Free

Stimmen vom BSI-Kongress

Am 2. und 3. Februar 2021 fand der 17. Deutsche IT-Sicherheitskongress erstmals rein „digital“ per Videostreaming statt. Das diesjährige Motto lautete „Deutschland. Digital. Sicher. 30 Jahre BSI“. Unsere Rückschau liefert Kernaussagender Redner:innen aus Eröffnung und Keynotes sowie von der Podiumsdiskussion zum Thema „Faktor Mensch“.

Lesezeit 18 Min.
BSI

Das digitale Format des „BSIKongresses“ und vermutlich auch die kostenlose Teilnahmemöglichkeit haben dieses Jahr insgesamt über 8.000 Besucher:innen angelockt, die den Live-Vorträgen und Einspielern per Videostream gelauscht, sich an virtuellen Messeständen informiert und in Chatrooms ausgetauscht haben. Einer Umfrage am ersten Kongresstag zufolge kamen 43 % der Teilnehmer:innen aus Staat/Verwaltung, 27 % als IT-Anwender aus der Wirtschaft, 18 % waren IT-Hersteller, 7 % Privatleute sowie Studierende und 5 % haben sich in der Gruppe „Gesellschaft“ eingeordnet, zu der NGOs, Initiativen, Verbände et cetera zählen.

Angesichts des digitalen Formats wurden die 30 Fachvorträge des Kongresses als Kurzfassung in 15–20 Minuten gehalten – die üblichen Langfassungen der eingereichten Paper standen an der virtuellen Anmeldung gesammelt zum Download zur Verfügung und sind in gedruckter Form als Tagungsband im SecuMedia-Verlag erschienen (siehe Kasten auf S. 28).

Am 2. und 3. Februar 2021 fand der 17. Deutsche IT-Sicherheitskongress erstmals rein „digital“ per Videostreaming statt. Das diesjährige Motto lautete „Deutschland. Digital. Sicher. 30 Jahre BSI“. Unsere Rückschau liefert Kernaussagen der Redner:innen aus Eröffnung und Keynotes sowie von der Podiumsdiskussion zum Thema „Faktor Mensch“.

Digitalisierung

Auch in diesem Jahr waren Digitalisierung und die Bedeutung der IT- und Informations-Sicherheit dafür zentrale Themen vieler Eröffnungsreden. „Was wir gerade gemeinsam erleben ist Digitalisierung pur“, sagte BSI-Präsident Arne Schönbohm in seiner Begrüßung: „Natürlich ist es schade, dass wir uns nicht wie üblich für drei Tage in Bonn treffen – für viele von Ihnen ist der BSI-Kongress über die Jahre zum lieb gewonnenen Treffpunkt der IT-Branche geworden. Im Rheinland sagen wir so schön ‚et es wie et es‘ und so haben wir die Möglichkeit der Digitalisierung genutzt und den größten IT-Sicherheitskongress Deutschlands auf ein rein digitales Format umgestellt.“

Nicht zuletzt im Lichte der Corona-Pandemie und einer verstärkten Tätigkeit im Homeoffice seien „zoomen“ und „webexen“ in wenigen Monaten Teil der Alltagssprache geworden. „Der Digitalisierungsschub, den wir coronabedingt in den letzten Monaten erlebt haben, ist gut. Er bringt unser Land voran, denn viele der spontan aufgesetzten Digitalisierungsprojekte werden auch jenseits der Pandemie erhalten bleiben“, erwartet Schönbohm. „Damit diese Projekte aber auch weiterhin erfolgreich sind, damit Deutschland in der Digitalisierung auch nachhaltig vorankommt, bedarf es einer angemessenen Informations-Sicherheit. Denn Informations-Sicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung.“

Im Brennglas dieser Pandemie hätten sich in Bezug auf die Cyber-Sicherheit drei Aspekte besonders deutlich gezeigt: Einerseits belege der Digitalisierungsschub, wie wichtig funktionierende und sichere IT ist. Zum anderen wurde wieder einmal offensichtlich, dass Cyberkriminelle flexibel und anpassungsfähig sind. Und drittens: „Das BSI kann sich schnell auf Krisensituationen einstellen und mit zielgruppengerechten Empfehlungen und Gegenmaßnahmen wirkungsvoll reagieren.“

Foto 1

Über eine virtuelle Lobby konnten Teilnehmer:innen in die Vortragssäle, Messehallen sowie zum Chat und verschiedenen Informationsangeboten navigieren.

