Impulsvortrag Dr. Christian P. Illek Deutschland Champion für IT-Sicherheit?

Transkript

1 Impulsvortrag Dr. Christian P. Illek Deutschland Champion für IT-Sicherheit? Anlässlich der Konferenz der Gesellschaft für Informatik Zukunft der digitalen Gesellschaft 15. September 2014, Berlin Es gilt das gesprochene Wort Sehr geehrte Damen und Herren, sehr geehrter Herr Prof. Lukas, lieber Herr Prof. Liggesmeyer, liebe Frau Joost und Kolleginnen und Kollegen der Jury, in den vergangenen Wochen wurde viel auch kontrovers über die Digitale Agenda der Bundesregierung diskutiert. Zu unkonkret, unvollständig, zu spät so war vielfach zu hören. Wer die Digitale Agenda jedoch als Chance sieht, als Auftrag, die digitale Zukunft Deutschlands mit zu gestalten, der findet sich heute hier in bester Gesellschaft. Denn heute stehen Deutschlands Digitale Köpfe im Mittelpunkt. Vordenker und Macher aus Politik, Zivilgesellschaft, Kultur, Wirtschaft und Wissenschaft. Der Verein Deutschland sicher im Netz (DsiN), den ich hier heute vertrete, hat diese Initiative der Gesellschaft für Informatik sehr gerne unterstützt: Denn die digitalen Köpfe zeigen mit ihren Initiativen, Forschungsprojekten und Geschäftsideen, wie man die digitale Zukunft in Deutschland so gestalten kann, dass viele Menschen davon profitieren. Die digitalen Köpfe, die heute hier ausgezeichnet werden, inspirieren und begeistern mit ihren Ideen und ihrer Tatkraft. Denn das ist es, was uns meiner Meinung nach in Deutschland häufig fehlt: Die Begeisterung für und das Vertrauen in die Möglichkeiten neuer Technologien. Deshalb hat es mich bei Durchsicht der Nominierungen auch nicht überrascht, dass viele digitale Köpfe sich explizit oder implizit mit dem Thema Vertrauen und Sicherheit beschäftigen. Und als Vorsitzender von Deutschland sicher im Netz und Mitglied der Jury von Deutschlands Digitale Köpfe sage ich: Das ist gut so! Denn Vertrauen, das auf einem sicheren und souveränen Umgang mit IT beruht, ist die Grundlage für die erfolgreiche Entfaltung der Digitalisierung in Deutschland und in allen anderen Ländern. Ohne Vertrauen kann und wird die Vision vom Digitalen Wachstumsland Nr. 1 in Europa eine Vision bleiben! 1

2 Gleichwohl: Wenn Deutschland in der 1. Liga digitaler Wirtschaftsstandorte und digitaler Gesellschaften mitspielen will, muss es auch Champion für IT-Sicherheit werden! Mit der Digitalen Agenda hat die Bundesregierung diesen Anspruch sehr deutlich formuliert: Deutschland soll das Land mit der sichersten IT und digitalen Infrastruktur werden. Auch die neue Hightech-Strategie der Bundesregierung unter Federführung des BMBF unterstreicht die Bedeutung des Themas mit eigenen Forschungsprogrammen zu IT-Sicherheit und Datenschutz sowie Initiativen für mehr IT-Sicherheit im Mittelstand. Der Verein Deutschland sicher im Netz teilt mit seinen Mitgliedern und Partnern den Anspruch, Deutschland zum Vorreiter für IT-Sicherheit zu machen. Wir unterstützen Bürger wie Unternehmen konkret im sicheren und selbstbestimmten Umgang im Netz. Das hat viele Gründe. Warum muss Deutschland Champion für IT-Sicherheit werden? Deutschland ist führend bei vielen Produkten und Dienstleistungen, die für Qualität, ihre Zuverlässigkeit und Produktsicherheit weltweit geschätzt werden. Mit der Digitalisierung von Produkten steigt der Anspruch der Kunden, die dahinterliegende IT sicher und zuverlässig zu gestalten. Ein Beispiel: Eine Flaschenabfüllanlage in Asien kann heute über das Internet remote vom Hersteller in Deutschland gewartet werden mit enormen Effizienzgewinnen für den Kunden. Damit dieser Service nicht zum unkalkulierbaren Risiko für den Kunden wird, muss er Cyberangriffen standhalten. Kurzum: IT-Sicherheit muss zum wesentlichen Bestandteil des Markenzeichens Made in Germany werden, wenn wir unsere Wettbewerbsvorteile nicht verspielen wollen. Ebenso gilt für Staat und Verwaltung: Eine effiziente Verwaltung mit zeitgemäßen Bürgerservices basiert auf moderner IT. Bürger müssen darauf vertrauen können, dass egovernment oder ehealth Services auch höchsten Sicherheitsansprüchen genügen. Sonst werden sie ihre Steuererklärung oder sensible Gesundheitsdaten nicht digital preisgeben. Auch das ist letztlich ein Standortfaktor. 2

