD auf die Ereignisse reagiert haben. Die größte Überraschung war sicherlich, dass es nun einen halben Internetminister gibt. Was Alexander Dobrindt wird leisten können, muss sich zeigen. Aber auch beim ersten Umweltminister, er hieß Walter Wallmann, war es wichtiger, dass es ihn gab, als das, was er vermochte. Zudem ist mit Thomas de Maizière ein Politiker ins Innenministerium zurückgekehrt, der digitalpolitische Expertise besitzt. Und, von vielen übersehen, kehrt Brigitte Zypries als Staatssekretärin fürs Digitale unter Wirtschafts- und Energieminister Sigmar Gabriel auf die große Berliner Bühne zurück. Zypries kennt die Fährnisse des Themas aus ihrer Zeit als Bundesjustizministerin gut. Sie hat das Urheberrecht ans Internetzeitalter angepasst. Kurz gesagt, die große Koalition vereint mehr Internetkompetenz als alle ihre Vorgänger. An dieser Stelle ist noch nicht einmal erwähnt, dass der neue Generalsekretär der CDU, Peter Tauber, in der Union vor einigen Jahren das cnetz mit gegründet hat, in dem er Digitalpolitiker aus der Union um sich versammelte. Die Union will die Netzpolitik in der Regierung sichtbar verankern, sagte Tauber während der Koalitionsgespräche, und was damals noch realitätsfern klang, ist nun Realität. Die Digitalpolitik ist eines der zentralen Themen in Berlin. Geschwindigkeit contra Sicherheit Die Regierung hat im Prinzip sinnvolle erste Schlüsse aus der Überwachungs-Affäre gezogen. Denn wer nicht die Verschlüsselung aller elektronischen Kommunikation vorantreibt, macht den gleichen Fehler, den Google über Jahre hinweg begangen hat. Im vergangenen Herbst wurde ja offenbar, dass die NSA jahrelang Googles größte Schwäche ausgenutzt hat: die Sucht nach Geschwindigkeit. Je schneller die Suchmaschine die Antwort auf egal welche Frage gibt, umso häufiger kommen die Menschen wieder. Der Chef über die Rechenzentren und Datenleitungen bei Google, Urs Hölzle, hat das in nicht weniger als ein Glaubensbekenntnis gefasst, das Evangelium der Geschwindigkeit (gospel of 6

7 \ SICHERHEIT IM GLOBALEN NETZ speed). Er rechnet dort vor: Verzögert sich eine Suchanfrage um 400 Millisekunden, sinkt die Zahl der Suchanfragen um ein halbes Prozent. Wird Google langsamer, wenden sich Nutzer ab, sinken Werbeeinnahmen und Gewinn, sinkt der Aktienkurs, werden die Konkurrenzunternehmen stärker. Deshalb ist Google auf Speed. Verschlüsselung stellt in dieser Hochgeschwindigkeitswelt ein Problem dar und damit auch für die Unternehmen traditioneller Branchen sowie für die Verwaltung: Denn Verschlüsselung bremst. Der weit verbreitete SSL-Standard wirkt auf die Leistung einer Internetseite, als würde man einen Motor von 200 auf 100 PS drosseln. Google wollte das nicht und hat seine enormen Datenströme lange nicht verschlüsselt, was wiederum die NSA offenbar ausgenutzt hat. Insofern legen die Ereignisse den Schluss nahe: Traue keinem Internetunternehmen, das von sich behauptet, seine Techniker hätten alles im Griff. Und: Wer nicht verschlüsselt, bekommt ein Problem. Darum ist Verschlüsselung die zentrale Technologie für eine sicherere IT-Infrastruktur, weil nur sie gewährleistet, dass Daten durch öffentliche Netze transportiert werden und doch nicht enthüllt werden. Verschlüsselung macht Daten für Angreifer bestenfalls nutzlos, in jedem Fall aber erhöht sie den Aufwand des Lauschers. Diese Schlüsseltechnologie ist aber keine, die man bedenkenlos in anderen Ländern kauft. Sichere, stärkere Verfahren made in Germany