<h2Die Rolle des BSI

Schönbohm betonte: „Um Digitalisierung erfolgreich gestalten zu können, braucht es das BSI als Cyber-Sicherheits-Behörde des Bundes.“ Das BSI sei gut vernetzt, bündele Know-how zu Prävention, Detektion und Reaktion im Amt und beschäftige sich damit, in welchen Anwendungsfeldern Risiken entstehen und wie man diese beherrschbar macht: „Wir analysieren kontinuierlich die Themen der Informations-Sicherheit und leiten daraus konkrete Angebote für unterschiedliche Zielgruppen in Staat, Wirtschaft und Gesellschaft ab.“ Das gehe von Abwehr und Analyse von Angriffen über Beratung, Zertifizierung von Produkten und Dienstleistungen bis hin zur Entwicklung von Empfehlungen, Best Practices und Standards.

Als positive Beispiele für Aktivitäten im Hinblick auf Zukunftsthemen des 21. Jahrhunderts nannte der BSI-Präsident die intensive Beteiligung an der Entwicklung der Corona-Warn-App sowie zwei Studien zur Manipulation von Medizinprodukten (ManiMed) sowie der Digitalisierung in der Pflege (eCare). Außerdem habe das BSI Anfang Februar den Artificial Intelligence Cloud Services Compliance Criteria Catalogue (AIC4) veröffentlicht und damit „eine erste und wichtige Grundlage [geschaffen], um die Sicherheit von KI-Systemen bewerten zu können …, die in Cloud-Infrastrukturen entwickelt und betrieben werden.“

Foto 2

BSI-Präsident Arne Schönbohm: „Der Gesetzentwurf [zum IT-Sicherheits-Gesetz 2.0] … stärkt uns in unserem Anspruch, die sichere Digitalisierung in Deutschland zu gestalten. Meine Meinung dazu ist uneingeschränkt positiv.“

Foto 3

Auf dem Kongress nahm das BSI auch Glückwünsche zu seinem 30-jährigen Jubiläum entgegen (im Bild: KongressModeratorinnen Susanne Schöne und Claudia van Veen mit BSI-Präsident Arne Schönbohm).

Den Kabinettsbeschluss der Bundesregierung zum Entwurf des IT-Sicherheitsgesetzes (IT-SiG) 2.0 vom Dezember 2020 nannte Schönbohm einen Meilenstein: „Meine Meinung dazu ist uneingeschränkt positiv. … Der Gesetzentwurf sieht eine Reihe von Aufgaben und Befugnissen für das BSI vor … und stärkt uns in unserem Anspruch, die sichere Digitalisierung in Deutschland zu gestalten. Aufgaben wie der digitale Verbraucherschutz, die Einführung des IT-Sicherheitskennzeichens oder die geplante Ausweitung der KRITIS-Bestimmungen sind positive Entwicklungen, durch die wir als Cyber-Sicherheits-Behörde des Bundes die Digitalisierung in Deutschland sicherer machen und nachhaltig gestalten können.“

