Aktuell: Wochenend-Magazin FR7 | FR-Recherche: Medikamententests an Heimkindern | Türkei | Flüchtlinge in Deutschland und Europa | US-Wahl
Möchten Sie zur mobilen Ansicht wechseln?
Ja Nein

Meinung
Kommentare, Kolumnen, Analysen

10. Oktober 2014

NSA Geheimdienste: Firmen als Helfer der Geheimdienste

 Von Rainer Böhme
Das Google-Datenzentrum in Pryor, Oklahoma. Hier soll sich die Datenkrake NSA bereits eingeklinkt haben.  Foto: dpa

Die Pläne der Regierung für mehr Schutz vor Angriffen im Netz könnten Firmen zu Helfern der Geheimdienste machen. Der FR-Gastbeitrag von Rainer Böhme.

Drucken per Mail

Zuerst ist die Einsicht wichtig: Selbst mit großem Sachverstand ist es sehr schwierig, die Sicherheit privater Rechner und vernetzter Technik der Unternehmen vollständig gegen Angriffe abzusichern. Cyberkriminelle bedrohen Unternehmen und Privatanwender, indem sie Computer und Smartphones in der Netznachbarschaft missbrauchen. Das gelingt, weil ihre Besitzer sie nicht ausreichend absichern. Passwörter kursieren im Netz, weil Betreiber von Webseiten, sie nicht wirksam schützen. Diese Beispiele zeigen, dass IT-Sicherheit ein öffentliches Gut ist.

Deswegen ist es ebenso wichtig zu fragen, ob die Gewährleistung der IT-Sicherheit grundsätzlich eine Aufgabe des Staates sein kann. Doch wie könnte ein geeigneter Staatseingriff in diesem Bereich aussehen? Der kürzlich vorgelegte zweite Entwurf für ein deutsches IT-Sicherheitsgesetz lässt zweifeln, ob der eingeschlagene Weg der passende ist. Der Entwurf legt der Wirtschaft Berichts- und Meldepflichten auf: Viele Unternehmen müssen künftig erhebliche Sicherheitsvorfälle an die Behörden melden.

Meldepflichten für Sicherheitsvorfälle sind im Prinzip geeignete und international erprobte Mittel. Sie können theoretisch über zwei Mechanismen zu mehr Sicherheit führen. Erstens verbessern Unternehmen ihre IT-Sicherheit allein deshalb, um mögliche Imageschäden durch Offenlegung von Sicherheitsvorfällen abzuwenden. Zweitens können sich Verbraucher selbst schützen, wenn die erfahren, welche ihrer Daten in falsche Hände geraten sind. Zum Beispiel können sie ihre Passwörter ändern oder die Kreditkartenabrechnung genauer prüften. In beiden Fällen hängt der Erfolg von Meldepflichten davon ab, dass die Meldung – unter Wahrung des Datenschutzes – öffentlich erfolgt.

Teures Experiment

Umso überraschender ist es, dass der Gesetzentwurf keine systematische Veröffentlichung vorsieht. Stattdessen sollen die gewonnenen Informationen in ein behördliches Lagebild einfließen. Ob und wie ein solches Lagebild die tatsächliche Sicherheit von Unternehmen und Haushalten verbessern kann, dafür gibt es international weder in Wissenschaft noch Praxis belastbare Erkenntnisse. Wenn die Regierung hier keine Fakten vorlegt, gleicht die Umsetzung des IT-Sicherheitsgesetzes einem Experiment.

Und es wird ein teures Experiment. Der mit jährlich 24 Millionen Euro kalkulierte Personalaufbau bei deutschen Behörden ist nur ein kleiner Bruchteil der Kosten, die der Wirtschaft und letztendlich den Verbrauchern entstehen. Viele Unternehmen sind derzeit gar nicht in der Lage, IT-Sicherheitsvorfälle selbst als solche zu erkennen und eine Meldung zu veranlassen.

Weil aber Nichtwissen kein Alibi für das Verschweigen von Vorfällen sein darf, sind eine Vielzahl zusätzlicher Betriebsprüfungen notwendig. Die Kosten und damit einhergehende Nachteile im internationalen Wettbewerb treffen zunächst die Unternehmen, obwohl viele von ihnen bereits jetzt einer Fachaufsicht unterliegen und sich regelmäßig deren Prüfungen unterziehen. Kommt eine weitere Aufsichtsbehörde speziell für die IT-Sicherheit hinzu, sind auch Doppelmeldungen und ungeklärte Zuständigkeiten nicht auszuschließen.


Die politischen Analysen und Kommentare der FR -
auch unterwegs auf dem Laufenden mit „FR News“.
Unsere beliebte App für iPhone und Android-Smartphones.

