IT-Grundschutz des BSI reicht nicht aus

Spam ist nicht Stuxnet

26.06.2013 von Johannes Klostermeier
Öffentliche Hand und Bürger brauchen ein besseres Verständnis für IT-Sicherheit. Ein Whitepaper und eine Veranstaltung von HP und Fraunhofer sollen dabei helfen. Dafür werben Peter Schöpf und Ansgar Baums von HP im Interview.

Peter Schöpf, Vertriebsdirektor bei HP Software und zuständig für die Öffentliche Hand, ist für das neue Whitepaper von HP „IT-Sicherheit in der Öffentlichen Verwaltung" verantwortlich. Außerdem leitet er die Zusammenarbeit mit dem Fraunhofer Institut Fokus, das seit kurzem ein Kompetenzzentrum für die Öffentliche IT unterhält. Schöpf betreut Landesbehörden, Bundesbehörden und Kommunen.

Peter Schöpf ist als Vertriebsdirektor bei HP Software zuständig für die Öffentliche Hand.
Foto: HP

Ansgar Baums ist als Director Government Relations für die Regierungskontakte des Unternehmens zuständig - seine Themen sind unter anderem der Datenschutz, Urheberrecht, Nachhaltigkeit und IT-Sicherheit. Baums leitet die Geschäftsstelle Berlin mit 150 Mitarbeitern.

CIO.de: In Mecklenburg-Vorpommern hat ein Institut PCs mit dem Conficker-Virus verschrottet und sich neue gekauft. Ist das eine vorbildliche IT-Sicherheitsstrategie?

Ansgar Baums: Wohl kaum! Aber zumindest kurbelt das den Hardwareumsatz an (lacht)…

CIO.de: Der IT-Direktor des Bundesinnenministeriums sagt, dass das Thema Sicherheit in der Öffentlichen Verwaltung stark zugenommen hat. Ist das auch Ihr Eindruck?

Peter Schöpf: Grundsätzlich teilen wir diese Einschätzung. Die Anzahl der nachgewiesen Angriffe geht zwar herunter, gleichzeitig nimmt die Schwere zu. Die Öffentliche Hand hat zudem eine „zero risk"-Anforderung bezüglich der IT-Sicherheit.

CIO.de: Der IT-Grundschutz stößt an seine Grenzen, sagen Sie. Was meinen Sie damit?

Schöpf: Ja, weil die Art der Angriffe sich ändern. Sie haben einen politischen oder finanztechnischen Hintergrund und werden immer professioneller. Es gibt mehrstufige Angriffskonzepte. Meistens gehen die Angriffe auf Websites oder Datenbanken, um im Backend Schaden anzurichten. Es geht dabei um Advanced Persistent Threats, komplexe, zielgerichtete und effektive Angriffe auf kritische IT-Infrastrukturen und vertrauliche Daten.

CIO.de: Wer will denn Daten aus der Öffentlichen Verwaltung stehlen?

Ansgar Baums organisiert als Director Government Relations die Regierungskontakte von HP.
Foto: HP

Baums: Zunächst einmal: Der Begriff IT-Sicherheit kommt hier an seine Grenzen. Wir diskutieren nicht präzise genug. Vergleichen Sie das einmal mit dem konventionellen Sicherheitsbegriff: Niemand würde Straßenkriminalität und Atomkrieg in einen gemeinsamen Topf werden. Auf Veranstaltungen zur IT-Sicherheit passiert genau das: Man redet über Spam, im nächsten Satz geht es um Stuxnet. Hier brauchen wir ein besseres Verständnis, dass „IT-Sicherheit" an sich kein ausreichend definierter Begriff ist.