Große Wertschätzung für das Amt kam auch von Bundeskanzlerin Dr. Angela Merkel: „So umfassend das Thema IT-Sicherheit ist, so breit ist auch das Aufgabenspektrum des BSI. Es reicht von der Abwehr und Analyse von Cyberangriffen über Beratung und Zertifizierungen bis hin zur Entwicklung von Sicherheitsstandards.“ Digitalisierung und Informations-Sicherheit gehören zusammen: „Wir müssen in beiden Bereichen stark sein. Das entscheidet wesentlich darüber, wie erfolgreich Deutschland in Zukunft sein wird. Vor diesem Hintergrund zeigt sich, welch wichtige Rolle das BSI spielt und auch in Zukunft spielen wird. Mit dem IT-Sicherheitsgesetz 2.0 schaffen wir die rechtlichen Voraussetzungen hierfür.“ An den fachlichen Voraussetzungen arbeite das BSI regelmäßig selbst und stelle seine Kompetenzen in der alltäglichen Arbeit und nicht zuletzt auch auf dem Kongress unter Beweis, lobte die Kanzlerin: „Sie machen unser Land sicherer – dafür danke ich Ihnen sehr.“

Dass Informations-Technik und -Sicherheit von zentraler Bedeutung sind, habe auch die Corona-Pandemie noch einmal deutlich unterstrichen, betonte Merkel. Mit Hinblick auf zunehmende Cyberangriffe kommentierte sie: „Daraus müssen wir Lehren ziehen – und das tun wir auch: Zum Beispiel werden beim Ausbau von Krankenhaus-IT künftig mindestens 15 % der Fördergelder in die IT-Sicherheit investiert.“ Das vollständige Video-Grußwort der Bundeskanzlerin ist über https://multimedia.gsb.bund.de/BSI/Video/Veranstaltungen/Kongress2021/Grusswort-Angela-Merkel_210129-30-Jahre-BSI_H264.mp4 im Internet verfügbar.

Der Parlamentarische Staatssekretär beim Bundesministerium des Innern, für Bau und Heimat Prof. Dr. Günter Krings freute sich, der erste Vertreter des Innenministeriums zu sein, der auf einem online abgehaltenen IT-Sicherheitskongress reden dürfe: „Heute fallen also sozusagen Form und Inhalt des Digitalen zusammen.“ Zum Jubiläum beglückwünschte er das BSI: „Sie können auf eine wirklich ereignisreiche Geschichte zurückblicken, in der das BSI viel für die IT-Sicherheit unseres Landes bewirkt hat.“ Auch der Rest Europas schaue gern auf das deutsche Bundesamt – als Benchmark und als Beispiel.

Ähnlich äußerte sich auch Dr. Markus Richter, Staatssekretär im Bundesministerium des Innern, für Bau und Heimat und Beauftragter der Bundesregierung für Informationstechnik (Bundes-CIO), in seinem Grußwort: Die 30-jährige Erfolgsgeschichte des BSI „versetzt uns heute in die Lage, eine Institution zu haben, um die wir in weiten Teilen Europas beneidet werden.“ Das sei eine ideale Ausgangsbasis, um aktuellen Herausforderungen zu begegnen.

Foto 4

Bundeskanzlerin Dr. Angela Merkel: „Digitalisierung und Informationssicherheit gehören zusammen – wir müssen in beiden Bereichen stark sein.“

Foto 5

Der Parlamentarische Staatssekretär beim Bundesministerium des Innern, für Bau und Heimat Prof. Dr. Günter Krings: „Heutige und zukünftige Herausforderungen der Cyber- und Informations-Sicherheit lassen sich nur vernetzt und in Zusammenarbeit mit vielen Stakeholdern aus Gesellschaft, Wirtschaft und Staat bewältigen.“

Schritte für mehr Sicherheit

Angesichts voranschreitender Digitalisierung und zunehmender Bedrohungslagen sei es besonders wichtig, sich im Kreis von Expertinnen und Experten auszutauschen. Durch intensive gemeinsame Arbeit sei es beispielsweise gelungen, ein politisches Verständnis und eine Einigung zur Einrichtung eines Cyber-Informations-Kompetenzzentrums herbeizuführen, das auf europäischer Ebene agiert und die verschiedenen Kontaktstellen in den Mitgliedsstaaten miteinander vernetzt, so Richter
weiter.

