Informationsgesellschaft Wider die digitale Sorglosigkeit

Redakteur: Manfred Klein

Die wachsende Digitalisierung verunsichert alle Gesellschaftsbereiche. Allen Bereichen gemeinsam ist die Frage nach der Sicherheit von IT-Systemen – das ist bei eGovernment nicht anders als im Wirtschaftsleben und in der Politik nicht anders als im Privaten. Wie aber lässt sich die Verunsicherung vernünftig umgehen?

Firmen zum Thema

(Bild: © Andy Ilmberger - Fotolia)

eGovernment Computing sprach darüber mit der SPD-Bundestagsabgeordneten Saskia Esken und dem Leiter Public Affairs & New Technologies von Check Point Software Technologies, Dirk Arendt.

Die umfassende Digitalisierung von Wirtschaft und Gesellschaft ist in aller Munde, doch immer wieder wird beklagt, Deutschland sei viel zu zögerlich. Woran liegt das?

Arendt: Der digitale Wandel verlangt Menschen und Organisationen viel Mut zur Veränderung ab, und sie brauchen die Zuversicht, daran teilzuhaben zu können, ohne Schaden zu nehmen. Neue Kommunikationsformen und Dienstleistungen und die allzeit verfügbaren Informationen werden zwar genutzt, doch cyberkriminelle Angriffe wie gestohlene Kundendaten und Identitäten hinterlassen ebenso wie die offenbar allgegenwärtige Überwachung ein diffuses Gefühl der Verletzbarkeit.

Bildergalerie

Esken: „Digitale Sorglosigkeit“ gibt es nicht – die Menschen erwarten vom Staat die Durchsetzung ihrer Rechte und den Schutz vor Diskriminierung, vor Datenmissbrauch und Spionage. Doch nur wenige schützen sich selbst, kommunizieren verschlüsselt oder wenden sichere Passwörter an, aus Unkenntnis oder aus dem fatalistischen Glauben, man könne sich ohnehin nicht wirksam schützen.

Die fortschreitende Digitalisierung der Gesellschaft macht auch vor der Verwaltung nicht halt – warum geht es beim eGovernment kaum voran?

Arendt: Natürlich sieht auch die Verwaltung sich diesem digitalen Wandel gegenüber, und wegen der hohen Fluktuation und einem immensen Rückgang der Stellen ist ein Wandel ja auch dringend notwendig. Bis heute haben wir es aber leider kaum geschafft, die Politik auf allen Ebenen von der digitalen Modernisierung der Verwaltung zu überzeugen. Auf der anderen Seite verlangt so ein Kulturwandel den Mitarbeitern einer Verwaltung ja auch viel Mut zur Veränderung ab, und dafür braucht es auch hier Vertrauen. Deshalb darf diese Modernisierung nicht immer nur als Mittel zur Stelleneinsparung daher kommen, sondern muss auch in den Fokus nehmen, was die Mitarbeiter der Verwaltung für eine positive Motivation brauchen.

Esken: Für die Motivation und für neue Kompetenzen der Mitarbeiter und insbesondere der Führungskräfte braucht es eine veränderte Aus- und Weiterbildung. Organisationsentwicklung heißt das Zauberwort, wenn Verwaltung sich neu erfinden soll, sich vom Kunden her betrachten und von seiner Zufriedenheit, aber auch die Arbeitszufriedenheit der Mitarbeiter im Blick haben. Feedback und Beteiligung sind dabei wichtige Erfolgsfaktoren.

Arendt: Vom Kunden her betrachten ist genau richtig, dafür wurden ja die Lebenslagen entwickelt. Die darf man aber nicht nur für die Benutzer-Oberfläche definieren, man muss sie auch mit durchgängig digitalisierten, medienbruchfreien Prozessen hinterlegen. Dazu kommen Transparenz und die Offenlegung von Datenbeständen, die die Akzeptanz verbessern und Innovation ermöglichen. Und wir müssen die offene Regelungswut eindämmen. Nicht alle Regelungen, die früher einmal hilfreich oder zumindest unschädlich waren wie das Schriftformerfordernis, müssen heute aufrechterhalten bleiben.

Aufgaben des Staates?

Müsste der Staat aber nicht mit einer modernen und effizienten, digital gewandelten Verwaltung vorangehen, gerade um zu zeigen, dass im Rahmen der Digitalisierung Sicherheit möglich und Vertrauen gerechtfertigt sind? Warum sind Politik und Politiker so schwer zu überzeugen?

