Ein Blogbeitrag von Meike Schumacher zum Vortrag von Prof. Dr. Marie Caroline Oetzel am 11. Dezember 2023
Wir leben in einer allgegenwärtigen Digitale Transformation – sowohl der Alltag als auch die Berufstätigkeit sind völlig von der Informationstechnik geprägt. Fast alle Produktions-, Dienstleistungs- und Verwaltungsvorgänge basieren auf digitalen und vernetzten Informationssystemen. Damit kommt der sicheren Verfügbarkeit und dem zuverlässigen Betrieb der Systeme der Informationstechnik eine zentrale Bedeutung zu. Was auf der einen Seite Fortschritt und Komfort bedeutet, vergrößert jedoch auf der anderen Seite die Angriffsflächen – und diese werden leider auch genutzt.
Die IT-Sicherheit nimmt hierbei eine Schlüsselrolle ein, um die Sicherheit von soziotechnischen Systemen von Organisationen gegen Bedrohungen zu schützen. Ziel der IT-Sicherheit ist es demnach, wirtschaftlichen oder gar volkswirtschaftlichen Schaden und die Verletzung der Privatsphäre von Individuen zu verhindern. Die Schutzziele – die sogenannte „Triade“ der IT-Sicherheit sind die Vertraulichkeit der Informationen, die Integrität – also die Unveränderbarkeit von Informationen sowie die Verfügbarkeit der Systeme und Informationen.
Betrachtet man, in wessen Verantwortungsbereich die IT-Sicherheit fällt, sind zum einen die Personen, die mit den Systemen interagieren zu nennen. Es werden Daten in die Informations-systeme eingegeben, dort verarbeitet und gespeichert. Neben der menschlichen Verantwortung muss auch die technische Seite und die Verantwortung der Hersteller mit beachtet werden. Informationssysteme kommunizieren mit anderen Informationssystemen und tauschen Daten aus. Hierfür kommen Technologien (Hardware und Software) zum Einsatz, aus denen Informationssysteme „gebaut“ werden und die die weltumspannende Vernetzung ermöglichen.
Verantwortung in der Entwicklung von Informationssystemen
Laut BSI wurden im Zeitraum Juni 2022 bis Juni 2023 jeden Tag durchschnittlich knapp 70 neue Schwachstellen in Softwareprodukten bekannt. Dies waren rund 25 % mehr als im Zeitraum Juni 2021 bis Mai 2022. 15 % aller festgestellten Schwachstellen wurden als kritisch eingestuft.
Um diesem Problem zu begegnen, existieren bereits bewährte Vorgehensweisen, wie z. B. Security by Design, Privacy by Design und Secure Software Development Lifecycle (SDLC). Häufig wird von Seiten der Hersteller jedoch die Verantwortungsübernahme gescheut. Die Gründe hierfür sind vielfältig. Neben fehlenden Fachkenntnissen wird vor allem der zeitliche Aufwand und der damit einhergehende finanzielle Aufwand gescheut. Zudem besteht ein sehr geringes Risiko, dass Kunden Haftungsansprüche gegen die Hersteller durchsetzen können.
Die Europäische Kommission hat im September 2022 einen Entwurf für einen Cyber Resilience Act (CRA) veröffentlicht. Er betrifft Hardware- und Softwareprodukte mit digitalen Elementen. Er fordert risikoangemessene Sicherheitsmaßnahmen in den Phasen Design, Entwicklung und Produktion sowie während des Inverkehrbringens und während der Nutzung. Zudem hat die Europäische Kommission im September 2022 einen Entwurf für eine neue EU Produkthaftungsrichtlinie veröffentlicht. Der Vorschlag enthält neue Bestimmungen für die Haftung für Produkte wie Software (einschließlich Systeme mit künstlicher Intelligenz) und digitale Dienste, die die Funktionsweise des Produkts beeinflussen (z. B. Navigationsdienste in autonomen Fahrzeugen). Außerdem wird die Beweislast für die Opfer unter bestimmten Umständen erleichtert.
Verantwortung im Betrieb von Informationssystemen
Laut Bitkom entstehen pro Jahr 203 Milliarden Euro Schaden durch Angriffe auf deutsche Unternehmen. Praktisch jedes Unternehmen in Deutschland wird Opfer: 84 % der Unternehmen waren im vergangenen Jahr betroffen, weitere 9 % gehen davon aus. Im Anschluss an einen erfolgreichen Ransomware Angriff sehen sich Unternehmen sowie Verbraucherinnen und Verbraucher mit der Veröffentlichung ihrer teils sensiblen Daten konfrontiert, die häufig Adress-, Bezahl- und/oder Login-Daten umfassen.
Wenngleich die Angriffe immer professioneller und damit schwerer zu entlarven sind, können doch viele Vorsichtsmaßnahmen ergriffen werden, wie etwa durch den Fokus auf Detect, Respond & Recover (siehe NIST Cybersecurity Framework), die Umsetzung eines Information Security Management Systems (ISMS) und eines Business Continuity Management Systems (BCMS).
Laut BSI haben jedoch nur ca. 20 % der Betreiber Kritischer Infrastrukturen ein voll ausgereiftes ISMS. Bei den kleinen und mittelständischen Unternehmen, die 94% der deutschen Wirtschaftsunternehmen ausmachen, installieren 62 % regelmäßig Sicherheitsupdates. 46 % überlassen ihre IT-Sicherheit einem externen Dienstleister. Lediglich 18 % besitzen einen Notfallplan. Als dominierende „IT-Sicherheitsbremse“ werden in erster Linie der Aufwand und die Kosten für den laufenden technischen Betrieb, Anpassungen und Aktualisierungen angegeben. Für 28 % ist der initiale Aufwand ein Hindernis. Zudem seien die Gehälter für Fachkräfte nicht wettbewerbsfähig und generell zu wenige qualifizierte Dienstleister verfügbar.
Um die Unternehmen zu mehr Datenschutz und Datensicherheit zu zwingen, wurden in den letzten Jahren eine ganze Reihe gesetzlicher Regelungen verabschiedet. Hier sind beispielsweise das BSI-Gesetz (2009), das IT-Sicherheitsgesetz (2015), die Datenschutz-Grundverordnung (2016) oder das IT-Sicherheitsgesetz 2.0 aus dem Jahr 2021 zu nennen. Weitere Gesetze, wie z. B. zum erweiterten Schutz kritischer Infrastrukturen, sind in Arbeit.
Verantwortung in der Ausbildung und Forschung
Wegen der großen Bedeutung der Informationstechnik für die Gesellschaft muss eine Ausbildung in IT-Sicherheit so früh wie möglich beginnen. Deshalb sieht es die Gesellschaft für Informatik (GI) als sinnvoll an, IT-Sicherheit bereits in die schulische Ausbildung zu integrieren und dies in Studiengängen aller Fachrichtungen fortzusetzen.
Ob die Realität diesem Anspruch jedoch gerecht wird, kann und sollte kritisch hinterfragt werden. Ein Blick über den Tellerrand könnte hier lohnend sein. Möglicherweise zeigen sich Muster, die wir auch von anderen technologischen Entwicklungen kennen. Ein Beispiel könnte die Sicherheit von Automobilen und Flugzeugen sein. Zunächst war sie unreguliert. Mit der Zeit reifte die gesellschaftliche Erkenntnis, dass Schadensrisiken gemindert werden müssen. Die Folge waren umfassende gesetzliche Regelungen und relevante, handlungsfähige Stakeholder wurden motiviert ihre Verantwortung wahrzunehmen.
Kommentar schreiben