Gegen die oft gehörte Meinung, Sicherheitsexperten würden regelmäßig Funktionalität ausbremsen und „alles immer nur langweiliger machen“ stellte Krings ein Gegenbeispiel dar und betonte, dass IT-Sicherheit auch anders sein könne. So habe das BSI im Zuge einer Sicherheitsanalyse der Software SORMAS (Surveillance & Outbreak Response Management System) diverse Funktionen zum Kern der Anwendung hinzugefügt, um den Anforderungen an das aktuelle Einsatzszenario im Rahmen der Corona-Pandemie gerecht zu werden. Die Begleitung der Corona-Warn-App erwies sich laut Krings ebenfalls als sehr wertvoll: 25 Mio. Downloads hätten wahrscheinlich nicht erreicht werden können, wenn „wir nicht neben der Funktionalität ebenso auf Transparenz und auf die Sicherheit der App geachtet hätten.“

Sei das BSI im Januar 1991 zunächst als zentraler Dienstleister des Bundes gegründet worden, rückte es mit zunehmender Bedeutung des Internets zunehmend in den Fokus von Bürgern und Wirtschaft. „Das BSI hat all diese Herausforderungen angenommen und ist heute zentraler Akteur in der nationalen Cybersicherheits-Architektur“, würdigte Krings das Bundesamt. In diesem Lichte sei Wachstum konsequent und notwendig: Das Personal des BSI hat sich allein in den vergangenen fünf Jahren verdoppelt – neben einem geplanten Neubau in Bonn und dem im Dezember 2019 eröffneten Dienstsitz in Freital/Sachsen werde Saarbrücken künftig als dritter Standort dienen.

Weiteres benötigtes Rüstzeug für das BSI liefere das IT-SiG 2.0, der „nächste notwendige Schritt zur Wahrung unserer IT-Sicherheit“. Krings mahnte, dass man gesetzliche Regelungen regelmäßig an die Herausforderungen sicherer Digitalisierung anpassen müsse: „Stillstand wäre hier Rückschritt – dies wird uns auch in Zukunft fordern.“ Es gelte, weiterhin auf der Höhe der Zeit zu bleiben: „Ich bin mir sicher, dass die nächsten 30 Jahre viel mehr Veränderung in der Digitalisierung sowie der Cyber- und Informationssicherheit bringen werden als die vergangenen“, sagte Krings. „Heutige und zukünftige Herausforderungen der Cyber- und Informations-Sicherheit lassen sich nur vernetzt und in Zusammenarbeit mit vielen Stakeholdern aus Gesellschaft, Wirtschaft und Staat bewältigen. Forschung und Wissenschaft sind beim Auffinden von Schwachstellen ebenso wichtig wie gut aufgestellte KRITIS-Unternehmen, die unsere unverzichtbaren Lebensadern bilden.“

Katja Dörner, Oberbürgermeisterin der Bundesstadt Bonn, betonte angesichts der immensen Bedeutung der IT, ohne die auch in der Verwaltung kaum noch etwas funktioniere, die Wichtigkeit, sich rechtzeitig mit möglichen Folgen von Angriffen auseinanderzusetzen. Zudem dürfe es nicht an Ressourcen fehlen: „Mit dem Doppelhaushalt für die Jahre 2021/2022 wollen wir für die städtische IT und Informations-Sicherheit substanziell mehr Mittel und Personal bereitstellen“, beteuerte Dörner.

