Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Freitag, 15. Dezember 2017

IT-Sicherheit

„Wir müssen die Airbus-Idee für die europäische IT-Sicherheit wiederbeleben“

Von Christiane Schulzki-Haddouti | 6. Februar 2015 | Ausgabe 06

Der NSA-Skandal ist für die europäische IT-Industrie ein Weckruf. Sicherheitsforscher Michael Waidner elektrisiert alle Parteien gleichermaßen mit seiner Idee, ein europäisches Konsortium für IT-Sicherheit zu gründen – ähnlich wie Airbus. Die VDI nachrichten haben nachgehakt, was er damit meint.

x-interview waidner BU
Foto: M- Balk/dpa

In der IT-Sicherheit sind Forscher aus Deutschland ganz vorne mit dabei, das weiß Experte Michael Waidner. Besonders gilt das für hardwarebasierte Kryptografie und die Sicherheit von eingebetteten Systemen, die für Industrie 4.0 wichtig ist.

VDI nachrichten: Wie kann Europa die verloren gegangene technologische Souveränität in Sachen IT-Sicherheit wiederherstellen?

Michael Waidner: Souveränität bedeutet für mich, zuverlässig Zugriff auf Technologien zu haben, die den eigenen Bedürfnissen nach Vertrauenswürdigkeit, Sicherheit und Privatsphärenschutz genügen. Von Souveränität sind wir heute noch weit entfernt. Die europäische IT-Industrie ist weder in der Lage alle Technologien selbst herzustellen, noch würde das in einer globalisierten Welt viel Sinn ergeben.

Michael Waidner

Aber wir brauchen ein europäisches Gegengewicht zu den großen IT-Herstellern in den USA und Asien, sozusagen eine Initiative für die IT. Ähnlich wie die, die vor 35 Jahren zur Gründung von Airbus geführt hat. Nur so können wir bestimmte sicherheitskritische IT selbst herstellen und Ansätze entwickeln, wie wir aus Komponenten anderer Herkunft dennoch vertrauenswürdige Systeme produzieren. Wir müssen also die Airbus-Idee für die europäische IT-Sicherheit wiederbeleben.

Wie kommen wir zu einem solchen Gegengewicht?

Wir brauchen ein klassisches Öko-System. Allein in Deutschland gibt es Hunderte von kleinen, sehr innovativen Herstellern im IT-Bereich. Es fehlen aber die großen Hersteller und Konsortien, die die ganze Breite der IT abdecken und damit eine Integrationsplattform für die kleineren Hersteller bilden könnten. Gerade im IT-Sicherheitsbereich mangelt es teilweise auch noch am europäischen Markt; viele Lösungen sind auf die nationalen Märkte ausgerichtet. Daher will ich einen schlagkräftigen Verbund ähnlich wie das ursprüngliche Airbus-Konsortium.

Welche Rolle spielen hier die Standardisierungsgremien?

Foto: SIT

„Wir brauchen ein europäisches Gegengewicht zu den großen IT-Herstellern in den USA und Asien, sozusagen eine Initiative für die IT.“ Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie.

Standards sind die Voraussetzung für vertrauenswürdige, sichere IT. Eines der international einflussreichsten Standardisierungsgremien ist das amerikanische NIST, wodurch schon klar wird, dass Europa hier keinen so großen Einfluss hat. Dazu kommt, dass die Mitarbeit an Standards sehr teuer ist. Die für Europa typischen kleineren Hersteller scheuen diesen Aufwand.

Warum sind die heutigen Standardisierungsprozesse kritisch zu sehen?

Es mangelt an Transparenz und Kontrolle. Oft ist unklar, wer standardisiert und nach welchen Vorgaben. Das Paradebeispiel dafür ist der nahezu unbemerkte, von der NSA veranlasste Einbau einer Hintertür in einen kryptografischen Standard von NIST. Dazu kommt, dass die Standardisierung oft rein ökonomischen Interessen folgt. Gerade Sicherheit und Privatsphärenschutz werden dadurch nicht immer ausreichend berücksichtigt.

Die deutsche Forschung wird international schon länger als Schwergewicht wahrgenommen. Wie zeigt sich das?

Auf vielfältige Weise. Wir schaffen es zum Beispiel zunehmend, wichtige Forschungskonferenzen nach Deutschland zu holen. Die weltweit wichtigste Forschungskonferenz zum Thema IT-Sicherheit, die ACM CCS, fand 2013 in Berlin statt. Viele Konferenzen führen Statistiken, aus welchen Ländern die meisten Beiträge kommen, und auch hier belegt Deutschland meist einen führenden Platz, oft als die Nummer 2, nach den USA als der Nummer 1.

In welchen Bereichen gehört die deutsche Forschung zur Spitze?

