José Angel Gurrias: "The end of life challenge is literally a ticking time bomb."
Manfred Kloiber: Eine tickende Zeitbombe nannte der Generalsekretär der OECD, José Angel Gurria das ungelöste Problem des Lebenszykluses von IT-Produkten auf der Münchner Cyber-Sicherheitskonferenz. Die fand am Donnerstag, dem Vortag der Münchner Sicherheitskonferenz statt. Und es wurde heftig über kritische Infrastrukturen und digitale Souveränität debattiert. Was haben diese beiden Probleme denn mit dem Lebenszyklus von IT-Produkten zu tun?
Peter Welchering: Viele Sicherheitslücken entstehen dadurch, dass mit veralteter Software gearbeitet wird, dass Hersteller von IT-Produkten nur für eine sehr begrenzte Zeit Patches, also Nachbesserungen liefern. Windows 7 ist da ein gutes Beispiel, das steht ja noch in vielen Firmen an. Und insbesondere in der Industrie, wo Produktionsanlagen 20 bis 30 Jahre betrieben werden, wirkt sich die kurze Laufzeit von IT-Wartungen in Sicherheitshinsicht oft katastrophal aus. Was dagegen getan werden muss, ist schon seit vielen, vielen Jahren klar: Sicherheitslücken müssen gesucht, erkannt und geschlossen werden. Das passiert aber nicht. Viele staatliche Behörden haben ein großes Interesse daran, Sicherheitslücken für ihre digitalen Waffen, ihre Spionageprogramme, ihre staatspolitische Ziele zu nutzen. Und das spiegelt sich sowohl auf der Münchner Sicherheitskonferenz als auch auf ihrer Tochterveranstaltung, der Münchner Cyber-Sicherheitskonferenz, deutlich wider. Wir sind hier in einem Dilemma.
Gute Sicherheitsstandards versus Hackback
Wenn kritische Infrastrukturen, Wirtschaft und Gesellschaft von sicheren IT-Produkten abhängen, dann können wir uns Sicherheitslücken nicht leisten. Doch in München reden Sicherheitspolitiker stattdessen vom Hackback, halten an der Strategie der Abschreckung fest, die auch digitale Waffen umfassen müsse. Und das ist tatsächlich teilweise erschreckend: Auf der Cyber-Sicherheitskonferenz die Debatte über den Schutz von kritischen Infrastrukturen, die digitale Souveränität erst möglich machen. Auf der eigentlichen Sicherheitskonferenz Hackback und digitale Waffen als Zeichen einer angeblichen digitalen Souveränität.
Kloiber: Und diese Diskussion auf der Münchner Cyber-Sicherheitskonferenz haben wir zusammengefasst:
"Im Jahr 2018 haben 64 Prozent der Internetnutzer in den OECD-Ländern online eingekauft, 73 Prozent nutzten soziale Netzwerke und 68 Prozent das Online-Banking. Also ein sehr deutlicher Anstieg. Dies wächst exponentiell. Wir befinden uns also in einer Wirtschaft, die zunehmend digitalisiert wird." Mit diesen Daten unterstrich José Angel Gurria, Generalsekretär der OECD, die Bedeutung digitaler Infrastrukturen. Aber genau diese Infrastrukturen sind hochgradig gefährdet. Scott Jones vom kanadischen Center für Cyber-Sicherheit sieht das so."Wir haben täglich Millionen Fälle von Cyberkriminalität. Milliarden von Maßnahmen zur Verteidigung unserer Regierung pro Tag. Und wir informieren über die Vorfälle. Es wird alles international mit Freunden und denen geteilt, die nicht unsere Freunde sind. Das ist eine kurzfristige Lösung. Die längerfristige Lösung ist wirklich, dass wir dies verbessern müssen. Wir müssen die Produkte verbessern - langfristig."
Viele IT-Produkte mit lausigem SicherheitsstandardUnd viele IT-Produkte werden mit einem lausigen Sicherheitsstandard ausgeliefert. So entstehen zusätzliche Sicherheitslücken, die für digitale Angriffe und Spionage ausgenutzt werden. Claudia Eckert vom Fraunhofer-Institut für angewandte und integrierte Sicherheit gab den Politikern auf der Münchner Konferenz ein wenig Nachhilfe in Sachen Produktsicherheit."Wir bauen nach wie vor viel zu löchrige Hardware, wir wissen gar nicht, was da alles drin ist. Wir müssen die Software verbessern, wir müssen das über die gesamten Lebenszeit von Produkten machen. Und wenn wir uns zum Beispiel Internet of Things (IoT) anschauen, hier wird nach wie vor preiswert produziert, ist schnell auf den Markt gebracht, ohne die Sicherheit zu beachten. Hier muss unbedingt nachhaltig in die Technik investiert werden." So ganz wollte Margaritis Schinas, der neue Vizepräsident der Europäischen Union und dort für Sicherheitsfragen verantwortlich, diese Kritik nicht hinnehmen. Brüssel bemühe sich doch, hier verbesserte Strukturen zu schaffen, so Schinas."Wir haben vorgeschlagen, ein neues Kompetenzzentrum einzurichten. Und ich hoffe, dass dies so bald wie möglich geschehen wird. Dieses neue Kompetenzzentrum wird helfen, die europäische Cybersicherheit zu stärken und unsere Wirtschaft und Gesellschaft vor Angriffen zu schützen, die Forschung sowie die Exzellenz und Wettbewerbsfähigkeit unserer EU-Industrie zu erhalten. Diese Bemühungen sind jetzt relativ dringend."
