IT-Sicherheit: Schutz vor Datendieben und Schlapphüten

Deutschland ist schon lange ein beliebtes Tätigkeitsfeld amerikanischer Spione: Nach dem Zweiten Weltkrieg wurden Abhörstationen eingerichtet, um nach Osteuropa hineinzuhorchen. Weitere Nahrung erhielt das Interesse durch die Anschläge vom 11. September 2001, weil sich einige Attentäter in Deutschland vorbereitet hatten. Laut Spiegel wertet der US-Nachrichtendienst täglich rund 20 Millionen deutsche Telefonverbindungen und 10 Millionen Internetdatensätze aus – so viele wie in keinem anderen westeuropäischen Land.

Unterdessen wird immer wieder der Verdacht laut, dass  die Agenten nebenbei auch Wirtschaftsförderung für US-Unternehmen betreiben, indem sie deutsche Firmen aushorchen. Ein früherer NSA-Direktor hat dies sogar bereits öffentlich zugegeben, obwohl er großspurig behauptete, für die Amerikaner gebe es im rückständigen Europa technologisch kaum etwas zu holen.

Bewusstsein in Unternehmen schärfen

Hat sich durch die Snowden-Veröffentlichungen also wirklich etwas für die Unternehmen verändert? Grundsätzlich nein, meint Prof. Richard Sethmann vom IS-Bremen, dem Forschungsverbund für Informationssicherheit in Nordwestdeutschland. “Das Neue ist die Dimension der Überwachung”, erklärt er. Allerdings dürfe das auch eigentlich nicht mehr überraschen, wenn man bedenke, dass auch in Deutschland schon seit einigen Jahren am Ausbau der Abhör-Infrastruktur gearbeitet wird. Wolfgang Schäuble nannte als Innenminister im Jahr 2009 die NSA als Vorbild für vergleichbare Einrichtungen in Deutschland.

Sethmann glaubt jedoch, dass viele Unternehmen durch die Ausspähaffäre stärker für die Herausforderungen der IT-Sicherheit sensibilisiert werden. Bis jetzt würden noch zu viele Betriebe die Augen vor den Problemen verschließen. Seine Studierenden an der Hochschule Bremen würden manchmal von kleinen oder mittleren Unternehmen mit der IT-Sicherheit betraut. “Auch wenn es ein sehr guter Student ist – das kann er meist nicht leisten”, so Sethmann.

“IT-Sicherheit ist kein Produkt, sondern ein Prozess”

Der Forschungsverbund IS-Bremen bündelt wissenschaftliche Aktivitäten des Technologie-Zentrums für Informatik und Informationstechnik (TZI) an der Universität Bremen und des Instituts für Informatik und Automation (IIA) an der Hochschule Bremen. Gleichzeitig wird aber auch ein enger Kontakt zur Industrie und zur IT-Branche gehalten, um Forschungsprojekte zu bearbeiten. Darüber hinaus arbeiten die Beteiligten an der Bewusstseinsbildung in der Öffentlichkeit, beispielsweise durch Vorträge und Workshops.

Unternehmen, die sich schützen möchten, verlassen sich laut Sethmann zu häufig alleine auf bestimmte Produkte – nach dem Prinzip: Wenn ich Lösung X installiere, bin ich für die nächsten Jahre sicher. Mit Firewalls und anderen technischen Lösungen sei es jedoch alleine nicht getan. Informationssicherheit sei ein Prozess, der die gesamte Organisation betreffe und kontinuierlich vorangetrieben werden müsse, d.h. neben den technischen Maßnahmen müssen auch organisatorische Maßnahmen umgesetzt werden.

Ausspähen muss schwieriger werden

Die drei ersten Schritte bilden die Entwicklung einer Sicherheitsstrategie, die Risikoanalyse und die Erarbeitung von Maßnahmen. Um die Prioritäten richtig zu setzen, müsse unter anderem geschaut werden, welche Gefahren die gesamte Existenz des Unternehmens gefährden können. Auf dieser Basis werde dann das weitere Vorgehen aufgesetzt. “Eine 100-prozentige Sicherheit lässt sich nicht erreichen”, erklärt Sethmann. “Man muss immer Kompromisse eingehen.”

Wenn sich das Ausspähen schon nicht komplett verhindern lasse, müsse es zumindest immer schwieriger werden, betont er. Grundsätzlich sei es sinnvoll, die Datenverarbeitung und Informationssicherheit vorzugsweise bei deutschen Unternehmen in Auftrag zu geben. Auch in der Region Bremen gebe es entsprechende Dienstleister. Häufig handele es sich dabei um kleinere Unternehmen, die aber qualitativ genauso gut sein könnten wie bekanntere überregionale Namen. Ähnliches rät Sethmann auch der Politik: Bei der IT-Infrastruktur sollten verstärkt deutsche Anbieter genutzt werden. Dies werde sich nicht von heute auf morgen umsetzen lassen, aber man müsse schon jetzt die Weichen stellen.

Forschung und Wissenstransfer

Das Thema Sicherheit ist aber auch ein Know-how-Wettrennen. Das Kaspersky Lab entdeckte beispielsweise im vergangenen Jahr rund 200.000 neue Schadprogramme – pro Tag. Das IS-Bremen führt regelmäßig Forschungs- und Industrieprojekte mit anderen Instituten und Unternehmen durch, die dabei helfen sollen, in diesem Rennen die Nase immer leicht vorn zu haben. So wurde beispielsweise im Projekt “Fides” ein Frühwarnsystem entwickelt, das bei der Analyse von Angriffen und bei der Durchführung von Gegenmaßnahmen eine angemessene Unterstützung liefern soll.

In einem weiteren Projekt (“Vogue”) wurde der sichere Zugriff auf verschiedene IT-Systeme mit mobilen Endgeräten gewährleistet. Bei den Industrieprojekten kooperierte das IS-Bremen unter anderem bereits mit Unternehmen der Automobilindustrie, der Raumfahrt, des Handels und des Nahverkehrs. Wissenstransfer liefert der Forschungsverbund auch im Rahmen von Vorträgen und Schulungen, beispielsweise zur Methode “IT-Grundschutz” des Bundesamts für Sicherheit in der Informationstechnik (BSI). Aber auch an Schulen wird das Thema “Rechnernetze und Informationssicherheit” in Zusammenarbeit mit der Schulbehörde bereits herangetragen. Den Start machte eine Unterrichtseinheit für die 11. Klassen am Schulzentrum Rockwinkel.

Workshop am 8. November

Wer sich eingehender mit dem Thema befassen möchte, erhält am 8. November 2013 die Gelegenheit zur Teilnahme am Workshop “Datendiebstahl vorbeugen” an der Hochschule Bremen (Standort Flughafen). Experten werden dann von 9 bis 14 Uhr über Forschungsergebnisse und praxisgerechte Lösungen im Bereich Informationssicherheit berichten. Gleichzeitig besteht die Möglichkeit, Kontakte zu kompetenten Ansprechpartnern zu knüpfen.