Der Inspekteur Cyber- und Informationsraum (CIR) der Bundeswehr Vizeadmiral Dr. Thomas Daum verwies indessen auf die Schnelllebigkeit der Informations- und Kommunikations-Technik: „Was wir heute überlegen und morgen entwickeln, ist übermorgen bereits veraltet. Ausdruck findet diese Dynamik auch in den Begrifflichkeiten, die sich im Laufe der Jahrzehnte ebenso angepasst haben: Anfänglich ging es nur um IT-Sicherheit, mithin den Schutz von IT-Systemen, bis sich der Begriff der Informations-Sicherheit ausprägte, der die Information, also die Inhalte, einschloss. Heute sprechen wir von Cyber-Sicherheit …, für die es pragmatischer, methodischer und stets aktueller Sicherheitslösungen bedarf, um gegen die immer komplexer werdenden Bedrohungen gewappnet zu sein.“ Cyber-Sicherheit sei zudem eine gesamtstaatliche Aufgabe, die eine ressortübergreifende Zusammenarbeit erfordere, wie sie im Nationalen Cyber-Abwehrzentrum (NCAZ) unter der Ägide des BSI umgesetzt wird.

Nachhaltige Transformation

Am zweiten Kongresstag hinterfragte der Ministerpräsident des Saarlands Tobias Hans in seiner Keynote die digitalen Errungenschaften der letzten Monate: „Die Corona-Pandemie und die damit einhergehenden Herausforderungen, vor allem für den Arbeits- und Gesundheitsschutz, haben zu einem vermehrten Einsatz digitaler Werkzeuge geführt. Wir müssen aber auch fragen, ob es sich hierbei um einen echten, nachhaltigen Digitalisierungsschub handelt – oder ob nicht vielmehr bisherige analoge Verfahren schlicht durch digitale Derivate ersetzt werden.“ Hier müsse man genau hinschauen, um das eine von dem anderen zu unterscheiden.

So habe zwar eine Bitkom-Studie zu Corona und Digitalisierung vom November 2020 belegt, dass in vier von fünf befragten Unternehmen die Relevanz der Digitalisierung zugenommen hat (vgl. www.bitkom.org/Presse/Presseinformation/Corona-treibt-Digitalisierung-voranaber-nicht-alle-Unternehmen-koennen-mithalten). Dennoch sehe sich jedes siebte Unternehmen in diesem Bereich selbst als „Nachzügler“ – und nur 46 % bekannten sich dazu, das eigene Haus nachhaltig zu digitalisieren und dabei auch neue Geschäftsfelder zu erschließen.

Das sei ein Problem, bedauerte Hans: „Die wollen alle nur irgendwie klarkommen in der Pandemie, sehen aber nicht, was es für neue Möglichkeiten gibt.“ Zugespitzt könne man hier festhalten: „Die deutsche Wirtschaft setzt an vielen Stellen IT ein, um das Bestehende zu erhalten und zu optimieren – aber sie setzt die IT nicht ein, um Neues zu schaffen, um disruptive Innovationen herbeizuführen.“ Disruption und Innovation bedeuteten letztlich, im positiven Sinne Dinge auf den Kopf zu stellen. An dieser Stelle seien uns andere Volkswirtschaften voraus – wenn man diesen auf Augenhöhe begegnen wolle, gehe „kein Weg daran vorbei, die vertrauten und bewährten Kenntnisse und Verfahren auch auf den Prüfstand zu stellen und sie an die Herausforderungen der kommenden Jahrzehnte anzupassen.“ Wichtige Zukunftsfragen werde man nur mit einer intelligenten Digitalisierung lösen können, „mit einer Digitalisierung, die die deutschen und europäischen Anforderungen an Sicherheit und Verlässlichkeit, an Effizienz, Effektivität und Datenschutz berücksichtigt“, schloss Hans.

Foto 6

Der Inspekteur Cyber- und Informationsraum (CIR) der Bundeswehr Vizeadmiral Dr. Thomas Daum: „Das BSI hat Deutschland sicherer gemacht – ganz besonders durch die gesellschaftliche Verankerung und stete Anpassung des mittlerweile über 25-jährigen IT-Grundschutzes .“

Foto 7

Der Ministerpräsident des Saarlands Tobias Hans: „Disruption und Innovation bedeuteten letztlich, im positiven Sinne Dinge auf den Kopf zu stellen. Es geht kein Weg daran vorbei, die vertrauten und bewährten Kenntnisse und Verfahren auf
den Prüfstand zu stellen und sie an die Herausforderungen der kommenden Jahrzehnte anzupassen.“