sind deshalb kein Arbeitsbeschaffungsprogramm für Mathematiker. Sie tragen vielmehr dazu bei, staatliche Souveränität im Digitalen wiederzugewinnen und zu verteidigen und in den Unternehmen die Quellen des Wohlstands zu schützen. Alles in allem entsteht also das Panorama einer Welt, in der verschiedene Schichten von IT-Sicherheit einander überlagern und manchmal miteinander konkurrieren werden. Niemand verspricht in dieser Welt einen hundertprozentigen Schutz. Aber sowohl im Koalitionsvertrag als auch in einer von einem großen Unternehmen der Branche in Bonn organisierten Sicherheitstagung im vergangenen Herbst war der Wille erkennbar, Spionen das Leben schwer zu machen und für mehr Sicherheit zu sorgen. Digitalpolitik zuständig und wird nicht aus einem massiven Interessenkonflikt erlöst. Zunächst ist er für die Innere Sicherheit zuständig, für Terrorabwehr und Verbrechensbekämpfung. Wie soll er da zugleich eine Verschlüsselung fördern, an der selbst Supercomputer scheitern oder unbefangen Datenschutz-Gesprächsrunden mit großen Internetkonzernen organisieren? Wenn sich der Innenminister in den vergangenen 15 Jahren entscheiden musste, ob er dem deutschen Geheimdienst und der Polizei mehr Zugriffsrechte gewährt oder ob er dafür sorgt, dass sich jedermann im Netz unsichtbar machen kann, hat er stets die Ermittler-Interessen bedient. Diese politische Linie zieht sich vom Großen Lauschangriff über die Vorratsdatenspeicherung bis hin zum Bundestrojaner. Vollkommen unerheblich war dabei, ob ein SPD-, CDU- oder CSU-Vertreter das Ministerium führte. Jeder Innenminister versteht sich zuallererst als Sicherheitsminister, und seine größte Sorge muss es sein, eines Tages vor einem Leichenberg zu stehen, weil er einen Terroranschlag nicht verhindern konnte. Mit dieser Sorge wird er abends einschlafen, und mit ihr wird er aufwachen. Für ein Internetministerium Deshalb wäre es nur logisch, wenn der Innenminister die Dienstaufsicht über den Bundesdatenschutzbeauftragten abgegeben hätte. Zugleich müsste er auf jene Abteilungen verzichten, die für IT zuständig sind, für Verwaltungsreformen und E-Government. Sie wären besser im Bundeswirtschaftsministerium in seinem aktuellen Zuschnitt aufgehoben oder beim Bundesjustizminister; und in der Zukunft könnten sie den Grundstock für ein eigenständiges Internetministerium bilden. Damit allein wäre ein eigenständiges Ministerium noch nicht einflussreich. Es bedürfte dann weiterer Abteilungen aus dem Wirtschaftsministerium, die sich mit Telekommunikation, E-Commerce und sicherer Datenverarbeitung befassen. Am Ende würde so ein Minister sein politisches Schicksal mit dem Aufbau einer sicheren Internet-Infrastruktur verbinden und mit dem Schutz jedes Bürgers im Digitalen. Wieso das bedeutsam ist, zeigt die Geschichte des Bundesumweltministeriums. Seit für dessen Politikfeld in den achtziger Jahren ein eigenständiges Ressort geschaffen wurde, hat die deutsche Umweltpolitik eine Struktur und politisches Gewicht. Auslöser war 1986 die Reaktorkatastrophe von Tschernobyl, ein Ereignis von historischem Rang, das auch den führenden bürgerlichen Politikern klarmachte: Umweltpolitik ist von nun an zu wichtig, um sie auf viele Häuser zu verteilen. Auch damals leistete das Bundesinnenministerium einen Beitrag fürs neue Ressort: Es gab die Aufsicht über die Reaktorsicherheit ab. Eine Frage der Zuständigkeit Einen zentralen Webfehler der bisherigen Netzpolitik hat die Kanzlerin allerdings nicht behoben: Der Innenminister ist weiterhin für weite Teile der Götz Hamann ist stellvertretender Leiter des Wirtschaftsressorts der Wochenzeitung Die Zeit. 7