"Man redet über Spam. Im nächsten Satz geht es um Stuxnet"

Zu Ihrer Frage: Das Risikoprofil in der öffentlichen Verwaltung ist natürlich sehr heterogen. Ein Bezirksamt wird andere Herausforderungen haben als eine für die öffentliche Sicherheit kritische Bundesbehörde – und zwar sowohl hinsichtlich der Komplexität von Angriffen, aber auch hinsichtlich der finanziellen und organisatorischen Möglichkeiten zur Abwehr. Grundsätzlich warne ich vor der Einschätzung, „man sei als Ziel ja gar nicht so interessant für Cyber-Attacken". Bis vor wenigen Monaten hätten wir wohl nicht gedacht, dass eine große amerikanische Tageszeitung systematisch attackiert würde.

CIO.de: Wie beraten Sie die Behörden?

Schöpf: IT-Sicherheit ist ein Prozess, der möglichst früh anfangen muss. Das fängt beim Entwickeln der Applikation an. Da geht es um Codeanalyse wie sie HP Fortify zur Verfügung stellt. Phase 2 ist der Betrieb: Da müssen Sie die ganze IT betrachten. Welche Schnittstellen gibt es nach außen? Es gibt ein Security Information Event Management, das alles analysiert und sicherheitsrelevante Maßnahmen in Echtzeit adressiert. Das macht bei uns etwa das Produkt Arc Sight Logger.

Da erkennt man leicht illegale Machenschaften, Abflüsse nach außen, Ports, die angegriffen werden, ganzheitlich betrachtet über die ganze IT. Die dritte Sparte betrifft die Hardware, um die Organisationen nach außen abzusichern. So legen wir einen Sicherheitsschirm um die Behörde, wo der Sicherheitsgrundschutz an seine Grenzen stößt.

CIO.de: Nun geht es politisch auch um Open Data. Ist das ein Widerspruch zum Thema Security? Und: Der Staat will ja nicht nur Datenschutz sicherstellen, sondern spioniert die Bürger auch selbst aus.

Baums: Es gibt ein magisches Dreieck der digitalen Standortpolitik: Sicherheit, Freiheit und wirtschaftlicher Wohlstand sind Ziele, die in einem potenziellen Widerspruch stehen können. Wenn ich die Sicherheit zu sehr betone, werde ich Schäden bei der freiheitlichen Infrastruktur und beim Wirtschaftswachstum haben. Bei Open Data besteht in dieser Logik eine Spannung zwischen Freiheit und Sicherheit.

Man kann das natürlich moderieren und eine für alle Beteiligten akzeptable Lösung finden, aber man sollte den Grundkonflikt nicht verheimlichen. Wir werden deswegen Entscheidungen treffen und Prioritäten setzen müssen. Soll man alles hinter IT-Sicherheit zurückstellen? Das wäre eine unhaltbare Position.

"Der Digital IQ ist ein ganz zentraler Aspekt von IT-Sicherheit"

CIO.de: Dafür ist Wissen notwendig, das oft gar nicht vorhanden ist, nicht bei den Bürgern und oft auch nicht in der Politik.

Baums: Richtig – „Digital IQ" ist ein ganz zentraler Aspekt von IT-Sicherheit. Es gab mal auf Bundesebene eine Diskussion zum Stichwort „Technologische Souveränität". Was müssen wir in Deutschland herstellen, um Sicherheit garantieren zu können? Müssen wir hier bei uns auch eigene Handys oder Router bauen? Das ist nicht möglich. Wir müssen diese Sachen nicht bauen, wir müssen sie aber selbst bewerten können. Diesen „Digital IQ" benötigen wir in der Politik und in der Verwaltung.

Das wird angesichts des zunehmenden Fachkräftemangels und der demografischen Entwicklung ein „dickes Brett" sein. Das BSI kann als Elitetruppe zwar noch die richtigen Mitarbeiter rekrutieren. Viele Behörden haben aber damit zunehmend Schwierigkeiten.