Eigentlich sind in allen Bereichen der IT-Sicherheit Forscher aus Deutschland ganz vorne mit dabei. Besonders aktiv sind wir in Deutschland mit Themen wie hardwarebasierter Kryptografie oder ganz allgemein der Sicherheit eingebetteter Systeme. Das ist natürlich gerade für Industrie 4.0 wichtig. Sehr aktiv sind wir auch im Bereich der Softwaresicherheit, insbesondere dem „Security and Privacy by Design“. Hier geht es darum, wie man IT von Anfang an systematisch so entwirft, dass sie ausreichend sicher und die Privatsphäre schützend ist.

Viele Forschungsergebnisse kommen in der Praxis aber nicht oder nicht schnell genug an. Wie lässt sich diese Lücke überwinden?

Meiner Erfahrung nach dauert es in der IT-Sicherheit oft zehn bis 15 Jahre, bis Ergebnisse aus der Forschung in der Praxis ankommen. Ein wichtiger Grund dafür ist, dass der Markt für IT-Sicherheit bis vor wenigen Jahren primär durch „Compliance“ getrieben wurde, also der Notwendigkeit, gesetzliche und andere Vorgaben einzuhalten. Dabei war es oft nicht wichtig, ob solche Vorgaben tatsächlich die Sicherheit förderten und ob sie dies auf die bestmögliche Weise taten.

In den letzten Jahren – wohl durch das Aufkommen von Cloud-Computing und mobilen Endgeräten – scheint sich die Situation aber zu ändern. Das Risikobewusstsein steigt und damit die Bereitschaft, IT-Sicherheit systematisch zu betreiben und für den eigenen Schutz mehr zu tun als gesetzlich vorgeschrieben ist. Von daher bin ich optimistisch, dass sich dieser Gap verringern wird.

Wie würden Sie den Stand der IT-Sicherheit heute beschreiben?

Es gibt noch viel zu tun. Die übliche Schätzung ist, dass mit aktuell am Markt verfügbaren Lösungen bereits 80 % der heute erfolgreichen Angriffe abgeblockt werden könnten. Diese müssen tatsächlich zum Einsatz kommen, und weitere müssen entwickelt werden.

Wo steht heute „Security by Design“, das schon bei den Herstellungsprozessen ansetzt?

Das reaktive „Patchen“, das Nachbessern von Fehlern, die erst nach der Auslieferung einer Software gefunden wurden, ist ein unverzichtbares Instrument für die IT-Sicherheit – und das wird es sicher auch bleiben. Mit „Security by Design“ soll aber die Anzahl solcher Fehler proaktiv deutlich gesenkt werden, was letztlich nicht nur die Sicherheit verbessert, sondern auch ganz deutlich die Kosten senkt.

Die großen Softwarehersteller haben das fast alle erkannt, kleinere Hersteller tun sich da noch deutlich schwerer. Insgesamt fehlt es für „Security by Design“ noch an einfach einzusetzenden Prozessen und Werkzeugen. Da ist noch viel Forschung und Entwicklung nötig. In der Forschung sind wir glücklich, wenn wir einige 10 000 Codezeilen nachweislich sicher machen können, in der Praxis sind es aber oft viele Millionen.

Gesetzlich vorgeschriebene Audits gibt es ja nicht. Was würden sie bringen?

Audits sind ein wichtiger Bestandteil von IT-Sicherheit und Datenschutz. Vieles in der Cloud wird man ohne vertrauenswürdige Auditstrukturen nicht hinbekommen. Gütesiegel sind ebenfalls wichtig, da wir Prozesse brauchen, die in der Masse anwendbar sind. Doch die „Common Criteria“ sind schwergewichtig und teuer, und werden deshalb wenig eingesetzt.

Was brauchen wir?

Wir brauchen Zertifizierungen nicht nur für Dienstleistungen und Produkte, sondern auch für die Herstellungs- und Integrationsprozesse von IT. Das ist eine echte Herausforderung für die Forschung. Denn wenn ich heute diverse Komponenten aus verschiedenen Ländern zusammenschraube, ist unklar, wie ich im Ergebnis ein sicheres System bekomme. Da ist Forschung, Standardisierung und Abstimmung mit Herstellern in anderen Ländern erforderlich.

Warum reichen die derzeitigen Beratungsangebote für Bürger in Sachen IT-Sicherheit nicht aus?

Die Verbraucherzentralen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) tun schon sehr viel. Aber wenn ich mich im Bekanntenkreis umhöre, sind diese Angebote für Nichtinformatiker immer noch viel zu komplex. Es fehlen Angebote, die ganz konkrete, sichere Produkte beinhalten, sowie Beratung, wie man die Produkte sicher verwendet, etwa mithilfe von vorkonfigurierten Standardinstallationen. Damit geht man als Berater eine gewisse Verantwortung ein, aber das ist das, was die Leute wirklich haben wollen. 

stellenangebote

mehr