8 \ SICHERHEIT IM GLOBALEN NETZ Der Bedrohung begegnen Die Bundesregierung stellt sich der Herausforderung Cyber-Sicherheit Die Bewältigung der Vertrauenskrise in die IT-Systeme ist für das Bundesministerium des Innern zugleich eine technische und psychologische Aufgabe. Deutschland steht am Beginn einer neuen Stufe der Digitalisierung und zwar mit gesamtgesellschaftlicher Bedeutung: der Digitalisierung der Infrastrukturen. Für unsere zukünftige Energieversorgung brauchen wir beispielsweise ein digitalisiertes Elektrizitätsversorgungsnetz einschließlich elektronischer Stromzähler. Für eine intelligente und ressourcensparende Mobilität und die Erhöhung der Sicherheit im Straßenverkehr ist Verkehrstelematik von größter Bedeutung. Im Gesundheitswesen sind durch verstärkten IT-Einsatz sowohl Qualitätssteigerungen als auch eine erhöhte Wirtschaftlichkeit erreichbar. Die konsequente Digitalisierung von Infrastrukturen und Komponenten eröffnet einerseits erhebliche Innovationschancen und Potenziale, erfordert aber andererseits auch höchste Aufmerksamkeit hinsichtlich der Sicherheit der digitalen Netze. Dafür braucht es neue ganzheitliche und übergreifende Konzepte. Dabei greifen technische Sicherheit und das Vertrauen der Menschen ineinander. Die Diskussionen rund um PRISM, Tempora und andere Kürzel zeigen, welche Möglichkeiten der Kompromittierung von digitalen Systemen bestehen. Angreifer aller Art suchen gezielt nach Methoden, um in die jeweilige Steuerung eingreifen zu können und Systeme per Mausklick zu infiltrieren oder zu beschädigen. Dies hat in allen Umfragen erkennbar das Vertrauen in die IT und das Internet beeinträchtigt und gleichsam zu einer Bewusstseinsschärfung rund um das Thema Datenschutz und Datensicherheit geführt. Schutz der Bürger Der Koalitionsvertrag von CDU/CSU und SPD als politische Grundlage der Arbeit der neuen Bundesregierung adressiert diese Vertrauenskrise direkt. Die Koalition will Cybersicherheit und Datenschutz mit Nachdruck angehen und legt den Schwerpunkt vor allem auf den Schutz der Bürgerinnen und Bürger sowie der Unternehmen in Deutschland. Sicheres Verhalten im Netz, der Einsatz von Sicherheitstechnik wie D , neuer Personalausweis oder Ende-zu-Ende-Verschlüsselung werden gefördert. Ein Ausbau der Hilfestellungen für Bürger und Wirtschaft durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder auch den Verein Deutschland sicher im Netz e.v. ist geplant. Das Ziel muss sein, dass sich die Menschen und Unternehmen in Deutschland im Cyberraum frei und sicher bewegen können und auf die bestmöglichen Sicherheitsmaßnahmen Zugriff haben. Eine besondere Verantwortung liegt bei den Providern, die teilweise bereits intensive Maßnahmen zum Schutz ihrer Kunden ergreifen, teilweise aber noch weit hinter ihren Möglichkeiten zurückbleiben. Diejenigen, die für die Kerninfrastruktur Internet naturgemäß eine besondere Verantwortung haben, müssen dieser auch gerecht werden und dazu beitragen, das Internet sicher und verfügbar zu halten. Insbesondere ist es erforderlich, dass die Provider ihre Nutzer in die Lage versetzen, von den Nutzersystemen ausgehende Gefährdungen zu erkennen und soweit möglich auch zu beseitigen. Wegen der zunehmenden Verbreitung von Schadsoftware über das bloße Ansurfen von Webseiten sogenannter