Mit unserem neuen Beitragsformat „Fünf Fragen an…“ möchten wir zukünftig aktuelle Themen und Diskussion adressieren. In unserem ersten Beitrag sprechen wir mit dem niedersächsischen Digitalisierungs-Staatssekretär Stefan Muhle über das Thema Verschlüsselung und deren Relevanz für die niedersächsische Wirtschaft.
Herr Muhle, das Thema „Verschlüsselung“ ist derzeit sehr präsent. Vor allem durch die Diskussion von sogenannten „Backdoors“ wurde eine Debatte losgelöst. Warum hat das Thema Verschlüsselung überhaupt so eine große Relevanz für Unternehmen?
IT- oder auch Cybersicherheit ist ein ganz zentrales Thema der Digitalisierung. Einem unsicheren System, auf das Unberechtigte leicht Zugriff bekommen können, möchten weder Bürgerinnen und Bürger ihre persönlichen Daten anvertrauen, noch können es sich Unternehmen leisten, Betriebs- und Geschäftsgeheimnisse in einem solchen System abzulegen. In beiden Fällen drohen erhebliche Schäden, wenn auch unterschiedlicher Natur.
Wenn ich die Digitalisierung fördern will, damit wir als Gesellschaft in den Genuss der Vorteile digitaler Anwendungen kommen, muss ich gleichzeitig auch die Risiken betrachten und möglichst gering halten. Unternehmen haben das nach meinem Eindruck mehrheitlich längst erkannt. Dabei geht es natürlich immer auch um die Wirtschaftlichkeit: Investitionen in IT-Sicherheit sind ein Kostenfaktor, aber im Verhältnis zu drohenden Schäden durch Industriespionage oder aber auch eine eingeschleuste Ransomware, die mich unter Umständen wochenlang nicht arbeiten lässt und mir Produktionsausfälle beschert, sicher unternehmerisch geboten.
Eine ganz wichtige und zentrale technische Maßnahme ist dabei die Verschlüsselung von Informationen – sowohl lokal zum Beispiel auf einer Festplatte, falls ein Gerät abhandenkommt, oder auch für den „Transport“, also um Daten oder Informationen von A nach B zu übertragen, zum Beispiel in einen Cloudspeicher oder per E-Mail. All solche Maßnahmen sind aber für das einzelne Unternehmen unter Umständen sinnlos, wenn die Hard- und/oder Software, die eingesetzt werden, kompromittiert sind, wenn sie eine Schwachstelle haben. Schwachstellen kommen vor, sie müssen aber im Interesse aller Nutzenden – und letztlich auch der Hersteller – möglichst zeitnah nach Entdeckung „repariert“ werden, damit sie nicht für einen Angriff ausgenutzt werden. Ich sagte jetzt „im Interesse aller“ – das ist grundsätzlich so, zur Wahrheit gehört aber auch, dass Sicherheitsbehörden – die Polizei, Nachrichtendienste – durchaus ein Interesse am Fortbestehen von Schwachstellen haben können, da auch sie diese Schwachstellen für ihre Ermittlungsarbeit nutzen. Eine intakte Ende-zu-Ende-Verschlüsselung lässt technisch kein Mitlesen durch Dritte zu.
Vor diesem Hintergrund kommt immer wieder die Forderung nach sogenannten Backdoors, also absichtlich für die Sicherheitsbehörden eingerichteten Schwachstellen, auf. Natürlich sind diese genauso problematisch wie jede andere Schwachstelle auch, da sie durch Unberechtigte für die Begehung von Straftaten ausgenutzt werden können. Zu Recht besteht mithin großer Unmut auch bei Unternehmen, die einerseits erheblich in die IT-Sicherheit investieren, dann aber fürchten müssen, dass die frei verkäuflichen Systeme nicht nach bestem Wissen und Gewissen von Herstellern und zuständigen staatlichen Stellen geschützt und gepflegt werden.
Die Diskussion um Backdoors ist hitzig. Die Sicherheitsbehörden bringen nachvollziehbare Gründe für ihre Positionen an – das legitime Interesse der Bekämpfung von Kriminalität – insbesondere aus der IT-Sicherheitsforschung kommt hingegen scharfe Kritik. Wie ist Ihre Meinung zu diesem Thema und warum?
„Sicherheit“ ist ein klassisch innenpolitisches Thema. So ist auch die Zuständigkeit für IT-Sicherheit grundsätzlich in den Innenressorts von Bund und Ländern angelegt. Die Bekämpfung von Kriminalität, der Schutz der öffentlichen Sicherheit und Ordnung, sind für die Gesellschaft sehr wichtige Themen. Und zweifelsohne greifen auch Kriminelle auf die Möglichkeiten sicherer Kommunikation durch zum Beispiel Ende-zu-Ende-verschlüsselte Messenger zurück, statt sich bequem auslesbare SMS zu schicken. Das stellt die Strafverfolgung vor neue Herausforderungen.
