PITS 2017: Wie sicher ist Deutschland vor der Bedrohung aus dem Cyberraum?

Am 12. und 13. September fand in Berlin zum neunten Mal die Public-IT-Security (PITS 2017) statt. Im Mittelpunkt: Fragen der IT-Sicherheit im öffentlichen Sektor und damit – in Zeiten immer häufigerer Cyberattacken – zu einem der wichtigsten innenpolitischen Themen. Entsprechend hochkarätig besetzt war das Teilnehmerfeld.

Die PITS ist einer der wichtigsten Treffpunkte für IT-Verantwortliche aus Behörden von Bund, Ländern und Kommunen, der IT-Sicherheitsindustrie und der Wissenschaft. Ihr Thema, die IT-Sicherheit, ist von höchster politischer Relevanz. Denn ohne sie ist breites Vertrauen in flächendeckendes E-Government – Stichwort Portalverbund – nicht möglich. Aber IT-Sicherheit ist auch längst zur Grundvoraussetzung des öffentlichen Lebens geworden. Wie groß dessen Bedrohung ist, wurde spätestens nach der raschen Verbreitung der Schadsoftware-Varianten WannaCry und Petya/NotPetya in diesem Jahr deutlich.

BSI-Präsident Arne Schönbohm bei der Eröffnungsrede

Die Politik in Bund und Ländern ist sich dessen schon länger bewusst. 2015 wurde deswegen das IT-Sicherheitsgesetz des Bundes verabschiedet, Ende 2016 beschloss die Bundesregierung die Cybersicherheitsstrategie für Deutschland. Sie beschreibt die aufzubauende Sicherheitsarchitektur Deutschlands.

Die Cybersicherheitsstrategie Deutschlands – bereits einiges geschehen

In seiner Eröffnungsrede zur PITS 2017 sagte Arne Schönbohm, Präsident im Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Hinblick auf die Cybersicherheitsstrategie, das BSI werde auch künftig als zentrale Stelle Kompetenzen und Verantwortung für die IT-Sicherheit bündeln. Dabei ziele man aber auf einen kooperativen Ansatz unter Beteiligung aller Stakeholder.

Was das im Einzelnen bedeutet, erläuterte Staatssekretär Klaus Vitt aus dem Bundesministerium des Innern, Beauftragter der Bundesregierung für Informationstechnik und als solcher verantwortlich für die Umsetzung der Cybersicherheitsstrategie.

Beispielsweise sollen:

  • das bestehende, Nationale Cyber-Abwehrzentrum (Cyber-AZ) unter der Aufsicht des BSI zu einer „ressortübergreifenden zentralen Kooperations- und Koordinierungsstelle für Cyber-Vorfälle“ weiterentwickelt werden (bisher kooperieren hier unter anderem Bundesamt für Verfassungsschutz, Bundeskriminalamt, Bundesnachrichtendienst, Bundespolizei und Bundeswehr),
  • eine formale Grundlage geschaffen werden, um relevante Lageinformationen zur Abwehr von Cyber-Angriffen zwischen Staat und Wirtschaft austauschen zu können.

Zur Umsetzung der Cyberabwehrstrategie ist bereits einiges geschehen. Beispielsweise wurde das Cyberkommando der Bundeswehr mit über 13.000 Soldaten eingerichtet, ein eigener militärischer Organisationsbereich neben Heer, Luftwaffe und Marine. Andere, echte operative Fähigkeiten wie Computer Emergency Response Teams (CERT) und oder Mobile Incident Response Teams (MIRT) wurden aufgebaut.

