Feedback Wanted, but... Security Needed

VON Dr. Wolf SiegertZUM Montag Letzte Bearbeitung: 14. März 2015 um 01 Uhr 31 Minuten

 

Dass auf dieser Online-Publikation nur in Ausnahmefällen auf Kommentare und Hinweise aus der Leserschaft reagiert wird, sollte sich inzwischen herumgesprochen haben. Jetzt aber häufen sich reihenweise Rückmeldungen, die in dieser Form weder Sinn machen, noch den Verstand haben, das Einverständnis oder den Widerspruch von "echten" Leserinnen oder Lesern wiederzugeben [1] :


© all rights reserved

Da kommt es gerade recht, dass für heute zu einem persönlichen CeBIT-Pressegespräch zum Thema "IT-Security" nach Nürnberg ins Maritim-Hotel unter anderem mit den folgenden Worten schriftlich eingeladen wurde:

... die rasante Digitalisierung lässt neue Wertschöpfungsketten, komplexe Verknüpfungen und Infrastrukturen entstehen, die eine fortwährende Absicherung gegen interne und externe Bedrohungen erfordern. Dabei wird das Thema IT-Sicherheit gleichzeitig zur Herausforderung und zum Erfolgsfaktor.

Wir laden Sie ein, sich darüber zu informieren, welche Anforderungen Anwender an Sicherheitslösungen haben, welche Maßnahmen Anbieter empfehlen und wie die wichtigste Veranstaltung für IT und Digitalisierung, die CeBIT, das Thema darstellt.

[...]

Als Gesprächspartner [2] erwarten Sie [3]:

- Prof. Dieter Kempf, Vorstandsvorsitzender der Datev, Nürnberg, und BITKOM-Präsident
Safety, Securitiy, Privacy... das sind unsere Themen, die Dank des freien Mitarbeiters in unseren Reihen, einem gewissen Herr Snowden, immer wieder mit neuem Material angereichert werden :-).
Es werden neue Möglichkeiten erprobt, wie zum Beispiel das Covern von potenziell gefährdenden Mails mit dem DATEV Mail-Radar. Das Ziel dieser wie auch vieler weiterer Bemühungen ist höchstmögliche Sicherheit vor allem für die freien Berufe [4].
Aus BITKOM-Sicht ist das IT-Sicherheits-Bewusstsein insgesamt zwar gewachsen, aber die Schere der Bereitschaft zur tatsächlichen Nutzung der IT-Sicherheitsdienste ist noch weiter auseinander gegangen.
Es gibt nach wie vor nicht genügend Awareness in Bezug auf dieses Thema, und das schon seit Jahren nicht. Dabei gilt immer noch jener alte Spruch: "Hohe Sicherheit ist teuer, schlechte Sicherheit ist unbezahlbar."

- Oliver Frese, CeBIT-Vorstand bei der Deutschen Messe AG, Hannover
Die Digitalisierung hat nach der Massentauglichkeit des Computers und dem Einzug des Internets die dritte Stufe erreicht: nicht mehr nur Mittel zum Zweck zu sein, sondern selber Produktions- und Kommunikations-Mittel.
In diesem Jahr ist das Thema in die Halle 6 verlagert - und auch an vielen anderen Orten prominent präsent, vor allem in der Halle 12. Insgesamt wird das Thema von über 500 Unternehmen präsentiert werden. Im Jahr 2014 hat dieses Thema schon mehr als 70tausend Besucher gezogen. [5]

- Franz Josef Pschierer, Staatssekretär im Bayerischen Staatsministerium für Wirtschaft und Medien, Energie und Technologie, München
Die CeBIT ist ein sehr wichtiger Branchentreff. Bayern ist mit 260 Unternehmen vertreten. Das Thema "Bayern digital" wird die nächsten Jahre spannend machen. Der Vorteil des Standortes: Die Koppelung von Industrie u n d Anwender-Industrie. "München ist schon heute DER IKT-Standort europaweit, noch vor London und Paris." [6]
Das Internet der Dinge funktioniert, wenn das Vertrauen in die Industrie gross genug ist.
Wichtige Themen sind u.a.: Wirtschaftsschutz, Förderprogramme vor allem für die mittelständische Wirtschaft, Sicherheit Made in Bavaria als Export-Produkt, Ausbau der Fraunhofer-Institute, ...

- Dr. Markus Eder, Geschäftsführer von Bayern Innovativ, Nürnberg [7]
Als neuer Geschäftsführer "ein herzliches Grüss-Gott": hier sollen vor allem die kleinen und mittleren Unternehmen gefördert werden, 18 von diesen werden nach Hannover kommen. Und am Abend des 18. März 2015 wird Staats-Ministerin Ilse Aigner zu einem Empfang am Bayern-Stand einladen.