Faktor Mensch

Die diesjährige Podiumsdiskussion des IT-Sicherheitskongresses stand unter der Überschrift „Faktor Mensch – Wie werden wir cyber-sicherer?“ Ein großes Thema, wie Prof. Dr. Christoph Meinel vom Hasso-Plattner-Institut unterstrich: „Wir kommen in diese neue digitale Welt und brauchen da eigentlich eine Aufklärung, damit die Menschen, die Nutzer, besser verstehen ‚Was passiert denn da im Hintergrund?‘ – um sich im Rückschluss sinnvoller zu verhalten und verantwortlicher durch diese digitale Welt gehen können.“

Prof. Dr. Claudia Eckert vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) betonte, dass es viele Facetten brauche, um hier voranzukommen. Vergleiche man die Situation mit dem Straßenverkehr, wo in den Anfängen jeder Automobilnutzer sein eigener Mechaniker sein musste, seien wir mit der IT längst bei der Massenmobilität mit schnelleren Autos und mehr Unfalltoten angelangt – in der Parallele zeige sich: „Wir haben deutlich in Technologie investiert, es sind Airbags und Sensorik eingebaut worden, es wurde viel getan – der Mensch war aber im Mittelpunkt und das ist ganz wichtig! Wir müssen Technologie so bauen, dass wir potenzielles Fehlverhalten von Menschen reduzieren. Aber nicht allein: Wir können auch noch einiges tun durch, zum Beispiel, Regulierung. Das könne ähnlich laufen, wie wir etwa eine Straßenverkehrsordnung, Gurt- und Winterreifenpflicht haben: „Die Freiheiten des Einzelnen wurden gegebenenfalls etwas eingeschränkt, aber für die Gesamtheit hat sich ein Mehrwert ergeben.“ Und die Aufklärungsserie „Der siebte Sinn“ habe – heute würden wir sagen als Awarenesskampagne – verdeutlicht, dass schlimme Dinge passieren, wenn man etwa seinen Sicherheitsgurt nicht anlegt: „In der heutigen Zeit angekommen, brauchen wir moderne Instrumente, um fühlbar zu machen, was es bedeutet, sich unsicher zu verhalten.“ Im Verlauf der Diskussion hatte ein Vorredner angemerkt, dass Sicherheit schon einmal „weh tun“ könne: „Ich denke, hier müssen wir einen Paradigmenwechsel herbeiführen: Unsicherheit muss weh tun! – im Sinne von ‚es muss einem dabei irgendetwas abhanden kommen'“, kommentierte Eckert.

„Vertrauen ist letztendlich die Währung der digitalen Wirtschaft“, gab Dirk Hoke von Airbus Defence zu bedenken – als Kunde, Lieferant und Partner müsse man sich immer wieder damit beschäftigen, wo man angreifbar ist: „Und hier sehen wir, dass sich die Angriffe verschoben haben und der Mensch immer mehr in den Fokus geraten ist.“ Außerdem sei zu beobachten, dass sich Angreifer mittlerweile das schwächste Glied entlang der gesamten Wertschöpfungskette suchen: „Letztendlich sind wir nur dann sicher, wenn alle Beteiligten auf dem gleichen Stand der Sicherheit sind.“ Die US-Regierung führe daher beispielsweise neue strikte Vergaberichtlinien ein, die den Nachweis einer hohen Cyber-Resilience in der gesamten Lieferkette fordern.