Klaus Vitt, Staatssekretär im Bundesministerium des Innern und Beauftragter der Bundesregierung für Informationstechnik

ZITIS: Neuer Baustein der Cybersicherheitsstrategie

Ebenfalls vor kurzem, erst im April diesen Jahres, ins Leben gerufen: ZITIS, die Zentrale Stelle für Informationstechnik im Sicherheitsbereich in München. Sie soll als Forschungs- und Entwicklungsstelle Bundeskriminalamt, Verfassungsschutz und Bundespolizei unterstützen. Die Kompetenzfelder der ZITIS liegen in Digitaler Forensik, Überwachung der Telekommunikation und der Big Data- und Kryptoanalyse. Die Behörde selbst, das betone ZITIS-Präsident Wilfried Karl in Berlin, verfüge selbst über keine operativen Befugnisse. In ihr würden ausschließlich Expertise und Kompetenzen gebündelt und der Exekutive zur Verfügung gestellt. ZITIS stehe mit dem Kryptoanalyse-Auftrag laut Karl nicht im Gegensatz zur Digitalisierungsstrategie, die explizit eine Stärkung der Verschlüsselung vorsieht. Schließlich nutzten auch Kriminelle Verschlüsselung, und man dürfe auch im Netz keine rechtsfreien Räume dulden.

„Wir müssen das Cyberabwehrzentrum als eine Drehscheibe für die Analyse der Gefährdungslage einrichten.“

– Andreas Könen, Leiter der Stabsstelle IT- und Cybersicherheit, sichere Informationstechnik, Bundesministerium des Innern

Zu wenig? Zu spät?

Trotz aller Fortschritte, die zentrale Frage auf dem Eröffnungspodium zum Thema „Vernetzte Welt – vernetzte Sicherheit: die Cybersicherheitsstrategie Deutschlands“ lautete: Tun wir in Deutschland mit der Cybersicherheitsstrategie genug, oder „too little, too late“?

Andreas Könen, Leiter der Stabsstelle „IT- und Cybersicherheit, sichere Informationstechnik“ im Bundesministerium des Innern, räumte ein, dass es nun verstärkt um die Umsetzung gehen müsse. „Wir müssen unsere Cybersicherheitsarchitektur klarer fassen und das Cyberabwehrzentrum als eine Drehscheibe für die Analyse der Gefährdungslage einrichten“, so Könen. Dazu seien technische Standards notwendig, die jetzt geschaffen werden müssten. Eine Zertifizierung für Sicherheitsprodukte sei deswegen gerade beim BSI in Entwicklung.

Dr. Katharina Ziolkowski, Regierungsdirektorin im Bundesministerium der Verteidigung kritisierte, die in der Cybersicherheitsstrategie geforderte Gesamtstaatlichkeit der Anstrengungen sei bisher nur schlecht umgesetzt. Was auf Bundesebene in Ansätzen geschehe, sein auf den Ebenen darunter kaum vorhanden: „Alle andere stehen allein und verteidigen ihren Sandkasten“, so Ziolkowski.

Entgegengesetzter Meinung zeigte sich Andreas Mück, CISO des Freistaates Bayern im Bayerischen Staatsministerium der Finanzen, für Landesentwicklung und Heimat. Aus Perspektive der Länder sieht er die Leitlinien des IT-Planungsrats zum größten Teil umgesetzt. Jedes Bundesland verfüge mittlerweile über ein CERT, der CERT-Verbund bündle alle Länder-CERTs.

Zu viel zu tun, zu wenig Personal

Bayern baue außerdem, so Mück, ein eigenes Landesamt für Sicherheit in der Informationstechnik auf. Eine Einrichtung, um die manch anderes Bundesland den Freistaat beneide. Die größte Schwierigkeit dabei sei aber nicht etwa die Finanzierung, sondern der Mangel an qualifiziertem Personal. Ein Problem, vor dem sämtliche Akteure im Feld der öffentlichen IT-Sicherheit stehen. Denn sie alle konkurrieren um dieselben Spezialisten. Auch dieses Problem dringt, das wurde auf der PITS deutlich, mit aller Macht in das Bewusstsein der Stakeholder durch. Über Ansätze zur Lösung wird bereits nachgedacht. Zu diesem und anderen Themen der PITS 2017 lesen Sie bald mehr auf LEVEL UP+.

Titelfoto, Fotos Arne Schönbohm und Andreas Könen: (c) Public-IT-Security
Foto Klaus Vitt: (c) BPA / Jesco Denzel

Alle Kommentare (0)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*