- Sascha Pfeifer, Principal Security Consultant bei Sophos, Karlsruhe
Wir feiern in diesem Jahr das 30jährige Jubiläum. Das Thema Anti-Virus ist heute nur noch ein Baustein in einer grösseren Landschaft. Es geht um Wertschöpfungs-Sicherungs-Möglichkeiten durch eine neue Risikobewertung des Unternehmens. Diese Herausforderung wird von vielen mittelständischen Unternehmen bis heute nicht verstanden. 19% des Gesamt-IT-Budgets wird im Schnitt für Sicherheit ausgegeben - und dieser Anteil sinkt eher noch, obwohl die Gefährdung steigt. Cloud? Der Begriff verursacht immer noch "kalten Schweiss und zittrige Hände."

- Holger Suhl, General Manager DACH, Kaspersky Lab, Ingolstadt
Der Erfolg des Unternehmens liegt vor allem in der Kooperation - auch wenn darüber nicht immer offen geredet werden kann. "Mein Schreckensszenario, da ich selber auch im schweizer Parlament sitze: Jemand hackt das e-Voting-System." Auch ein multi-vendor-System kann durchaus in Zukunft Sinn machen. Und: Das Ganze ist auch eine kulturelle Herausforderung. Gerade bei den kleinen Unternehmen sind die Herausforderungen besonders gross, und auch derer werden wir uns annehmen.

- Ramon Mörl, Geschäftsführer von itWatch, München
Einzelne Bauelemente in diesem Bereich reichen heute nicht mehr. IT-Sicherheit muss nicht immer nur Geld kosten, nicht immer nur lästig und kompliziert sein. "Was müssen wir tun, denn irgendwie sind wir immer unbeliebt?" Wir müssen den Lösungscharakter der Anwendungen verstärken. Und mit dem Thema Sicherheit bis unter die Augen des Anwenders gehen. "Ein bisschen mit Technik bewerfen, ist langweilig." Technik und Organisation müssen kombiniert werden mit den Themen Rechtssicherheit und Haftung.
Da, wo das Geld liegt, wird gehackt werden. Und das sind gut organisierte Strukturen, die das tun.
_Jeder line-of-code für die eigenen Anwendungen wird von uns selber geschrieben. "Den Fehler, den wir machen, der liegt in der Granularität." Die IT-Security bei den hidden-champions muss dringend verstärkt werden.


Zur Vorbereitung der Teilnahme hier drei weitere Meldungen, die im Rahmen dieses Themas eingegangen sind, sowie nachfolgend eine eigene Stellungnahme und eine Zusammenfassung des Vormittags.


Am Freitag, dem 20. Februar 2015, 10:33, trifft folgende Mail der Deutschen Messe aus Hannover ein, aus der hier auszugsweise zitiert wird:

Sehr geehrter Herr Wolf SIEGERT,

[...]

Berühmtester Computer-Hacker der Welt kommt zur CeBIT:
Er stand auf der Most-Wanted-Liste des FBI, weil er sich ? nur der Herausforderung wegen ? in die IT-Systeme von 40 Großunternehmen hackte. Jetzt gehört er zu den weltweit wichtigsten IT-Sicherheitsberatern und steht in diesem Jahr bei den CeBIT Global Conferences auf der Bühne: Die Rede ist vom US-Amerikaner Kevin Mitnick, einer der berühmtesten Computer-Hacker der Welt.

http://www.cebit.de/de/presseservice/pressemitteilungen/pressemitteilungen-deutsche-messe/?id=700737&lang=D&source=jnl_pm


Am Freitag, dem 20. Februar 2015, 16:06, trifft folgende Mail der Fraunhofer SIT in Darmstadt ein, aus der hier auszugsweise zitiert wird:

Sehr geehrter Herr Dr. Siegert,

je weiter die Digitalisierung von Gesellschaft und Wirtschaft voranschreitet, desto größer werden auch die IT-bedingten Bedrohungen. Dementsprechend zählt Cybersicherheit mittlerweile zu den zentralen Herausforderungen, die Unternehmen bewältigen müssen, um ihre Geschäftsprozesse zu schützen und Compliance-Anforderungen zu erfüllen. [...] Unsere Angebote und neuen Entwicklungen präsentieren wir vom 16. bis zum 20. März auf der CeBIT in Hannover. Unsere Messe-Schwerpunkte in diesem Jahr sind:


*Volksverschlüsselung – benutzerfreundliche Ende-zu-Ende-Sicherheit*
Mit der Volksverschlüsselung können auch Laien ohne besondere IT-Sicherheitskenntnisse Verschlüsselungslösungen einfach nutzen. Möglich macht das eine App, die Schlüssel auf dem Rechner des Nutzers an den richtigen Stellen installiert. Gleichzeitig arbeitet Fraunhofer SIT am Aufbau einer Infrastruktur, die breiten Teilen der Bevölkerung kryptografische Schlüssel zur Verfügung stellt.