Claudia Nemat von der Deutsche Telekom AG hob hervor: „Technologie ist niemals ein Selbstzweck, sondern sollte immer dem Menschen dienen.“ Technik müsse die Frage beantworten, welche praktischen Probleme sie für die Menschen löse und wie sie diesen ein schöneres Leben beschere. Neben der Sicherheit von (Kunden-)Daten sei auch Datensouveränität gefragt, „sodass ich als Mensch entscheiden kann, mit wem, für welchen Zweck und wie lange ich meine Daten teilen möchte.“ Schon beim Design von Lösungen und Produkten sollten wir im Sinne von „Human Centered Design/Security“ darauf achten, dass diese für Menschen sowohl handhabbar als auch sicher sind. „Gleichzeitig gilt aber auch, dass wir immer hinreichend vertraut sein müssen mit der Technologie des Jahrzehnts, in dem wir leben“, unterstrich Nemat.

Arne Schönbohm ergänzte, dass neben Schulungen auch technische Hilfestellungen notwendig seien, wobei „Plug & Play“ gefragt ist: „Wir müssen darauf achten, den Faktor Mensch und die Technologie in Einklang zu bringen.“ Denn der Mensch allein könne teilweise schlicht nicht mehr zwischen legitimen und missbräuchlichen Anwendungen oder Nachrichten differenzieren. „Wir wollen nicht, dass alle Menschen IT-Sicherheits-Experten sind. Wir wollen aber, dass alle sich sicher und selbstbewusst in der digitalen Welt bewegen können“, so Schönbohm weiter.

Dazu seien informierte Entscheidungen notwendig, stellte Eckert fest: „Souveränität heißt, ich kann selbstbestimmt entscheiden – ich habe also Freiheiten, etwas zu tun, ich habe Wahlmöglichkeiten, ich kann Risiken einschätzen, die mit einer Entscheidung verbunden sind.“ Wer von technologischer Souveränität spreche, müsse den Menschen „mitdenken“ und dafür sorgen, dass dieser Entscheidungsalternativen bekommt: „Das heißt, Technologie muss einfach sein und muss gegebenenfalls verständlich gemacht werden, für diejenigen, die verstehen wollen.“ Für andere, die Technik „einfach nur nutzen“ möchten, müssen im Sinne eines „Plug & Trust“ offengelegte Standards auf hohem Niveau vorgegeben werden, forderte Eckert.

Meinel sieht das Grundproblem in einem fehlenden Verständnis für digitale Systeme im Allgemeinen und für Fragen der Sicherheit im Besonderen. So habe etwa der HPI Identity Leak Checker (https://sec.hpi.de/ilc/search) mittlerweile
Daten zu über 12 Mrd. Nutzerkonten erfasst – ein Drittel der hiervon betroffenen Passwörter war unverschlüsselt gespeichert: „Da haben also offensichtlich Dienstanbieter nicht Sorge dafür getragen, dass die Passwörter nur gehasht gespeichert werden.“ Ein weiteres Drittel habe veraltete Verfahren eingesetzt und nur das letzte Drittel habe im Prinzip
alles richtig gemacht.

Betrachtet man die offen liegenden Datensätze, finde man zudem 60 Mio. Einträge mit dem Passwort „123456“. „Jetzt könnte man sagen, 60 Millionen Menschen sind alle blöd“, doch das hält Meinel für eine falsche Schlussfolgerung: „Die haben keine Vorstellung, die halten das Passwort-Eingeben für so ein Ritual, wie man einen Schalter bedient – damit man ein Programm benutzen kann, gibt man halt irgendwas ein und dann geht’s los. Denen ist nicht bewusst, dass dieses Passwort zum Schutz ihrer Daten dient – denn dann wäre ich ganz sicher, dass jedenfalls ein Großteil ein bisschen genauer nachdenken würde.“ Viele Menschen würden auch noch glauben, dass alle Dinge, die mit ihrem Smartphone zu tun haben, sich innerhalb dieses Gerätes abspielen – und nicht in der Cloud. Unverständnis begegne man leider auch in den Schulen, wo Kinder zwar toll mit Geräten umgehen könnten, aber kein tiefer gehendes Verständnis gelehrt werde: „Da sind wir noch ganz weit weg von Digitalisierungsthemen“, bedauerte Meinel. Zwar müsse durchaus auch das Design von Sicherheit besser werden, „aber ohne dass die Menschen mitdenken und für ihre Aktivitäten im Digitalen Verantwortung übernehmen, wird es nicht gehen.“