Rohstoff für Cyberwaffen

Das IT-Sicherheitsgesetz orientiert sich an der europäischen Cyber-Sicherheitsstrategie. Der deutsche Gesetzentwurf geht jedoch über die geplante EU-Richtlinie hinaus, indem er die Meldepflicht von Sicherheitsvorfällen auch auf Sicherheitslücken ausdehnt. Dies ist ein bedeutender Unterschied. Sicherheitsvorfälle sind Ereignisse, während Sicherheitslücken einen Zustand darstellen. Sicherheitslücken schlummern oft unentdeckt in einer Software. Eine aktive Suche ist sehr kostspielig. Einmal entdeckt, werden sie zur denkbar sensibelsten Information.

Informationen über Sicherheitslücken sind eine Art Generalschlüssel zur Kontrolle von informationstechnischen Systemen – eigenen und insbesondere fremden – weshalb sie auch als „Rohstoff für Cyberwaffen“ bezeichnet werden und von geheimdienstlicher wie militärischer Bedeutung sind. Die Cyberwaffe Stuxnet zum Beispiel nutzte mehrere geheim gehaltene Sicherheitslücken. Es wäre besorgniserregend, wenn eine große Zahl deutscher Unternehmen zu unfreiwilligen Handlangern der Geheimdienste würde. Die Verschiebung von Planstellen und Sachmitteln von Polizeibehörden zu Geheimdiensten im Vergleich zum ersten Gesetzentwurf aus dem vergangenen Jahr bekräftigt diese Sorge und konterkariert erneut das Trennungsgebot zwischen Polizei und Geheimdiensten im Cyberspace.

Natürlich besteht dringender Bedarf, den verantwortungsvollen Umgang mit Informationen über Sicherheitslücken in der Informationsgesellschaft grundsätzlich zu regeln. Dies erfordert aber grundlegende Forschung und eine eigene Debatte. Es wäre äußerst unseriös, wenn eine Verpflichtung zur bedingungslosen Weitergabe dieser Informationen an staatliche Stellen über die Hintertür einer Meldepflicht für Sicherheitsvorfälle eingeführt würde.

Sollte es bei diesem deutschen Alleingang bleiben, könnte sich das IT-Sicherheitsgesetz als Sargnagel für den Softwareentwicklungsstandort Deutschland entpuppen. Das sind düstere Aussichten für das Wachstum der hochgelobten „Industrie 4.0“, deren Ziel es ist, Software mit Hardware zu verschmelzen. Etwas weniger Wachstum wäre möglicherweise vertretbar, wenn sich dafür die Risiken begrenzen ließen. Allein dazu fehlt es an überzeugenden Konzepten.

Rainer Böhme ist Juniorprofessor für Wirtschaftsinformatik, insbesondere IT-Sicherheit, an der Westfälischen Wilhelms-Universität Münster. Er forscht unter anderem zu ökonomischen Aspekten von IT-Sicherheit und Cyber-Kriminalität.

[ Hat Ihnen der Artikel gefallen? Dann bestellen Sie gleich hier 4 Wochen lang die neue digitale FR für nur 5,90€. ]

Zur Homepage

Anzeige

comments powered by Disqus

Anzeige

Ressort

Nachrichten aus den Inland und Ausland, Analysen und Kommentare.

Cyberangriff Telekom

Freude am Systemabsturz

Von  |
Sicherheitskongress der Telekom in Frankfurt.

Das Gefühl der permanenten Bedrohungslage hat die Normalität abgelöst. Und die Frage, wie wollen wir leben, wird ersetzt durch den Ausruf: So kann es nicht weitergehen. Der Leitartikel.  Mehr...

Medien

Der Deutsche Presserat als Hygienestation

Den Vorwurf der "Lügenpresse" kann auch der Presserat nicht entkräften.

Der Presserat hat die undankbare Aufgabe, die Medien daran zu hindern, so zu werden, wie Kritiker sie ohnehin sehen. Für die sozialen Medien gibt es solch eine Institution nicht. Der Leitartikel.  Mehr...

 

Verlagsveröffentlichung


Der Kampf um die Startbahn West +++ Tschernobyl-Katastrophe erreicht Frankfurt +++ Attentate erschüttern Rhein-Main-Gebiet +++ Der Main erhält ein Museumsufer +++ Hochhäuser in Frankfurt

Dossier


Millionen Menschen verlassen ihre Heimat. Sie fliehen vor Krieg oder Umweltschäden; sie suchen Arbeit, ein besseres Leben. Nicht wenige sterben, etwa vor Lampedusa. Andere schaffen es nach Deutschland - und werden hier nicht immer gut behandelt.

Übersichtsseite - alles auf einen Blick.

Zuwanderung in Frankfurt und Rhein-Main.

Schicksale - die betroffenen Menschen.

Lampedusa - Europa schottet sich ab - die Folgen.

Talkshow-Kritiken auf einen Blick
Meinung