Im Bereich der IT-Sicherheit haben wir aber eine Besonderheit: Die zugrundeliegende Technik ist entweder für alle sicher – oder für alle unsicher. Hard- und Software sind eine Infrastruktur, auf die alle zu verschiedenen Zwecken zugreifen. Die Mehrheit in Wirtschaft wie Verwaltung setzt Produkte der bekannten Hersteller ein. Je nachdem wie verbreitet ein Produkt ist, sind durch eine Schwachstelle in demselben also erhebliche Teile der Infrastruktur einem Risiko ausgesetzt. In regelmäßigen Abständen werden solche Risiken auch bekannt, dann in der Regel mit der dringenden Aufforderung an die Nutzenden, ein vom Hersteller bereitgestelltes Update einzuspielen, um die Schwachstelle zu schließen.
Eine Schwachstelle betrifft unter Umständen alle Branchen und Bereiche, wie man zuletzt bei der im März bekannt gewordenen Sicherheitslücke in Microsoft Exchange Servern sehen konnte – ein sehr weit verbreitetes Produkt. Zu dieser Schwachstelle kam, dass laut Bundesamt für Sicherheit in der Informationstechnik, dem BSI, viele dieser Systeme auch noch Schwachstellen aufwiesen, die seit über einem Jahr bekannt waren und noch nicht repariert wurden. So war für Angreifende neben dem Zugriff auf die E-Mail-Kommunikation der betroffenen Unternehmen wahrscheinlich auch der Zugriff auf das komplette Unternehmensnetzwerk möglich. Es ist offensichtlich, dass Unternehmen im schlimmsten Fall durch einen solchen Angriff in Existenznot kommen können.
Das Risiko des Offenhaltens solcher Schwachstellen ist völlig unkalkulierbar. Niemand kann wissen, wo ein betroffenes Produkt überall zum Einsatz kommt und welche Folgen ein erfolgreicher Angriff hätte. Niemand kann davon ausgehen, dass Schwachstellen beherrschbar sind – also „nur für die Guten“ nutzbar. Wir steigern keinesfalls die öffentliche Sicherheit, wenn wir Schwachstellen offenlassen. Wir setzen vielmehr große Teile unserer digital abhängigen Gesellschaft einem ungewissen Risiko aus. Ein Risiko, das uns alle betrifft, über das wir alle Bescheid wissen sollten und uns zuständig fühlen sollten. IT-Sicherheit ist für mich kein rein innenpolitisches Thema. Die Interessen der Strafverfolgung sind ein Aspekt unter vielen. Die Kompromittierung einer ganzen öffentlichen Infrastruktur mit ungewissen Folgen ist aber schlicht unverhältnismäßig.
Denken Sie, dass die Bedeutung um das Thema Verschlüsselung in den niedersächsischen Unternehmen angekommen ist?
Ich denke, das Bewusstsein für die Wichtigkeit von IT-Sicherheit insgesamt steigt in den Unternehmen zusehends. Leider auch in Folge der Betroffenheit von Vorfällen. Ich nehme jedenfalls ein großes Interesse wahr, wenn wir Veranstaltungen zum Thema organisieren und sehe auch, dass die verschiedenen Angebote des Landes – seien es Informationsmöglichkeiten der Digitalagentur, das Label DatenBEWUSST aber natürlich auch die gut etablierte und immer sehr interessante jährliche Wirtschaftsschutztagung des Innenministeriums – gut angenommen werden. Dennoch sind es natürlich oft die „üblichen Verdächtigen“ denen man immer wieder begegnet, wenn ich das so sagen darf, und ich denke doch, wir sollten daran arbeiten, dass wir noch mehr in die Breite kommen. Natürlich ist es gut, wenn die Dienstleisterinnen und Dienstleister im Bereich IT-Sicherheit sich vernetzen – aber IT-Sicherheit ist ganz klar Chefinnen- und Chefsache und auch Geschäftsleitungen, Ministerinnen und Minister und Landtagsabgeordnete jenseits der digitalpolitischen Sprecherinnen und Sprecher sind gut beraten, selbst Grundlagenwissen zu erwerben und das Thema hoch zu priorisieren. Ich würde mich freuen, wenn ich auf der nächsten TechTide nicht nur die IT-Sicherheitsbeauftragten in der IT-Sicherheits-Session sehen würden, sondern auch Vorstände und Geschäftsführerinnen und Geschäftsführer.
