IT-SicherheitSchutz im neuen Internet

Bis vor zwei Jahren herrschte große Begeisterung für die neuen Segnungen des Internets. In Verkennung der technischen Rahmenbedingungen wurde eine neue Zeitrechnung des schon mehrfach ausgerufenen Informationszeitalters verkündet. Der Hinweis auf die vielen Risiken blieb weitgehend ungehört. Denn die Gefahren sind nicht nur unsichtbar, sondern auch immateriell. Anlass dafür, dass die Risiken in das Bewusstsein einer größeren Öffentlichkeit traten, waren die NSA-Affäre und die Erkenntnis, dass es kaum möglich ist, sich der breit angelegten Überwachung zu entziehen. Seitdem wird das Thema zwar diskutiert, am Verhalten der Nutzer hat sich dennoch wenig geändert. Vor der NSA-Affäre verschlüsselten beispielsweise sechs Prozent der Nutzer ihre E-Mails. Fünf Monate später waren es rund neun Prozent. Immer wieder lassen zudem auch Experten verlauten, dass die Verschlüsselung von der NSA ohnehin geknackt werden könne. Vieles deutet darauf hin, dass sich sowohl bei Laien als auch bei Experten ein gewisser Fatalismus breitmacht.
Unter dem Begriff des „neuen Internets“ gibt es aber immer wieder Vorschläge und Ideen, wie die oben skizzierten Probleme in den Griff zu bekommen sind. Eine Veranstaltung der Bundes-Arbeitsgemeinschaft der kommunalen IT-Dienstleister, Vitako, Anfang Dezember 2014 informierte über mögliche Lösungsansätze. Das Thema Sicherheit stand dabei besonders im Fokus.

Sicherheit ist relativ

Wie in vielen anderen Bereichen auch, möchte der Kunde am liebsten eine technische Lösung für seine Sicherheit haben, um seine Verhaltensweisen nicht ändern zu müssen. Doch Sicherheit ist kein absoluter, sondern ein relativer Begriff. So bedeutet ein sicheres Haus zu haben in Deutschland, Südamerika oder Syrien jeweils etwas vollkommen anderes, da die Bedrohungslage in diesen Ländern unterschiedlich einzuschätzen ist. In Deutschland reicht ein gutes Schloss, anderswo muss ein Bunker erstellt werden. Das Beispiel soll nicht überstrapaziert werden. Es verdeutlicht aber, dass es einen Unterschied macht, ob das neue Internet Schutz vor Übergriffen der NSA oder gegen Kleinkriminelle bieten soll. Technische Sicherheitsmaßnahmen sind wichtig und werden in der öffentlichen Verwaltung mit viel Aufwand betrieben. Doch das führt leider nicht zu der oft geforderten absoluten Sicherheit. Dafür gibt es vereinfacht gesprochen zwei Gründe: Zum einen sind die meisten Techniken des Internets – und genau genommen der gesamten IT-Branche – von Beginn an ohne oder zumindest ohne hinreichende Sicherheitstechnik entwickelt worden; zum anderen sind die Anwender nicht bereit, Einschränkungen ihrer Freiheit zugunsten einer erhöhten Sicherheit hinzunehmen. Ein neues Internet bedingt in letzter Konsequenz eine vollständig neue Technik. Es bedarf aber auch eines Umdenkens. Die Lösung liegt mehr bei den Soziologen als bei den Informatikern. Denn das Internet ist von den Entwicklern als Kommunikationssystem konzipiert worden und nicht als eine neue soziale Welt höherer Ordnung. Das Internet muss daher eine neue Ordnung erhalten, die dann auch mit einer besseren Technik sicherer gemacht werden kann. Ordnung bedeutet in diesem Zusammenhang mehr Regulierung und Kontrolle. Das wird manchem Netzaktivisten nicht gefallen, ist aber ein Fakt. Bereiche, die vertrauliche Daten enthalten, sind so zu regulieren und zu sichern, dass ein Missbrauch sehr schwer wird. Dabei wird man sich nur in Ausnahmefällen auf private Dienstleister verlassen können; erst recht nicht auf Dienstleister, die verstreut über die ganze Welt ihre Rechner nach unterschiedlichen Rechtssystemen und Kulturen zur Verfügung stellen. Außerdem wird der Anwender akzeptieren müssen, dass solch eine Leistung Geld kostet. Niemand wird gezwungen, diese Dienste in Anspruch zu nehmen. Diejenigen, die kommunizieren und gleichzeitig Sicherheit wollen, müssen sich genau überlegen, was sie tun und welche Dienstleister sie wofür nutzen.

Schutzmaßnahmen fürs Netz

Um entsprechende Dienstleistungen anbieten zu können, sind viele der Ratschläge, die von Sicherheitsexperten seit Jahrzehnten gegeben werden, zu beherzigen. Das bedeutet zum Beispiel, dass vertrauliche Daten sicher zu verschlüsseln sind. Der Schlüssel muss dabei auf einem Medium gespeichert sein, das sicher und nur dem Inhaber zugänglich ist. Kurz: Es müssen all jene Maßnahmen ergriffen werden, welche die deutschen Behörden, allen voran das Bundesamt für Sicherheit in der Informationstechnik (BSI), seit Jahren empfehlen. Zudem müssten die vielen Klagen der IT-Branche aufhören, dass die öffentliche Hand mit ihrem angeblich überbordenden Regulierungswahn den technischen Fortschritt behindert. Tatsächlich treiben die vielen unausgereiften Produkte die Kosten für die Sicherheitssysteme unnötig in die Höhe. Darunter leiden nicht nur die Behörden, sondern jeder IT-Nutzer, gleichgültig, ob es sich um eine Bank, eine Versicherung oder einen Bürger handelt. Die Internet-Anbieter müssen künftig stärker in die Pflicht genommen und kontrolliert werden. Das neue IT-Sicherheitsgesetz bietet dafür vermutlich die nötigen Grundlagen. Denn wenn sich Behörden, wie es offensichtlich in den USA der Fall ist, einfach bei den Anbietern bedienen können, stößt jede Sicherheitstechnik schnell an ihre Grenzen. Dass wir in Deutschland besser aufgestellt sind, liegt übrigens auch daran, dass der weitaus größte Teil der personenbezogenen Daten bei den Kommunen gespeichert wird. Sie sind durch die Verfassung in ihrem Selbstverwaltungsrecht geschützt. Diese Gewaltenteilung verhindert in vielen Fällen einen Missbrauch staatlicher Macht, denn jedes Auskunftsersuchen wird von den Kommunen getrennt auf seine Rechtmäßigkeit geprüft und im negativen Fall abgewiesen. Auch das ist scheinbar ein höchst ineffizientes System und den Zentralisten ein Dorn im Auge. Tatsächlich ist es nur ein weiterer Beweis dafür, dass Sicherheit ihren Preis hat.