*Hash Guard – Schutz vor zielgerichteten Angriffen*
In Zusammenarbeit mit der AIRBUS Security-Tochter Arkoon hat Fraunhofer SIT jetzt eine Lösung realisiert, mit der Unternehmen ihre Netzwerke einfach gegen Pass-the-Hash-Angriffe absichern können.
www.sit.fraunhofer.de/hashguard

*OmniCloud 1.0 – Effiziente Verschlüsselung für den Cloud-Speicher*
OmniCloud verschlüsselt Daten, bevor sie in die Cloud gelangen, und ermöglicht Unternehmen ein effizientes und sicheres Daten-Backup in der Cloud.
www.sit.fraunhofer.de/omnicloud

*SDN Security Lab – Schutz für die Netze der Zukunft* Fraunhofer SIT entwickelt Sicherheitsanwendungen für SDN-Umgebungen, zum Beispiel Werkzeuge für die Früherkennung von Angriffen.

Und dann wird - wie in vielen anderen Fällen auch - mit einem Gratis-Eintritts-Ticket im Wert von mehr als Euro 50.- geworben:
Kommen Sie zur CeBIT nach Hannover, informieren Sie sich über Trends und Entwicklungen und treffen Sie die Fraunhofer-Experten in Halle 9 am Stand E40. Um den richtigen Ansprechpartner und ausreichend Zeit für Ihr Thema zu garantieren, vereinbaren Sie am besten einen persönlichen Gesprächstermin. [...] Wir melden uns umgehend bei Ihnen und schicken Ihnen gern auch ein kostenloses Messeticket. Wir freuen uns auf Ihren Besuch.


Am Montag, den 16. Februar 2015, 18:07, traf folgende Nachricht aus dem Hause Microsoft ein, aus der hier auszugsweise wie folgt zitiert wird:

Sehr geehrte Damen und Herren,

der heutige Tag markiert einen weiteren wichtigen Meilenstein: Microsoft übernimmt als erster der führenden Anbieter von Cloud-Diensten den internationalen ISO/IEC 27018 Standard für Datenschutz in der Cloud.

Der ISO/IEC 27018-Standard, eine Erweiterung des etablierten ISO 27001-Standards, wurde von der International Organization for Standardization (ISO) mit dem Ziel entwickelt, ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen.

Das British Standards Institute (BSI) hat nun von unabhängiger Seite überprüft, dass zusätzlich zu Microsoft Azure auch Office 365 und Dynamics CRM Online mit den „Codes of Practice“ des Standards zum Schutz von personenbezogenen Daten (Personally Identifiable Information, PII) in Public Clouds entsprechen. Zudem wurde dieser Test für Microsoft Intune vom Bureau Veritas durchgeführt.


Die eigene Stellungnahme zu diesem Thema mag sich im Verlauf der hier signalisierten und dann auskommentierten Präsentationen und Diskussionen noch verändern, vorab aber wird die Befindlichkeit zu diesem Thema wie folgt zu Protokoll gegeben:

Frage: Wem oder was, welcher Technik und welchem Dienstleister können Journalisten heute (noch) vertrauen, wenn es um die Sicherheit der von ihnen empfangenen, abgelegten, weiterverarbeiteten Daten geht?

Wirtschaftlich gesehen sind zumindest die meisten im Deutschen Journalisten - Verband, DJV, vertretenen Mitglieder - allein in Berlin gut und gerne an die viertausend - für die Anbieter von IT-Sicherheits-Diensten eine kaum relevante Gruppe, zumal die freiberuflichen Journalisten (die alsbald die Mehrheit des Verbandes ausmachen werden) sich allenfalls den Status von VSME’s, von Very Small & Medium Enterprises zurechnen lassen dürften.