drive-by exploit müssen im Übrigen auch die professionellen Webseitenanbieter mehr für die Sicherheit des Gesamtsystems tun als bisher. Insbesondere ist es erforderlich, dass sie angemessene Maßnahmen zum Schutz gegen unerlaubte Zugriffe treffen. Schutz der Infrastrukturen Ein zweiter großer Schwerpunkt des Koalitionsvertrages im Punkt Cybersicherheit ist der Schutz der kritischen Infrastrukturen. Aus Gesprächen mit Vertretern der relevanten Sektoren ist bekannt, dass das Schutzniveau dort sehr unterschiedlich ist und große Lücken insbesondere in bisher nicht regulierten Branchen bestehen. Aufgrund der möglichen Folgen eines Ausfalls oder einer Beeinträchtigung müssen Schwachstellen aber verschwinden. Beinahe täglich erreichen das Bundesinnenministerium Nachrichten über Cyber-Angriffe auch 8

9 \ SICHERHEIT IM GLOBALEN NETZ Abgeschirmt: Der Schutz der IT-Systeme muss vor allem technisch erfolgen, setzt aber auch eine sensibilisierte Denkweise voraus auf kritische Infrastrukturen. Exemplarisch hierfür steht der Fall des weltweit größten Öl-Produzenten Saudi Aramco aus dem letzten Jahr, bei dem Rechner des Unternehmens mit einem Virus infiziert wurden und ausgetauscht werden mussten. Angesichts der Bedrohungslage und aufgrund der ständig wachsenden Abhängigkeit von der IT, sind widerstandsfähige IT-Systeme und Netze flächendeckend für alle wichtigen Infrastrukturbereiche zwingend erforderlich. Daher ist es nötig, die Betreiber kritischer Infrastrukturen, die auf Grund der möglichen Folgen eines Ausfalls oder einer Beeinträchtigung naturgemäß eine besondere gesamtgesellschaftliche Verantwortung haben, zu einer Verbesserung des Schutzes der von ihnen eingesetzten Informationstechnik und zur Verbesserung ihrer Kommunikation mit dem Staat anzuhalten, die Telekommunikations- und Telemediendiensteanbieter, die eine Schlüsselrolle für die Sicherheit des Cyberraums haben, stärker als bisher hierfür in die Verantwortung zu nehmen und das BSI als nationale IT-Sicherheits-Behörde in seinen Aufgaben und Kompetenzen zu stärken. Dabei muss das Maß der Selbstregulierung so hoch wie möglich sein. Die geforderten Mindeststandards hinsichtlich der IT-Sicherheit kritischer Infrastrukturen sollten die betroffenen Verbände und Betreiber als branchenspezifische Standards maßgeblich selbst entwickeln und anschließend staatlich anerkennen lassen. Verbesserter Informationsfluss Insgesamt soll für alle Beteiligten ein Mehrwert entstehen. Eine Meldepflicht bei erheblichen IT-Sicherheitsvorfällen dient daher insbesondere dazu, ein valides Lagebild zu erstellen. Damit kann das BMI die Betreiber kritischer Infrastrukturen ihrerseits mit den maßgeblichen aus den Meldungen generierten Informationen versorgen und somit besser aufstellen. Es geht um eine gegenseitige Information auf der Basis beiderseitigen Vertrauens. Dazu soll auch dienen, dass das Bundesamt für Sicherheit in der Informationstechnik zukünftig die Aufgabe erhält, die KRITIS-Betreiber auf deren Ersuchen hin bei der Sicherung ihrer Informationstechnik zu beraten und zu unterstützen. Die Synergieeffekte, die durch eine solche Zusammenarbeit entstehen können, sind für beide Seiten von großem Nutzen. Der aktuelle Koalitionsvertrag sieht das Wiederaufgreifen der Initiative für ein IT-Sicherheitsgesetz ausdrücklich vor. Das BMI wird daher rasch in die Erörterung dieses Gesetzesvorschlages eintreten. Gesetzliche Regulierung ist selbstverständlich nur ein Baustein bei der Bewältigung der Herausforderung Cyber-Sicherheit. Es geht insgesamt darum, Deutschland auf dem Weg der Digitalisierung gut und zukunftsfest aufzustellen und die Beherrschbarkeit der Digitalisierung zu sichern. Das kann nur gemeinsam gelingen. Staat, Wirtschaft und Gesellschaft müssen das Ihrige tun. Das Bundesministerium des Innern wird hierzu seinen Beitrag leisten. Martin Schallbruch ist IT-Direktor im Bundesministerium des Innern. 9