Schönbohm stimmte zu: „Mit relativ einfachen Maßnahmen kann man ein deutlich höheres Sicherheitsniveau erreichen, als man es heute normalerweise hat.“ Wir müssten über Trainings eine Verhaltensänderung herbeiführen: „Wenn ich in der realen Welt bei Rot über die Straße gehe und ich werde überfahren, dann muss ich mich nicht wundern. Und wenn ich bei Grün über die Straße gehe und ich werde überfahren, dann kriegt der andere ein Strafverfahren.“ Genauso sollte es sich in der Cyberwelt verhalten.

Auf die Frage, wie es Airbus schaffe, das Mitdenken seiner Mitarbeiter zu aktivieren, antwortete Hoke: „Wir versuchen, spielerische Ansätze (Gamification) in die Ausbildung der Mitarbeiter einzubinden.“ Es gebe aber auch verpflichtende Trainings und eine Kooperation mit der University of Cardiff im Human-Centric Cyber Security Accelerator, wo sich Airbus mit der Psychologie von Attacken beschäftigt (z. B. Texte von Phishing-Mails). Man könne aber nicht erst im Arbeitsleben ansetzen – auch im Privaten und in der Schule sei Awareness bedeutsam. Sobald eine App cool oder komfortabel sei, würden Warnungen und Datenschutzbedenken sonst schnell einfach beiseite geschoben: „Wir müssen den Menschen immer wieder vor Augen führen, dass dahinter halt doch Risiken liegen und dass Daten extrem wichtig sind“, insistierte Hoke.

Eine Umfrage unter den Zuhörern zum Abschluss der Debatte legt nahe, dass hierbei auch in den Organisationen der sicherheitsaffinen Teilnehmer des BSI-Kongresses noch Verbesserungsbedarf besteht. Auf die Frage, ob der „Faktor Mensch“ im eigenen Umfeld ausreichend berücksichtigt werde, antworteten nur 40 % „Ja, Awareness wird mittlerweile als wichtiger Aspekt der Prävention betrachtet“ – 54 % sagten „Nein, Schulungen und Sensibilisierungen der Mitarbeiter:innen kommen immer noch zu kurz“ (6 % k. A.).

Foto 8

Zur Podiumsdiskussion waren die Teilnehmer:innen teils im Studio, teils über Video zugeschaltet – Moderatorin Claudia van Veen, Prof. Dr. Christoph Meinel, Prof. Dr. Claudia Eckert, Dirk Hoke, Claudia Nemat und Arne Schönbohm (v. l. n. r.) sprachen über den „Faktor Mensch“

Foto 9

Für corona-konforme musikalische Begleitung sorgte die Bonner Band Druckluft.

Tagungsband zum Kongress

Auch zum diesjährigen Online-Kongress hat das BSI wieder ein reales gebundenes Buch mit Langfassungen der Fachvorträge herausgegeben. Es enthält 30 Beiträge unter anderem zu den Themen:

  • Neuartige Social-Engineering-Angriffe
  • Notfallangebot für kleine und mittlere Unternehmen (KMU)
  • Hochsichere Cloud
  • Cyber-Resilience
  • Post-Quanten-Kryptografie
  • Umgang mit Datenschutzkatastrophen
  • Rechtspflicht für Updates?
  • Awareness-Trainings
  • Identitätsdiebe in die Schranken weisen!
  • Sichere Online-Wahlen und -Hauptversammlungen

Der Tagungsband zum 17. Deutschen IT-Sicherheitskongress ist unter dem Titel „Deutschland.Digital.Sicher – 30 Jahre BSI“ zum Preis von 62 e im SecuMediaVerlag erschienen und umfasst circa 400 Seiten, ISBN 978-3-922746-83-6 – er ist im Buchhandel und über www.secumedia.shop erhältlich.

Diesen Beitrag teilen: