Herr Wolf, ist IT Security so etwas wie die Kernkompetenz der deutschen IT-Wirtschaft?
Das könnte man durchaus so sagen. Unsere Mitglieds-Unternehmen sind hochgradig spezialisiert, mit exzellenten IT-Sicherheitslösungen und verfügen am Weltmarkt über eine sehr gute Reputation. Nicht zuletzt, weil wir in Deutschland großen Wert auf Datenschutz legen.
Ist IT-Sicherheit vielleicht sogar die größte Herausforderung beim Zukunftsthema Digitalisierung, wenn man die digitalen Angriffe auf die öffentliche Infrastruktur von Versorgungseinrichtungen wie Krankenhäusern und auf politische Institutionen sieht, von Wirtschaftskriminalität gar nicht zu reden?
Es ist ein Riesenthema, und es ist auch mehr Problembewusstsein aller Anwender gefragt. Viele bewegen sich immer noch sehr unbedarft im Internet, das zeigt auch das Ergebnis des jährlich erscheinenden Sicherheitsindexes des Vereins „Deutschland sicher im Netz e.V.“. Dabei geht es unter anderem um den Zusammenhang des Empfindens von Sicherheitsrisiken und tatsächlichem Handeln von Anwendern, die im beruflichen Umfeld vermutlich auch nicht viel anders reagieren. Sie sind sich der Sicherheitsrisiken im Internet durchaus bewusst und fühlen sich auch kompetent, die Risiken auszuschalten. Interessanterweise handeln sie jedoch trotzdem leichtfertig und kümmern sich nur wenig um die Umsetzung einfacher Sicherheitsregeln. So werden immer noch leicht zu knackende Passworte genutzt oder installierte Software nicht aktuell gehalten. Schon mit wenigen Maßnahmen kann ein Plus an Sicherheit erreicht werden.
Muss man erst aus Schaden klug werden?
Offenbar. Jeder sollte sich eine IT-Sicherheitsstrategie überlegen und zwar bevor ein Schaden zu beklagen ist. Nötig ist eine permanente Risikoanalyse, aus der man Maßnahmen ableitet. IT-Sicherheit ist ein ständiger Prozess und muss der entsprechenden Lage immer angepasst werden. Das gilt auch für kleine und mittelständische Unternehmen. Die Fragen sind immer: Was kann passieren, und wie kann ich Schlimmes vermeiden? Wenn die Rechner oder das Netz in einem Unternehmen plötzlich nicht mehr zur Verfügung stehen, ergibt sich immer ein finanzieller Verlust durch Produktionsstillstand, fehlende Rechnungsstellung, Lieferverzögerungen und so weiter.
Zuletzt gab es einen rapiden Anstieg der Cyber-Attacken auf Bahn, Telekom, Banken. Bewirkt das nicht schon mehr Sensibilisierung für die Problematik?
Natürlich wird die Verletzbarkeit der zunehmenden Vernetzung für jeden durch solche Nachrichten deutlich. Klar ist: was vernetzt werden kann wird vernetzt und was gehackt werden kann wird gehackt. Und die Professionalität derjenigen, die die Systeme hacken, wird noch weiter zunehmen, schließlich ist viel Geld zu holen.
Welche Branchen sind besonders durch Hacker bedroht?
Ich sehe keine Branche, die nicht irgendwie gefährdet ist. Vor allem natürlich Technologieunternehmen, aber eben auch die chemische Industrie, Banken, Automobilindustrie, die öffentliche Verwaltung. Es kann auch mittelständische Unternehmen, die gar nicht direkt im Fadenkreuz stehen, treffen, weil sie Zulieferant eines großen Unternehmens sind und als Zugangspunkt genutzt werden. Aber auch der Privatbereich ist nicht außen vor. Man lächelt ja oft darüber, etwa beim Thema Smart Home – was soll schon groß passieren? Aber wenn Sie vor der verschlossenen Haustür stehen, weil ihr vernetztes Schloss sagt: Zahl’ erstmal 50 Euro, damit du in deine Wohnung kannst, dann lächelt niemand mehr.
Wird das Internet der Dinge und die Verschmelzung von Arbeit und Privatleben die Problematik noch verschärfen?
Man muss unterscheiden: In der Produktion hat das Thema IoT eine andere Dimension als das Thema Smart Home im Privatkundenbereich. Wir stellen allerdings fest, dass die Unternehmen, die Produkte im IoT-Umfeld anbieten, das Thema IT-Sicherheit vielleicht etwas zu sehr auf die leichte Schulter nehmen, weil sie natürlich ihre Produkte in den Markt bringen will. Dabei sollte Sicherheit und Privacy schon in der Produktentwicklung berücksichtigt werden.
Im Bundestagswahlkampf hat das Thema Digitalisierung – außer bei der FDP – keine herausragende Rolle gespielt. Unterschätzen deutsche Politiker, aber auch viele Unternehmen die diesbezüglichen Herausforderungen?
Das glaube ich nicht. Viele Politiker scheinen sich eher zu fragen, wie man sie am besten angeht. Die Unternehmen können das natürlich für sich entscheiden. Die Frage ist jedoch, wie man die notwendigen Maßnahmen bündeln kann. Da wäre ein enger Austausch zwischen Politik, Wirtschaft, Forschung sehr angeraten.
„Um die Lebensadern unserer vernetzten Gesellschaft in der heutigen Zeit effektiver zu schützen, müssen Wirtschaft und Staat eng zusammenarbeiten“, hat Noch-Innenminister de Maizière postuliert. Bräuchte die Bundesrepublik ein Digitalministerium, um dies zu koordinieren?
Ich denke, dass es sinnvoll wäre, die Thematik Digitalisierung zu bündeln. Ob in einem Ministerium, bei einem Staatssekretär im Kanzleramt oder wo auch immer, sei dahin gestellt. Auf jeden Fall braucht es mehr koordinierte Zusammenarbeit von Politik, Wissenschaft und Verwaltung. Idealerweise in einer zentralen Stelle, die die Strategie gemeinsam diskutiert, Rahmenbedingungen setzt und verantwortet.
Sollte der Staat die deutschen Unternehmen auch bei der IT-Sicherheit mehr fördern, so wie er es nach der Finanzkrise beispielsweise bei der Autoindustrie gemacht hat – also statt einer Autoabwrackprämie jetzt eine Aufrüstprämie für IT-Sicherheit?
Das ist natürlich eine Idealvorstellung. Es gibt ja heute auch schon Förderprogramme für IT-Sicherheit in einigen Bundesländern, zum Beispiel in Bayern, wo kleine Unternehmen eine Förderung zur IT-Sicherheitsberatung beantragen können. Solche Dinge sind einfach gut und wichtig und bewirken auch einen Anstoß für die Verantwortlichen in den Unternehmen, sich der Entwicklung der Digitalisierung nicht zu verschließen.
Illustration: Sören Kunz