10 \ SICHERHEIT IM GLOBALEN NETZ Schein oder nicht Schein? Ist der Einsatz der BSI-Grundschutzkataloge für kommunale IT-Dienstleister sinnvoll Pro und Contra Die Zertifizierung durch das BSI ist für einen öffentlichen IT-Dienstleister aufwendig aber zur Notwendigkeit gibt es durchaus kontroverse Meinungen. In der öffentlichen Verwaltung werden zahlreiche personenbezogene Daten verarbeitet. Diese stellen erhöhte Anforderungen an Vertraulichkeit, Verfügbarkeit, Authentizität, Integrität und Zurechenbarkeit. Daher hat das krz Lemgo die BSI-Zertifizierung nach Grundschutz erstmals 2007 durchgeführt und seitdem kontinuierlich erneuert. Diese Prüfungen sind keine isolierten Aktionen, die in großen Abständen stattfinden, sondern setzen einen permanenten Prozess voraus, der von externer Seite regelmäßig begleitet wird. Diese BSI-Zertifizierung durchleuchtet das ganze Haus und analysiert keineswegs nur die IT in Bezug auf Sicherheitsfragen. Die ständige Verbesserung der Prozesse und der eingesetzten Technik für alle Leistungs- und Verwaltungsbereiche gewährleistet der Einsatz von geschulten IT-Sicherheitsbeauftragten. Starke Außenwirkung Die Vorteile liegen jedoch nicht nur in der zertifizierten Sicherheit, zumal diese ja für den gesamten Verbund des Zweckverbandes gilt. Anwender wie Geschäftspartner sind nun quasi amtlich darüber informiert, welchen Grad von IT- beziehungsweise Informationssicherheit die Einrichtung garantieren kann. Für den Einsatz einiger Anwendungen ist das Zertifikat sogar Voraussetzung, beispielsweise epr-server oder npa. Die Außenwirkung stärkt die Verwaltungen natürlich besonders gegenüber den Bürgern, indem sie diesen die Bemühungen um eine ausreichende Sicherheit deutlich macht. Aber auch die internen Vorteile sind hoch einzuschätzen. Denn die Zertifizierung hilft bei einem kritischen Blick auf sämtliche Veränderungen. Die für die Sicherheitsüberprüfung unerlässliche Strukturanalyse macht die Arbeit im eigenen Unternehmen transparenter und führt unter anderem zu interner Rechtssicherheit, klaren Vertretungsregelungen und definierten Eskalationswegen. Durch die lückenlose Dokumentation kann im Konfliktfall schnell reagiert werden. Ebenso können bei Umstrukturierungen oder neuen Rahmenbedingungen durch die Risikobehandlungspläne schnellstmöglich Anpassungen vorgenommen werden. Daraus resultiert ein ganz entscheidender Vorteil: Zeitersparnis sowohl in Bezug auf Anpassungen im Sicherheits bereich als auch auf die Reaktionszeit im Notfall. Risikobewußtsein stärken Zusätzlich fördern die intensiven Schulungen ein erhöhtes internes Sicherheitsbewusstsein. Nicht zuletzt trägt die ständige Befassung mit allen Facetten der IT-Sicherheit und den Prozessen dazu bei, die Ressourcen effektiv einzusetzen. Wer vorher gründlich überlegt, macht später keine teuren Fehler und deshalb wirkt das durch Zertifizierung bedingte systematische Vorgehen eben auch kostensenkend. Ein weiteres ganz wichtiges Argument: Sicherheit kann nicht von oben nach unten, vom Allgemeinen ins Detail entwickelt werden. Eine Kette ist immer nur so stark wie ihr schwächstes Glied, und daher muss Sicherheit immer auf der untersten Ebene etabliert werden. Insgesamt muss das Sicherheitsniveau in der gesamten öffentlichen Verwaltung erhöht werden. Die öffentlichen IT-Dienstleister und ihre Mitgliedskommunen, die direkt mit den Bürgern kommunizieren und ihre Daten verwalten, müssen mit gutem Beispiel voran gehen. Reinhold Harnisch ist Geschäftsführer des krz Lemgo. 10