Kloiber: Immerhin hat man das Problem in der EU-Kommission doch erkannt. Hat die Kommission denn schon eine Strategie für digitale Souveränität erarbeitet?
Keine einheitliche EU-Strategie
Welchering: So eine richtige Strategie dazu gibt es in Brüssel nicht. Allerdings ist die von der Bundesregierung am Mittwoch vorgelegte Strategie von den Mitgliedern der EU-Kommission mit großem Interesse gelesen worden. Ob das allerdings die Ausarbeitung einer europäischen Strategie beschleunigt, das wird skeptisch eingeschätzt. Und das hat damit zu tun, dass die Vorstellungen, was denn unter digitaler Souveränität zu verstehen sei, ausgesprochen weit auseinanderliegen – in der EU und in der Bundesregierung. Markus Braendle, Chef von Airbus Cyber Security, betont, dass es zumindest eine europäische digitale Souveränität geben müsse. An der müssen ihm zufolge die EU-Mitglieder mit ihren jeweiligen nationalen Schlüsselindustrien für die Verteidigung mitarbeiten.
Die Bundesregierung geht darüber sogar noch hinaus. In ihrem Strategiepapier steht nämlich, dass der Anteil an ausländischer Informationstechnik abgebaut werden soll. Nur so könne man digitale Souveränität und Resilienz, also Widerstandskraft, gegenüber hybriden Bedrohungen, also auch digitalen Angriffen erhalten. Erstaunlicherweise hat Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik, dann am Donnerstag im Panel über digitale Souveränität sehr klar formuliert, dass es digitale Souveränität doch nie gegeben habe. VW würde 90 Prozent seiner Software aus dem Ausland beziehen und mehr als zehn Prozent könnten auch inländisch gar nicht geleistet werden. Dieses Statement des BSI-Präsidenten wurde auf der Münchner Konferenz als Zeichen dafür gewertet, dass auch in der Bundesregierung die Vorstellungen von digitaler Souveränität weit auseinanderliegen. Denn der BSI-Präsident dürfte nur das wiedergegeben haben, was sein Dienstherr, Innenminister Seehofer, denkt.
Kloiber: Welche industriepolitischen Konsequenzen hat diese unterschiedliche Bewertung von digitaler Souveränität denn?
Welchering: Im Verteidigungsbereich andere als in anderen IT-Anwendungsbereichen. Da haben Unternehmen wie Airbus Cybersecurity eine sehr gute Lobbyarbeit in Brüssel geleistet. Denn in der Kommission will man die verteidigungspolitischen IT-Komponenten mit Airbus als dem europäischen Gemeinschaftsunternehmen realisieren. Und die sollen darüber hinaus auch als Vorbild für den zivilen Bereich dienen. Bei der europäischen Cloud, die vor allen Dingen die Wirtschaftspolitiker ja entwickeln wollen, wird ja immer darauf hingewiesen, dass die sich an Airbus orientieren soll.Diskussion von EU-Kooperationen.
Kloiber: Lässt sich denn im Verteidigungsbereich der Bedarf an IT-Produkten aus europäischer oder nationaler Produktion decken?
Welchering: Das dann eben teurer, viel teurer sogar. Die Strategie der Bundesregierung, zumindest so, wie sie auf der Münchner Sicherheitskonferenz diskutiert wird, unterscheidet hier drei Bereiche. Ein Teil der Kommunikationshardware soll da mit global verfügbaren Technologien abgedeckt werden. Mit anderen Worten: Router, Switches, Vermittlungstechnik gibt es weiter von Cisco und Huawei. Aber wenn diese Hardware in sicherheitsrelevante IT eingebaut wird, dann muss sie noch mal überprüft werden. Diese Überprüfungen sollen gemeinsam mit EU-Partnern vorgenommen werden. Und beim Rest der Verteidigungstechnologie da soll es eine nationale digitale Souveränität geben.
Kloiber: Woraus besteht denn dieser Rest im IT-Bereich?
Welchering: Da geht es um Software für die Muster- und Gesichtserkennung. Da handelt es sich um KI-Systeme fürs autonome Fahren. Und es geht um entscheidungsunterstützende Systeme, auch sogenannte Lagebeurteilungssysteme. Prognosetechnologien gehören da natürlich auch dazu. Für den Verteidigungsbereich von sehr großer Bedeutung ist die gesamte elektronische Kampfführung. Auch die gilt als nationale Schlüsseltechnologie. Und letztlich zählt auch alles im Bereich Verschlüsselung dazu.Möglicherweise nicht genügend Kapazitäten.
Kloiber: Gibt es denn ausreichende Ressourcen, um das alles in nationaler digitaler Souveränität zu entwickelt und herzustellen?
Welchering: Eindeutig nein. Deshalb wird auf der Münchner Sicherheitskonferenz auch darüber diskutiert, dass solche nationalen Schlüsseltechnologien mit europäischen Partnern angegangen werden können. Wie bei Airbus ein Militärtransporter dann gemeinsam von mehreren EU-Staaten entwickelt wurde, für einzelne Staaten auch noch mit extra Details versehen wurde, so soll das auch bei KI-Systemen oder in der vernetzten Operationsführung, wozu Kryptoprodukte gehören, möglich sein. Und da sagen die Amerikaner erstaunlich klar: Viel Spaß dabei. Ihr werdet schon sehen, was ihr davon habt.