3 Und auch für jeden Einzelnen gilt: Wer sich nicht sicher im Umgang mit IT fühlt, wird innovative Dienste sei es privat oder beruflich entweder kaum oder gar nicht nutzen. Die Unsicherheit wird zur Innovations- und Wachstumsbremse. Und im schlimmsten Falle zum Risiko für die Arbeitgeber, wenn Mitarbeitern grundlegende IT-Sicherheitskenntnisse fehlen. Doch wie sieht die Realität aus? Wie ist es um IT Sicherheit in Deutschland aktuell bestellt? Zwei Faktoren sind entscheidend für das Sicherheitsniveau: Die tatsächliche Bedrohungslage und das Schutzniveau bzw. Verhalten der Anwender Die Bedrohungslage verschärft sich (Quelle: BITKOM und BKA, August 2014): 55 Prozent der Menschen in Deutschland 2013 Opfer von Computer- und Internetkriminalität geworden. Klassische Bedrohungsszenarien wie Viren und Trojaner stehen immer noch an erster Stelle (40 % der Bevölkerung). Aber auch das Auspionieren von persönlichen Zugangsdaten nimmt stark zu (+19%) Und das ist nicht nur ein Verbraucherthema: Rund 30 Prozent der deutschen Mittelständler wurden laut BKA in den letzten 2 Jahren Opfer von Cyberattacken. Die Schäden durch Cyberattacken liegen laut Einschätzung des BKA allein bei Unternehmen bei rund 50 Milliarden Euro jedes Jahr. Ganz klar: Deutschland ist attraktiv als Ziel für Wirtschaftsspionage und Cyberkriminalität. Aber schützen wir uns auch ausreichen? Schauen wir zwei Anwendergruppen genauer an: die mittelständische Wirtschaft und Verbraucher. Zur IT-Sicherheitslage im Mittelstand bringt DsiN jedes Jahr den Sicherheitsmonitor heraus, eine repräsentative Umfrage unter 1500 kleinen und mittelständischen Unternehmen. Die Ergebnisse für 2014 zeigen: Das Sicherheitsniveau im Mittelstand stagniert. Schlimmer noch: Es ist gemessen an der zunehmenden Digitalisierung sogar rückläufig! Schutzmaßnahmen im Verkehr sind seit 2011 um sieben Prozentpunkte auf heute 43 Prozent zurückgegangen. Lediglich 57 Prozent schützen ihre Notebooks vor ungewollten Zugriffen, bei Smartphones/Tablets sind es sogar nur 26 Prozent. 3

4 57 Prozent der Unternehmen sind sich bewusst, dass ihre Maßnahmen nicht ausreichen und tun trotzdem nichts dagegen! DsiN untersucht derzeit in einer neuen Studie wie Verbraucher in Deutschland das Thema IT Sicherheit einschätzen und damit umgehen. Die Studie werden wir zum IT-Gipfel veröffentlichen. Die ersten Analysen belegen auch hier: Es besteht eine eklatante Diskrepanz zwischen der gefühlter Bedrohung einerseits, Sicherheitswissen und tatsächlichem Verhalten andererseits. Für Verbraucher wie für den deutschen Mittelstand gilt: Die Digitalisierung sowohl des Alltags auch des Wirtschaft nimmt weiter Fahrt auf, aber das Sicherheitsbewusstsein bleibt häufig auf der Strecke. Die Fakten zeigen: IT-Sicherheitschampion sind wir mit Sicherheit noch nicht, aber wir haben das Zeug es zu werden. Und dabei sehe ich nicht nur die Anwender in der Pflicht. Wenn Deutschland Champion für IT-Sicherheit werden soll, müssen drei Akteure Verantwortung übernehmen und eng zusammenarbeiten: Die Politik, die IT-Industrie und die Anwender selbst. Erstens: Die Gestaltung der Rahmenbedingungen und Spielregeln der Digitalisierung ist Aufgabe der Politik. Sie ist Garant für die richtige Balance zwischen Innovation und Sicherheit, damit sich digitale Dienste und Produkte zum besten Nutzen für die Gesellschaft, Bürger und Verwaltung entwickeln. Die Politik hat die Verpflichtung, die gesetzlichen Rahmenbedingungen für den Schutz und die Sicherheit von Daten von Bürgern und Unternehmen zu schaffen auch auf internationaler Ebene. Die Digitale Agenda definiert hier wichtige Vorhaben: Vom Ausbau der Sicherheitsbehörden, Verbesserung und Stärkung des Nationalen Cyber-Abwehrzentrums, der Verabschiedung des IT-Sicherheitsgesetz über den Schutz kritischer Infrastrukturen bis hin zur Harmonisierung des Europäisches Datenschutzrechts. Die Politik kann darüber hinaus wichtige Impulse setzen, um IT-Sicherheit im Schulterschluss mit Wirtschaft und Wissenschaft strategisch voranzubringen: z.b. durch Ausbau von Initiativen wie der Allianz für Cybersicherheit und IT-Sicherheit in der Wirtschaft oder durch Forschungsprogramme wie Sicher und selbstbestimmt in der digitalen Welt, das das BMBF im Rahmen der Hightech-Strategie aufgesetzt hat. 4

5 Zweitens: Unsere Verantwortung als IT-Anbieter besteht darin, ein Höchstmaß an Produktsicherheit zu bieten, um die Daten und Privatsphäre unserer Kunden vor unerwünschten Zugriffen zu schützen. Diese Verantwortung beginnt bei der Produktentwicklung, bei der Sicherheit oberste Priorität hat, und privacy by design und per default als Grundprinzipien gelten müssen. Sie beinhaltet aber auch die Herausforderung, einfach zu bedienende, nutzerfreundliche Produkte und Sicherheitslösungen zu entwickeln. Nur so senken wir die Schwelle für jeden Anwender, sich selbst besser zu schützen. Größtmögliche Transparenz liegt ebenfalls in der Verantwortung der Anbieter: Es muss erkennbar sein welche Daten wir von unseren Kunden erheben, wozu wir diese nutzen und nicht zuletzt, wie wir diese Daten schützen. Transparenz eine der entscheidenden Grundlagen für Vertrauen in IT. Und Drittens: Jeder Anwender ob als Privatperson oder Unternehmen hat Eigenverantwortung für seine IT-Sicherheit und seinen Datenschutz. Doch wie die aktuellen DsiN Studien zeigen: beim IT-Selbstschutz egal ob im beruflichen oder privaten Umfeld fehlt es häufig noch an Grundwissen im sicheren Umgang mit dem Internet oder an der Bereitschaft, das Wissen umzusetzen. Denn es ist ja nicht so, dass es nicht zahlreiche, häufig simple Möglichkeiten gibt, sich umfassend zu schützen: Das reicht von regelmäßigen Sicherheitsupdates, der Nutzung von Sicherheitssoftware und Einrichtung von PINs für mobile Geräte bis zum bewussten Surfverhalten im Netz und der Schulung von Mitarbeitern. Die Hebelwirkung solcher Maßnahmen ist nicht zu unterschätzen: Ein bewussterer Umgang mit IT-Sicherheit kann IT-Risiken um bis zu 80 Prozent reduzieren! (Quelle: UK Cyber Security Strategy 2011 sowie BSI- Schätzungen) Wir müssen also mehr für Aufklärung tun, um Bürgerinnen und Bürger sowie kleine und mittelständische Unternehmen dabei zu unterstützen, IT sicher und souverän zu nutzen. IT Selbstschutz muss so selbstverständlich werden, wie seine Wohnung abzuschließen, den Sicherheitsgurt anzulegen oder sein Auto regelmäßig warten zu lassen. Der Verein Deutschland sicher im Netz konzentriert sich deshalb seit Gründung im 1. Nationalen IT-Gipfel auf Aufklärungsarbeit und konkrete Hilfestellungen bei Bürgern und Unternehmen vor Ort. 5