Interessant ist hier das neue IT-Sicherheitsgesetz zu Berichtspflichten über Cyber-Attacken auf kritische Infrastrukturen. Der Gesetzesentwurf sieht einen gewaltigen Personalzuwachs beim BSI vor. Im Vergleich zum amerikanischen Ansatz fällt aber eines auf: Der US-Ansatz geht von einem Austausch zwischen Verwaltung und Unternehmen auf Augenhöhe aus. Bei uns geht es darum, dass die Firmen überhaupt erst einmal dem Staat, der im Dunkeln tappt, mitteilen, was an Angriffen alles passiert. Der Staat macht damit auch deutlich, dass er sich als Teil der Daseinsvorsorge um kritische Infrastrukturen kümmern muss.

Schöpf: Es gibt einen Zwang zur Konsolidierung auf die Dienstleistungscenter des Bundes und der Länder. Beim demografischen Wandel muss man das richtige Wissen einsetzen und nicht Dinge tun, die man automatisieren kann. Es geht um standardisierte Services und Lösungen. Man muss aber zuerst konsolidieren und virtualisieren, dann automatisieren. Bei uns will man sehr stark die Kontrolle behalten, da sind Großbritannien und die USA schon viel weiter.

CIO.de: Was halten Sie von Hacker-Wettbewerben wie etwa dem IT-Security-Cup der Deutschen Post? Ist das auch ein Modell für die Öffentliche Hand?

Schöpf: Was wir bei HP Software tun, ist Software Governance, dort wird die interne und externe Servicesicht reflektiert. Damit wird sichergestellt, dass die Vorschriften und Prozesse verfügbar sind. Bei uns heißt das Service Integration and Management (SIAM). Das haben wir aber bislang noch nicht auf die Öffentliche Hand ausgeweitet.

IT-Sicherheit bei demografischem Wandel und sinkenden Budgets

CIO.de: Sie haben jetzt ein Whitepaper zum Thema herausgegeben, an wen wendet es sich?

Schöpf: Wir haben dort versucht, den gesamten Lösungsansatz von HP in Beziehung zur öffentlichen Verwaltung zu setzen. Wir wenden uns vor allem an Bundes- und Landesbehörden, Bundesdatenschutzbeauftragte und Sicherheitsbeauftragte. Dazu gibt es demnächst auch eine Veranstaltung zusammen mit Fraunhofer Fokus. Wir haben in Berlin mit CSC ein Cyber-Security-Center eingerichtet, mit dem wir zeigen, was es heißt, wenn jemand aus Haiti einen Hack auf eine Behörde initiiert. Am 27. Juni nutzen wir die Möglichkeit, einen ganzen Tag lang über Sicherheitsthemen zu sprechen.

Baums: Wir benötigen strategische Guidance für den Öffentlichen Sektor im Bereich IT-Sicherheit unter der Berücksichtigung der Faktoren demografischer Wandel und der Budgetsituation der Kommunen. Der IT-Planungsrat müsste sagen: Das ist unsere Vision, da wollen wir in zehn Jahren stehen, und wie spiegelt sich das beim Thema IT-Sicherheit wider? Diese Weichenstellung fehlt uns derzeit. Dabei wollen wir mithelfen.

Fraunhofer Fokus: „IT-Sicherheit in der öffentlichen Verwaltung"

Das Strategiepapier von HP „IT-Sicherheit in der öffentlichen Verwaltung" gibt es kostenfrei nach einer E-Mail an info.hpsoftware.de@hp.com, „Betreff: IT-Stategiepapier" oder unter 069/66 30 80 25.

Die Veranstaltung „IT-Sicherheit in der öffentlichen Verwaltung" von HP, CSC und Fraunhofer Fokus findet am Donnerstag, 27. Juni im Cybersecurity Demonstration Center des Fraunhofer-Instituts Fokus in Berlin statt. Es gibt neben Vorträgen auch eine Live-Hacking-Demo, wobei ein mehrstufiger Angriff auf ein System erkannt und verhindert werden soll. Anmeldungen hier.