11 \ SICHERHEIT IM GLOBALEN NETZ Gegen den breiten Einsatz der BSI-Grundschutzkataloge IT-Grundschutz gibt es grundsätzliche Bedenken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ging 1991 aus einem Nachrichtendienst nämlich dem zentralen IT-Dienstleister des Bundesnachrichtendienstes hervor. Die primäre Aufgabe der Behörde liegt in der Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes. Zweifellos sind die Bedrohungen der Bundesrepublik vielfältig und anspruchsvoll. Es erscheint nachvollziehbar, dass die Anforderungen für den Bund diesen Risiken Rechnung tragen müssen. Gespräche mit dem BSI oder dem Staatsschutz zeigen aber genauso deutlich, dass die Bedrohung für die kommunale IT wesentlich geringer ist. Das liegt auch daran, dass sie heterogen und verteilt aufgestellt ist. Eine unkritische Anwendung von BSI-Konzepten im kommunalen Bereich erweist sich daher als nicht sinnvoll. Überhöhtes Schutzinteresse Der IT-Grundschutz sieht nur in Einzelfällen eine Betrachtung der Risiken vor. Grundsätzlich wird nicht nach den Gefahren für die IT gefragt, sondern geprüft, wie wertvoll die verarbeiteten Daten sind. Da die Daten in der öffentlichen Verwaltung nur schwer zu bewerten sind in vielen Fällen ist zu bezweifeln, ob überhaupt jemand dafür etwas zahlen würde wird regelmäßig auf ein sogenanntes Schutzbedürfnis abgestellt. Dieses Schutzbedürfnis wurde für den Bund ermittelt. Ob es auch für Kommunen zutrifft und finanzierbar ist, ist zu bezweifeln. Die starke Fokussierung auf das Schutzinteresse führt bei der Einbeziehung von Risikoaspekten zu teilweise widersprüchlichen Ergebnissen: Das Schutzinteresse ist hoch, weil es einen gesetzlichen Auftrag gibt, die Daten zu schützen. Das Risiko ist niedrig, weil die Daten in vielen Fällen uninteressant sind. Gütesiegel: Zertifikate machen sich gut, aber über die Notwendigkeit lässt sich streiten sein Schutzinteresse zu formulieren als die potenziellen Gefahren für seine IT zu bewerten. In der Konsequenz steigt der finanzielle Aufwand, ohne dass die Sicherheit für die Abwehr realer Bedrohungen steigt. Der Nutzen des IT-Grundschutzes ist daher für die kommunale IT gering und unnötig teuer. Vorteil Heterogenität Der Einsatz des IT-Grundschutzes ist nur sinnvoll, wenn die tatsächlichen Risiken mit ihren Eintrittswahrscheinlichkeiten ermittelt und in einem breiten Konsens in die Maßnahmen des Katalogs eingearbeitet werden. Dabei muss die dezentrale und heterogene Struktur kommunaler IT mit berücksichtigt werden. Sie ist ein Garant dafür, dass ein breitflächiger Angriff darauf schwieriger und teurer wäre, als auf manche IT-Monokulturen in Bund und Land. Die Fokussierung auf das Schutzinteresse im IT-Grundschutz verstellt den Blick auf die tatsächlichen Risiken, die beim Bund ohnehin völlig anders sind als bei den Kommunen. Dieses Konzept ist nur scheinbar pragmatisch, weil es für den Praktiker in einer Verwaltung leichter ist, Dr. Michael Neubauer ist Geschäftsführer des KDVZ citkomm. 11