Speziell zum Thema Verschlüsselung muss man sicher sagen, dass sie oft bereits unbemerkt von den durchschnittlichen Nutzenden in Produkte integriert ist. An populären Produkten wie den bereits erwähnten Crypto-Messengern sieht man ja, dass Verschlüsselung, die ohne zusätzlichen Aufwand für Nutzende funktioniert, eine breite Akzeptanz erfährt. Und das ist – wie ich auch immer wieder von den Expertinnen und Experten des Arbeitskreis IT-Security erfahre – der entscheidende Punkt beim Thema IT-Sicherheit und Verschlüsselung: Den Nutzenden darf kein erheblicher Mehraufwand entstehen, die Sicherheitsmaßnahmen dürfen nicht als umständlich wahrgenommen werden. Sonst versuchen Menschen, sie zu umgehen und damit ist sicher nichts erreicht.
Möglicherweise wissen Menschen aber auch gar nicht so genau, wo Verschlüsselung überall eine Rolle spielt und wo gerade nicht, wo die Unterschiede liegen. Zum Beispiel kommunizieren viele völlig bedenkenlos über E-Mail. E-Mail ist „by default“ aber gar nicht so sicher. Aufgrund der hohen Praxisrelevanz haben wir das Thema gemeinsam mit dem Arbeitskreis IT-Security in den Fokus des neuen Schaufensters auf der Website der Digitalagentur gestellt.
Was genau hat es mit dem Schaufenster auf sich?
Das Schaufenster bietet Unternehmen Informationen zu wichtigen Themen aus dem Bereich der IT-Sicherheit. Wir beginnen mit einem Alltagsthema: E-Mail-Kommunikation. Trotz der Beliebtheit von Crypto-Messengern ist das Standard-Kommunikationsmittel in der Arbeitswelt immer noch die E-Mail. Sie ist praktisch, weil interoperabel: Ich brauche nicht das gleiche E-Mail-Programm wie meine Kommunikationspartnerinnen oder -partner, sondern nur ihre E-Mail-Adresse. Bei Messengern ist das bislang anders: Ich nutze Signal, könnte damit aber zum Beispiel jemanden, der nur WhatsApp auf seinem Endgerät hat, nicht kontaktieren.
Der Nachteil des offenen E-Mail-Standards ist, dass eine E-Mail grundsätzlich vergleichsweise unsicher ist. Mit dem Schaufenster wollen wir nach und nach solche Alltagsthemen aufgreifen und einfache Schritte aufzeigen, die jeweils einen Beitrag zur Erhöhung der IT-Sicherheit leisten können.
Das Thema Datensicherheit wird zukünftig noch weiter an Bedeutung gewinnen. Wie sehen Sie den Standort Niedersachsen diesbezüglich aufgestellt?
Je mehr wir uns im Digitalen bewegen, desto verwundbarer sind wir natürlich auch auf dieser Flanke. Zweifelsohne wird IT-Sicherheits-Kompetenz zunehmend wichtiger; sowohl für den privaten Alltag, als auch das Geschäftsleben.
Das Land unterstützt bereits heute mit einem breiten Beratungs- und Förderangebot, sei es der Digitalbonus.Niedersachsen, die Beratungsangebote des Wirtschaftsschutzes und der Zentrale Ansprechstelle für Cybercrime (ZAC) des LKA Niedersachsen oder auch durch die Vermittlung von Förderangeboten durch die Digitalagentur, über die auch Förderrichtlinien von Bund und Land auch zum Thema IT-Sicherheit aufgezeigt werden können.
Wie bereits erwähnt: IT-Sicherheit muss handhabbar sein. Ich freue mich also außerordentlich, dass wir seit Januar dieses Jahres das CISPA – Helmholtz-Zentrum für Informationssicherheit in Hannover begrüßen dürfen. Gemeinsam mit der Leibniz Universität Hannover und dem Ministerium für Wissenschaft und Forschung haben wir es geschafft, die erste offizielle „Nebenstelle“ des CISPA hier in Niedersachsen anzusiedeln. Prof. Sascha Fahl arbeitet mit seinem Team an den Themen Usable Security and Privacy, also genau an der Frage, wie wirksame IT-Sicherheits- und Datenschutztechnik leicht anwendbar wird und die Arbeitsabläufe in Unternehmen nicht beeinträchtigt. Die zweite Forschungsgruppe wird sich mit Industrial Security beschäftigen. Auch das ist ein für Niedersachsen hoch relevantes Thema. Ich bin sicher, die anwendungsorientierte Forschung des CISPA wird in Zusammenarbeit mit niedersächsischen Unternehmen gute Erfolge erzielen.
Herzlichen Dank für Ihre Zeit, Herr Muhle!
Falls Sie sich weiter zu diesem Thema informieren möchten:
Beitrag „Verschlüsselungsverbot: Niedersachsen diskutiert mit Digital-Experten“
Hat Ihnen dieser Beitrag gefallen?
Mit dem Digitalagentur-Newsletter informieren wir Sie regelmäßig über Neuigkeiten, Events und Ausschreibungen im Kontext der Digitalisierung.