Esken: Bei der Verbesserung des Datenaustauschs für die Flüchtlingshilfe, die der Bundestag vor einigen Wochen beschlossen hat, haben wir gesehen, dass die Politik durchaus handlungsfähig ist. Jetzt folgt die Umsetzung in der Verwaltung – vor uns liegt ein aufschlussreiches Experiment zur digital gestützten Zusammenarbeit über die Grenzen von Verwaltungsebenen und -ressorts hinweg.

Auch kleine und mittlere Unternehmen (KMU) sind gegenüber der Cloud-Technologie, datengetriebenen Geschäftsmodelle und plattformgestützten Wertschöpfungsketten skeptisch, während die Zahl der IT-Sicherheitsvorfälle auch in den KMUs täglich steigt. Was steckt dahinter?

Esken: Die KMUs haben zwar den Mehrwert digitaler Technologien für ihre Produktivität erkannt, doch ihr Augenmerk liegt eher auf Stabilität als auf disruptiver Innovation. Und obwohl die Verunsicherung durch immer mehr cyberkriminelle Angriffe groß ist, fehlt es am grundlegenden Wissen und am Zugang zu IT-Sicherheitsverfahren – und damit am Vertrauen darin.

Arendt: Das sehe ich genauso – wenn wir den digitalen Wandel in Verwaltung, Wirtschaft und Gesellschaft zum Erfolg führen wollen, dann müssen die Menschen den digitalen Technologien und Verfahren vertrauen können, müssen sich damit sicher fühlen. Das IT-Sicherheitsgesetz erhöht – als erster Schritt – die Sicherheit der kritischen Infrastruktur, doch Vertrauen in die IT-Sicherheit kann nicht von oben verordnet werden.

Es braucht also mehr Wissen und mehr Vertrauen in Datenschutz und IT-Sicherheit, damit Menschen und Unternehmen sich auf die Digitalisierung einlassen?

Arendt: Um die Bedeutung und die Wirkmächtigkeit der IT-Sicherheit in das kollektive Bewusstsein der Gesellschaft zu transportieren, müssen wir auf die realen Gefahren hinweisen, gleichzeitig aber auch deutlich machen, dass und wie man sich schützen kann. Die Bedrohungslage ist ja geradezu explodiert: Immerhin wurde allein in den vergangenen beiden Jahren mehr Schadsoftware aufgedeckt als in den zehn Jahren davor zusammen. Wir registrieren an manchen Tagen bis zu 30 Millionen Angriffe weltweit. Und es ist mit einfachen Mitteln aus dem Internet sehr schnell möglich, aus einer bekannten Schadsoftware eine „unbekannte“ zu erstellen, was wiederum weitreichende Folgen hat.

Sicherheit als Gesamtkonzept

Esken: Leider ist vielen nicht bewusst, dass der Schaden, der beispielsweise durch den Diebstahl von Daten verursacht wird, genauso handfest ist wie der Diebstahl einer „Sache“ in der analogen Welt. IT-Sicherheit kann aber nur funktionieren, wenn die Nutzer die Gefahren ebenso kennen wie die Abwehrmechanismen und Vorsichtsmaßnahmen.

Reicht es denn nicht, die Geräte und die Software sicher zu machen? Warum müssen die Nutzer denn so gut Bescheid wissen?

Arendt: Viele Angriffe nutzen gerade die fehlende Kenntnis einfachster Sicherheitsregeln aus. Das Ausspähen des persönlichen Umfeldes eines Opfers gehört zu den erfolgreichsten Vorgehensweisen. Mit privaten Daten oder kompletten digitalen Identitäten verschafft man sich umfassenden Zugang zu Rechnern und durchdringt und schädigt in der Folge die gesamte IT einer Institution – nur weil ein Nutzer unbedacht den Anhang einer eMail unbekannter Herkunft geöffnet hat.

Esken: Dazu kommt der wachsende Einsatz mobiler Geräte: Smartphones und Tablets sind vernetzte Hochleistungsrechner – und ihre Sicherheit wird behandelt, als handele es sich um ein Telefon. Je mehr die mobilen Endgeräte gleichzeitig privat und beruflich genutzt werden, desto mehr muss ihre Angreifbarkeit ins Bewusstsein von Nutzern und Unternehmen gerückt werden.

Es ist ja aber nicht so, dass diese Informationen nicht zur Verfügung stünden. Wie wollen Sie dieses Bewusstsein und das nötige Wissen wirklich effektiv verbreiten?