6 Dieser Weg hat sich als sehr erfolgreich erweisen und wir wollen ihn weiter gehen: beispielsweise indem wir im ehrenamtliches Engagement für mehr IT- Sicherheit unterstützen. Mit dem Projekt Digitale Nachbarschaftshilfe wollen wir bis zu Menschen direkt und persönlich erreichen. Oder indem DsiN die Mitarbeiter der Zukunft schon in den Berufsschulen abholt und über Grundlagen der IT-Sicherheit in Betrieben aufklärt. Der Schlüssel zum Erfolg liegt für uns in Partnerschaften: DsiN initiiert Aufklärungskampagnen und Projekte, von den Mitgliedsunternehmen und - organisationen getragen werden. Der Verein koordiniert und bündelt existierende Aufklärungsangebote von Unternehmen, Verbänden und gesellschaftlichen Organisationen und informiert Bürger und Unternehmen als zentrale Anlaufstelle. Und wir arbeiten mit Partnern aus Politik, Wirtschaft und Gesellschaft zusammen, um gemeinsam Lösungen für mehr IT-Sicherheit anzubieten: Mit Herrn Prof. Liggesmeyer haben wir dazu in diesem Jahr auf der CeBIT in Anwesenheit unseres Schirmherrn, Bundesinnenminister de Maizière, eine Partnerschaft mit der Gesellschaft für Informatik beschlossen, die die technische Expertise für IT-Sicherheit bündelt. In der Digitalen Agenda hat die Bundesregierung sich ausdrücklich zum Ausbau der Zusammenarbeit mit Deutschland sicher im Netz bekannt. Das freut uns und bestätigt unsere Arbeit. Dennoch: Das tägliche Engagement von DsiN muss oft hohe Hürden überwinden und stößt manchmal auch an die Grenzen von Aufklärungsarbeit. IT Sicherheit verknüpfen die meisten Menschen weder mit Leichtigkeit noch Lustgewinn. Schlimmer noch: Die meisten Anwender fühlen sich damit schlicht überfordert und dies leider oft zu Recht. Ein Beispiel: Verschlüsselung ist ein sehr effektives Mittel, sich gegen Ausspähung und Datendiebstahl zu schützen. Aber aktuell verschlüsselt nur ein Sechstel der deutschen Internetnutzer s oder Dateien (Quelle: bitkom, Juni 2014). Und ich gebe zu: Es ist in der Tat eine Herausforderung, dem durchschnittlichen Anwender den Unterschied zwischen PGP, GNU und S/MIME zu vermitteln. Deshalb freue ich mich sehr, dass Thomas Gutsche, Gründer von Tutanota, den DsiN nominiert hat, heute als einer der Digitalen Köpfe ausgezeichnet 6

7 wird. Tutanota ermöglicht, dass Datenverschlüsselung sicher, vertraulich und einfach anzuwenden ist. Es kann und wird da bin ich mir sicher - einen wichtigen Beitrag leisten, die Komplexität der Verschlüsselung für Unternehmen und Bürger zu reduzieren und Nutzungshemmschwellen abzubauen. Zudem hat Thomas Gutsche sich mit seinen Mitstreitern für die Sensibilisierung der Öffentlichkeit zum Thema Privatsphäre und Datensicherheit engagiert. Zur Aufklärungsarbeit gehört es auch, über innovative Ansätze zu informieren und damit deren Akzeptanz zu verbreiten. Auch an dieser Stelle kann und wird DsiN aktiv unterstützen. Was aber, wenn weder technischen Innovationen noch geduldige Aufklärungsarbeit weiterhelfen? Wenn IT-Anwender nämlich schlicht resistent gegen Sicherheitsmaßnahmen sind? Wie schaffen wir es gemeinsam, das Trägheitsmoment des durchschnittlichen Anwenders zu überwinden? Wie können wir IT-Sicherheit für jeden Einzelnen nicht nur zwingend sondern sogar ein bisschen sexy machen? Deutschland sicher im Netz hat auch nicht alle Antworten, aber ein paar Ideen. Nehmen wir die offenen Fragen und Ideen doch als mit Impuls mit in die Workshops. Ich bin überzeugt, dass die kreativen, digitalen Köpfe aus Wissenschaft, Wirtschaft, Gesellschaft und Politik, die heute hier zusammen gekommen sind, gemeinsam auf interessante Ansätze kommen können. Wir müssen IT-Sicherheit noch stärker als ganzheitliche Herausforderung begreifen, die nur im Schulterschluss mit allen Akteuren gelöst werden kann: Gesellschaft, Wirtschaft, Politik und Wissenschaft. Dazu finden sich auch in der Hightech-Strategie wichtige Impulse. Ich wünsche mir, dass wir über den Tag der heutigen Veranstaltung hinaus den Dialog darüber, wie man Sicherheit und Vertrauen in der digitalen Gesellschaft herstellen und erhalten kann, fortführen. Ich möchte mit einem herzlichen Glückwunsch an alle Digitalen Köpfe Deutschlands schließen: Sie sind für mich ideale Botschafter für ein digitales Deutschland und Spielmacher, um dem Titel IT-Sicherheitschampion Deutschland ein gutes Stück näher kommen. 7