Das Thema IT-Sicherheit dürfte jedem Bundesbürger mit Computer oder Smartphone ein geläufiger Begriff sein. Assoziationen: Virenschutzsoftware und mindestens 8-stellige Passwörter bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Doch was bedeutet IT-Sicherheit im größeren Maße, z. B. in Wirtschaft und Politik? Viele von Ihnen werden sich an den Cyberangriff auf den Deutschen Bundestag im Mai 2015 erinnern. Es wurde Spähsoftware in das Parlamentsnetz eingeschleust und bundestagsfremde Personen konnten sich frei im Netz bewegen.
Die Frage, wie gefährlich Cyberangriffe auf Systeme mit sensiblen Daten sind, muss man sich kaum noch stellen. Aber wie wird in Deutschland dagegen vorgegangen?
IT-Sicherheit in Deutschland vs. Cyberangriffe
IT-Sicherheit soll webbasierte Systeme vor Schwachstellen und Verwundbarkeiten schützen. Sprich: Hacker sollen nicht die Möglichkeit besitzen, in geschlossene Systeme einzudringen und sich beispielsweise der darin enthaltenen Kundendaten bemächtigen können.
Jede Firma, jede Verwaltungseinrichtung, jeder Onlineshop, jeder Einzelunternehmer – wer im Internet agiert, setzt sich der Gefahr von Cyber-Angriffen aus. So, wie sich auch jeder Wohnungs- und Hausbewohner der Gefahr von Einbrüchen aussetzt. Was ist, kann angegriffen oder bedroht werden.
So gibt es also auch die Bedrohung im Cyberraum.
Die Bundesregierung denkt darüber natürlich nach. Auf der Fahne steht, Deutschland zu einem der sichersten digitalen Standorte der Welt zu machen. Und das ist auch gut so, denn bereits 40 Prozent der gesamten Wertschöpfung weltweit basiert schon heute auf der Informations- und Kommunikationstechnologie. Früher wurde eine Postkutsche überfallen, heute sind es auch Computersysteme. Und ähnlich wie bei sicheren Transportwegen, braucht es jetzt eine sichere und solide Informationsinfrastruktur.
Die Lage der IT-Sicherheit in Deutschland 2015
Das Bundesamt für Sicherheit und Informationstechnik – kurz BSI – gibt jährlich einen Bericht zur Lage der IT-Sicherheit in Deutschland heraus. In diesem wird die aktuelle IT-Sicherheitslage beschrieben und analysiert. Darüber hinaus werden Ursachen für und Methoden von Cyberangriffen benannt sowie Lösungsansätze vorgeschlagen.
Im Vorwort der aktuellen Ausgabe schreibt Bundesminister des Innern Dr. Thomas de Maizière:
„Mit dem Bericht zur Lage der IT-Sicherheit in Deutschland 2015 informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) über Art und Umfang der einschlägigen IT-Gefährdungen und daraus resultierende Risiken. […] Das Ende Juli 2015 in Kraft getretene IT-Sicherheitsgesetz ist ein erster wichtiger Schritt, damit die IT-Systeme und digitalen Infrastrukturen in unserem Land besser geschützt werden. Wir wollen, dass sie zu den sichersten weltweit gehören.“
Was ist das IT-Sicherheitsgesetz?
Das IT-Sicherheitsgesetz von dem de Maizière da spricht, ist am 25. Juli 2015 in Kraft getreten. Es ist dafür da, das Sicherheitsniveau für die IT zu erhöhen. Das soll dadurch erreicht werden, dass z. B. Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestmaß an Sicherheitsvorkehrungen treffen müssen. Sie müssen jeden Sicherheitsvorfall an das BSI melden. Die getroffenen Maßnahmen werden dann regelmäßig überprüft. Werden diese Punkte nicht eingehalten, droht Strafe in Form von Bußgeldern.
Kritische Infrastrukturen gehören vor allem den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen an. Wer genau nun ein Unternehmen mit kritischer Infrastruktur ist, sagt das Gesetz aber nicht. Zur Klärung dieser Fragestellung kommen dann eigene Rechtsverordnungen ins Spiel.
Das IT-Sicherheitsgesetz richtet sich aber auch insgesamt an Betreiber von Webangeboten und Telekommunikationsunternehmen. Diese sind verpflichtet, sich um einen ausreichenden Schutz der Kundendaten und ihrer IT-Systeme zu kümmern. Telekommunikationsunternehmen müssen darüber hinaus alle Kunden über mögliche Angriffe informieren.
Man unterscheidet die Funktionssicherheit (safety) und die Informationssicherheit (security). Ersteres bedeutet: Ein System verhält sich funktional wie erwartet, es macht also, was es soll. Letzteres meint den Schutz der technischen Verarbeitung von Informationen. Gleichzeitig ist die „Security“ also auch ein Teil der „Safety“, denn wenn ein System funktioniert wie es soll, sind auch die Daten geschützt.
Das Ganze richtet sich vor allem nach drei Schutzzielen, die auch als „Allgemeine Schutzziele“ bezeichnet werden:
- Vertraulichkeit (engl.: confidentiality)
Heißt: Nur berechtigte Personen dürfen Daten einsehen und mit ihnen arbeiten. - Verfügbarkeit (engl.: availability)
Heißt: Es dürfen keine Systemausfälle passieren. Zugriff auf Daten muss innerhalb des vereinbarten Zeitraums funktionieren. - Integrität (engl.: integrity)
Heißt: Es ist nicht erlaubt, Daten unbemerkt zu verändern. Jede Änderung muss immer nachvollziehbar sein.