Esken: Die reale Gefährdung durch Cyberkriminalität bewusst machen, ohne Ängste zu schüren und dabei deutlich machen: Man kann sich schützen! Dafür braucht es eine professionelle Kampagne, die für die verschiedenen Zielgruppen eine jeweils angemessene Sprache verwendet. Statt unverständlicher Fachbegriffe nutzt man Vergleiche aus dem analogen Leben und setzt die unterschiedlichsten Medien ein: Großflächen-Plakate, TV-Spots und Flyer, aber auch youtube-Videos, Quizzes und Games.

Arendt: Erinnern Sie sich noch, wie in den 70er Jahren der Sicherheitsgurt eingeführt wurde? Die Leute haben das erst verteufelt, dann belächelt und jedenfalls wenig zur Kenntnis genommen. Eine umfangreiche Aufklärungskampagne in Radio und TV verhalf dem Anschnallen mit einprägsamen Slogans zu wachsender Akzeptanz. Heute ist das Anschnallen, gegen das vielen sich vehement gewehrt hatten, den allermeisten in Fleisch und Blut übergegangen. Nur noch für die ganz Unverbesserlichen musste das Anschnallen verpflichtend gemacht und das Nichtbeachten unter Strafe gestellt werden.

Ist Sicherheit nur was für Spezialisten?

So eine Kampagne mag ja bei einfachen Zusammenhängen funktionieren, aber wie erklärt man einem Mittelständler eine sichere IT-Architekur – das ist doch was für Fachleute, oder?

Arendt: Bilder aus der analogen Welt können helfen, Technik begreifbar zu machen. Nehmen wir die Segmentierung als zwingend notwendiges Prinzip einer soliden Sicherheitsarchitektur – das ist technisch komplex, und ich kann das total kompliziert darstellen. Erklären Sie das mit dem Bild eines Schiffsrumpfes, dessen Teile durch Schotten voneinander getrennt und so gegeneinander gesichert werden können – dann kann sich auch der Nutzer, der nicht so IT-affin ist, etwas vorstellen. Bei einem Wassereinbruch muss man die „Schotten dicht machen“, damit nicht der ganze Rumpf vollläuft – das versteht doch jeder!

Und wenn so eine Kampagne dann erfolgreich abgeschlossen ist, dann wissen alle Bescheid, alle schnallen sich an, und dann ist alles gut?

Arendt: Naja, so wie sich der Gurt weiterentwickelt hat und mittlerweile von Airbags und anderen aktiven und passiven Sicherheitseinrichtungen ergänzt wird, so entwickeln sich natürlich auch die digitalen Technologien weiter und auch die kriminellen Angriffsszenarien, die Abwehrstrategien und Schutzmechanismen der IT-Sicherheit. Das ist ein steter Prozess, und deshalb muss auch das Wissen darum stets aktuell gehalten werden.

Esken: Ich denke, vor allem die schulischen und die beruflichen Bildungssysteme müssen früh damit beginnen, die Grundlage für einen bewussten, souveränen Umgang mit Daten zu schaffen und die notwendige Bewusstheit und Kompetenz für Datenschutz und Datensicherheit. Als Anwender und als Gestalter, im privaten wie im Berufsleben müssen die Menschen über ein grundlegendes Verständnis für die Mechanismen der Erfassung, der Speicherung und Nutzung von Daten verfügen.

Mit Kampagnen und mit Bildung wollen Sie also für Bewusstsein und für Wissen sorgen. Gerade die KMUs haben ihre IT aber doch ausgelagert oder kaufen sie als Komplettpaket ein. Müssen die sich um IT-Sicherheit überhaupt kümmern oder macht das nicht der Dienstleister?

Arendt: Die Digitalisierung durchdringt auch klassische Geschäftsprozesse immer mehr, und man setzt sie ganz gezielt für effektivere Prozesse, für bessere Produkte und mehr Kundennähe ein. Der Trend der umfassenden Auslagerung der IT ist eher rückläufig, und anders als noch vor einigen Jahren ist der Chief Information Officer (CIO) jetzt in vielen Unternehmen in die strategischen Entscheidungen der Geschäftsführung einbezogen. Das Bewusstsein für die Bedeutung nicht nur sicherer IT-Komponenten, sondern vor allem auch von IT-Sicherheitsverfahren und von Schulungen der Mitarbeiter fehlt aber leider noch viel zu oft.