Im Gegensatz dazu: Politisch gesehen werden die im Journalismus hergestellten Untersuchungen und Aussagen bestenfalls immer noch der Wertigkeit und Funktionsfähigkeit einer "Vierten Gewalt" im Staate zugerechnet. Es gibt bis heute immer wieder Veranlassung genug, dass dieses auch tatsächlich so ist, so sein muss. [8]

Anders aber als Ärzte oder Rechtsanwälte haben Journalisten keinen vergleichbar von Rechtswegen her geschützten Status. Ihre Funktion wird oft als die eines "Kommunikationsverstärkers" gesehen - und in vielen Fällen auch darauf eingegrenzt. Heute aber, da es immer mehr Möglichkeiten gibt, Kommunikationskanäle auch jenseits der journalistisch kuratierten Einrichtungen zu bedienen, wird gerade deshalb die Rolle der Presse als aufklärende und kritische Institution immer wichtiger.

Diese wachsende Bedeutung der Medien bei immer geringeren wirtschaftlichen Spielräumen führt zu einem Dilemma, in dem auch die Frage nach der Sicherheit ihrer Quellen und internen Kommunikationskanäle immer wichtiger wird. Die wirtschaftlichen Rahmenbedingungen verlangen einerseits eine deutliche ökonomische Einschränkung der Produktions- und Kommunikationsmittel - und damit auch derjenigen Mittel, die für die Wahrung und Gewährleistung von IT-Sicherheit im Allgemeinen und für den journalistischen Beruf im Besonderen ausgegeben werden können. Filme wie "Citizenfour" machen andererseits exemplarisch deutlich, dass gerade an dieser Stelle immer höhere Investitionen notwendig waren und auch in Zukunft sein werden.

All das hier Gesagte - und damit sind wir wieder bei dem Thema dieses Pressegesprächs - basiert auf der Hypothese, dass sich Sicherheit für Geld kaufen lässt. Und zertifizierte Sicherheit für noch mehr Geld. Und absolute Sicherheit ... für noch mehr Geld? Oder letztendlich gar nicht?

Jetzt beginnt es, interessant zu werden: In den hier zuvor dargestellten Quellen gibt es private wie halbstaatliche, nationale wie internationale Einrichtungen, die behaupten, dafür Gewährsträger zu sein, für diese Sicherheit grundsätzlich garantieren zu können. Auf der anderen Seite aber sehen jene hier nicht genannten - in vielen Fällen auch staatlichen - Einrichtungen die Verschlüsselung der eigenen e-Mails schon als Anlass, gegenüber dem Absender und Empfänger einer solchen Mail ein besonderes Verdachtsmoment ins Spiel zu bringen.

Wie also mit diesem Dilemma umgehen: in der Industrie, in der Politik, bei den freien Berufen? Es kann kaum erwartet werden, dass im heutigen Presse-Gespräch diese Frage wirklich wird beantwortet werden können. Aber es wäre mehr als not-wendig, wenn es gelänge, die VertreterInnen dieser Branche in dieser Frage nicht nur als Kommunikationsverstärker zu benutzen, sondern Antworten auf die Frage zu geben, welche Rolle und Funktion sie als Repräsentanten der sogenannten "Vierten Gewalt" in der Gesellschaft haben (sollten!)

Im Nachgang zu dem Pressegespräch können wir festhalten:

Klar, dass die bayerischen Farben und Vorzüge einen Schwerpunkt in diesen Präsentationen eingenommen haben. Und dass dabei der Standort München als die europäische Nummer Eins in Sachen IT nochmals dem Tagungsort Nürnberg vorangestellt wurde.

Klar auch, dass von Seiten der Deutschen Messe das Thema der IT-Sicherheit als eines der 5 Schwerpunktthemen dieser CeBIT 2015 entsprechend herausgestellt wurde.

Interessant aber auch zu sehen, wie sich ein regionaler Mittelständler aus München im Konzert mit und gegen die internationalen Wettbewerber Kaspersky und Sophos zu behaupten versucht.

Dass von all diesen Sicherheitsanbietern weder im Verlauf des Gesprächs noch danach die Journalisten als eine ebenfalls besonders gefährdete Population angesprochen wurden, bestätigt die zuvor auf dieser Seite aufgestellten Behauptungen. Dass es aber offensichtlich noch nicht gelungen ist, andere wichtige Player in diesem Markt aufgeklärt und zum Handeln angeregt zu haben, ist von weitaus nachhaltigerer Bedeutung.

Es wurde deutlich, dass das Thema: "Security Made in Germany" von grosser internationaler Schlagkraft und Bedeutung ist - und es erst recht werden könnte, wenn es gelänge, dass die daran beteiligten Partner an einem Strang ziehen würden. Dass das möglich sein kann, so wurde berichtet, hat itWatch exemplarisch vorgeführt, da man solch grosse Aufgabenstellung nur in grösseren Verbünden wird lösen können.