Esken: Angesichts der Bedrohungslage durch cyberkriminelle Angriffe und womöglich dienstebasierte Wirtschaftsspionage müssen die Unternehmen jetzt auch die IT-Sicherheit aus der technikorientierten Nische holen, zur strategischen Chefsache erklären und dafür sorgen, dass nicht nur die IT, sondern dass jeder einzelne Geschäftsprozess ebenso von der Abwehr potenzieller Angriffe durchdrungen ist wie das Denken und Handeln jedes einzelnen Mitarbeiters – und zwar als steter Prozess der Unternehmenskultur. Hier hilft zum Beispiel auch die Transparenz nach den Angriffen auf zahlreiche Krankenhäuser in Deutschland: Art der Angriffe, mögliches Abwehrverhalten, aber auch Schadenssummen werden öffentlich diskutiert.

IT-Sicherheit in Deutschland – ein Vergleich

Sind wir in Deutschland bei diesem Thema überhaupt auf dem neuesten Stand, sind wir wissenschaftlich gut aufgestellt? Und wie sieht es in der Wirtschaft aus – haben wir gute Produkte und haben wir gute Fachleute? Wissen die Unternehmen denn, an wen sie sich wenden können, wessen Beratung und welchen Produkten sie vertrauen können?

Esken: Ich denke schon, dass die IT-Sicherheitsforschung ganz gezielt gefördert werden muss, wenn wir Schritt halten wollen. Die Studienordnungen der Informatik müssen die IT-Sicherheit verpflichtend in den Fokus nehmen, und wir müssen die duale und die Hochschulausbildung von IT-Sicherheitsfachleuten stärken, denn wir haben einen eklatanten Mangel an gut ausgebildeten Fachkräften.

Arendt: Am Ende kommt es aber auch darauf an, durch einen gewissen Nachfragedruck die technologische Entwicklung voranzutreiben. Denken Sie nur an die Umwelttechnologie – da sind wir in Deutschland technologisch führend geworden, weil eine strenge Gesetzgebung den Takt vorgegeben hat. Ich denke, es ist notwendig, die verschiedenen Welten nicht mehr so zu trennen, wie wir es bisher getan haben: Ohne Kooperation kommen wir nicht weiter. Und die Zusammenarbeit sollte sich nicht nur auf Unternehmen beziehen, sondern auch den Staat und die Verwaltung einbeziehen. Wir haben etwa 1.200 Wissenschaftler, die tagtäglich das Internet durchforsten. Warum nutzt der Staat die Daten eines solchen Lagebildes nicht für sich?

Wenn Sie mich mit Ihrer Kampagne, mit Bildungsanstrengungen und Mitarbeiterschulung erreicht haben, dann verzweifle ich aber immer noch an der Installation einer Mail-Verschlüsselung – einfach ist da leider gar nichts. Und Unternehmen sehen das vermutlich genauso?

Esken: Ja, den Vorwurf müssen sich die Hersteller schon gefallen lassen: Sicherheitslösungen sind oft zu kompliziert und zu schwerfällig, weil sie sich an Fachleute in den großen Unternehmen richten, an Spezialisten, die sich ohnehin alltäglich mit der Thematik IT-Sicherheit beschäftigen.

Arendt: Der Erfolg großer amerikanischer Anbieter liegt nicht einmal in ihrer Qualität, sondern in ihrer Nutzerfreundlichkeit. Wenn wir eine sichere (IT-) Zukunft anstreben, brauchen wir „security by default“, also Sicherheit als selbstverständlicher Grundbestandteil der Systemarchitektur jeder Anwendung und jedes Endgeräts. Und die Anwendung muss für jeden Nutzer, für jedes Unternehmen auch ohne spezifische Vorkenntnisse zu bewältigen sein.

Wenn Sie den Lesern kurz und knackig und zum Weitererzählen mitgeben sollten, worüber wir gesprochen haben – was würden Sie sagen?

Esken: Wenn wir Vertrauen und Zuversicht in die Digitalisierung stärken wollen, dann müssen wir Mut machen für den kulturellen Wandel, wir müssen aber auch Bewusstsein und Verständnis für die Angreifbarkeit von IT-Systemen schaffen und gleichzeitig in die Verlässlichkeit, in Vertrauen und Akzeptanz für IT-Sicherheitstechnik, Verschlüsselung und andere Sicherungsverfahren investieren.

Arendt: … und bis die Anwendung von IT-Sicherheit so selbstverständlich ist wie das Anschnallen im Auto, ist es noch ein weiter Weg. Die Digitalisierung lässt uns aber nicht viel Zeit, sie bestimmt weite Teile unseres alltäglichen Lebens mit rasanter – und für uns alle – ungewohnter Geschwindigkeit. Und hier sind Politik und Wirtschaft gefordert, schnell und entschlossen und mehr gemeinsam zu handeln.

(ID:43884332)