Dennoch bleibt es eine bis dato nicht beantwortete Frage an die Politik, wie weit sie bereit ist, solche Initiativen nicht nur mit Preisen zu bedenken, sondern auch zu ermöglichen, dass sie sich mit konkurrenzfähigen Preisen für ihre besonderen Leistungen im Markt erfolgreich platzieren können - und das nicht nur in Deutschland.

Bleibt die Frage nach den Forschungseinrichtungen wie die Fraunhofer-Institute, die zu diesem Thema mit ganz erheblichen Mitteln gefördert werden sollen. Ihr exemplarisches Versprechen einer "Volksverschlüsselung" ist vielversprechend und weitreichend. Wie aber wird sich dessen Umsetzung in dem hier aufgezeigten Zusammenhang auswirken?

Zu guter Letzt: Der DATEV-Chef und BITKOM-Präsident berichtet von seinem Laptop, den er nach einer Pressekonferenz auf dem Pult habe liegen lassen - und von seinem Angebot, dem-/oder derjenigen einen Wein auszuschenken, dem/der es gelungen sei, diesen zu knacken.
Das ist doch mal ein Wort. Oder?

Anmerkungen

[1Noch ist so eine machine-to-man-Kommunikation deutlich von "wahren" LeserInnen zu unterscheiden - aber wie lange noch???

[2Ceterum scribo: wieder einmal: Männer, und nur Männer! WS.

[3den hier aufgeführen Namen werden nachfolgend immer gleich einige der geäusserten Sätze und Ansätze zugeschrieben, die aus Sicht des Autors von Interesse sein könnten.

[4mehr zu diesem Thema in dem diesem Beitrag nachfolgenden Kommentar

[5Auf dem Rückweg nach Berlin traf um 18:18 Uhr eine Mail der Deutschen Messe ein, in der diese Inititiativen nochmals wie folgt zusammengestellt wurden:

CeBIT Global Conferences mit Top-Sprechern zu IT-Sicherheit:
Bei den CeBIT Global Conferences steht das Thema IT-Sicherheit ganz oben auf der Agenda. Top-Sprecher sind unter anderem Investigativ-Journalist Glenn Greenwald, Kevin Mitnick, der als berühmtester Hacker der Welt gilt, sowie der stellvertretende NATO-Generalsekretär Dr. Jamie Shea
:
http://www.cebit.de/de/presseservice/pressemitteilungen/pressemitteilungen-deutsche-messe/?id=701573&lang=D&source=jnl_pm

CeBIT 2015 zeigt, wie d!conomy sicherer wird:
Das Topthema d!conomy der CeBIT 2015 beschreibt den rasanten und umfassenden Einzug der IT in alle Bereiche von Wirtschaft und Gesellschaft. Dabei spielt IT-Sicherheit eine entscheidende Rolle. Wie die d!conomy sicherer wird, zeigen Unternehmen auf der kommenden CeBIT in Hannover. Keine andere Veranstaltung im IT-Umfeld stellt das Thema IT-Sicherheit so stark in den Fokus wie die CeBIT
:
http://www.cebit.de/de/presseservice/pressemitteilungen/pressemitteilungen-deutsche-messe/?id=701577&lang=D&source=jnl_pm

Business Security: Die IT-Sicherheitstrends der CeBIT 2015:
Alle zwei Sekunden registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein neues Schadprogramm. Datenverlust zählt zu den höchsten Geschäftsrisiken für Unternehmen aller Größen. Insbesondere Wirtschaftsspionage kann für viele Firmen eine Existenzbedrohung werden. Noch unverzichtbarer ist der Schutz kritischer Infrastrukturen, zum Beispiel bei Energieversorgern
:
http://www.cebit.de/de/presseservice/pressemitteilungen/pressemitteilungen-deutsche-messe/?id=701575&lang=D&source=jnl_pm

[6Damit knüpft er an die Aussagen an, die er am 15. Januar dieses Jahres auf dem Treffen des Münchner Kreises gemacht hatte. Siehe: "Digitalisierung als Achillesferse...".

[7Dazu Herr Pschierer, als freundliches Intro: "Dr. Eder ist, so gesehen, meine Tochter" :-)

[8Die Verleihung eines Oscars für die "Beste Dokumentation" in der Nacht zum Montag an die NDR/BR-Koproduktion "Citizenfour – Edward Snowden“ von Laura Poitras spricht eine unerwartet deutliche Sprache. Und das, nachdem diese Produktion zuvor schon in New York bei den „Cinema Eye Honors“ vier Auszeichnungen abgeräumt hatte.


19557 Zeichen