Harald A. Summa + IT-Sicherheit

Es wird Zeit, dass der Sheriff den weißen Hut aufsetzt (Teil 2)

Zuständig sein für Sicherheit und gleichzeitig Sicherheitslücken ausnutzen? War schon heikel, als das Internet noch jung war. Aber in einer Wirtschafts- und Gesellschaftsordnung, die ohne IT nicht mehr denkbar ist, sollte das Aufweichen der IT-Sicherheit für einen Sheriff von Format tabu sein.

Stellen wir uns den Sheriff für den Moment als Staat vor. Wie haben wir unseren Sheriff in der Vergangenheit beim Thema IT-Sicherheit erlebt? Ich finde, es handelt sich bei unserem Sheriff um einen eher pragmatisch veranlagten Typen. Zu behaupten, der Sheriff wechsle nach Belieben zwischen weißem, grauem und schwarzem Hut, wäre zwar deutlich übertrieben, denn in der Regel führt so ein Staat ja niemanden aus niederen Motiven und zur eigenen Bereicherung Schaden zu. Aber ein über jeden Zweifel erhabener, strahlend weißen Held? Ist unser Sheriff derzeit auch nicht gerade.

IT-Systeme haben Sicherheitslücken. Diese Sicherheitslücken können ausgenutzt werden. Um Daten zu verändern, auszulesen, zu vernichten, einzuschleusen. Anwender haben zum Thema Sicherheitslücken eine klare Haltung: Sie sind dagegen und zwar eindeutig. Auch Hersteller haben zum Thema Sicherheitslücken, zumindest offiziell, eine klare Haltung: Sie sind dagegen und zwar eindeutig. Diese Eindeutigkeit ist ja auch logisch. Kein Anwender, der den Wert von Daten verstanden hat, will die eigenen Daten gefährden. Und kein Hersteller, der vom Vertrauen seiner Kunden abhängig ist, will dass die ihre Daten für gefährdet halten.

Sicherheitslücken: Schließen – oder selbst ausnutzen?

Welche Haltung aber hat unser Sheriff, haben Staaten gegenüber Sicherheitslücken? Das, und deshalb stelle ich mir unseren Sheriff als eher pragmatisch veranlagten Typen vor, kommt ganz darauf an. Geht es darum, sagen wir, dem Bürger beim Thema Online-Banking zu unterstützen, ist klar: Der Bürger soll unbesorgt sein, sich auf hohe Standards verlassen dürfen und, wenn er trotzdem Opfer eines Verbrechens wird, nicht allein gelassen werden. Beim Online-Banking ist der Sheriff gegen Sicherheitslücken. Geht es darum, dass die IT des eigenen Bundestags kompromittiert und Abgeordnete ausspioniert werden, ist die Haltung auch klar. Das geht gar nicht.

Aber wie steht es mit Sicherheitslücken, die von anderen nicht ausgenutzt werden – weil sie noch niemand kennt und die man daher selbst nutzen kann? Wie steht es mit Hintertüren, über die man als Sheriff Zugriff auf Daten erhält, die von ihren Nutzern als sicher verschlüsselt geglaubt werden – und auf die man im Zuge der Verbrechensbekämpfung zugreifen möchte? Wie steht es mit Schadsoftware, die man verdächtigen Personen unterschieben kann? Wie steht es generell mit Anliegen, die in das Aufgabengebiet derer fallen, deren Hüte nicht als weiß, schwarz oder grau bekannt sind, sondern als schlapp? 

Andern eine Grube graben, ohne selbst hineinzufallen: Was der Volksmund unmöglich findet, ist einer der Grundpfeiler der IT-Sicherheitspolitik unseres Sheriffs. Behörden fühlen nicht ausschließlich der Verbesserung der IT-Sicherheit verpflichtet – manchmal sind sie es selbst, die Unsicherheit stiften. 

Das alles ist nicht neu. Es ist nicht einmal mehr News. Die grundlegenden Fakten sind nicht nur den Experten bekannt, sie sind längst Allgemeinwissen. Auch schon wieder mehr als fünf Jahre ist es her, dass Edward Snowden sein Wissen mit der Welt geteilt hat, verbunden mit der Bitte, doch selbst zu entscheiden, ob es das ist, was wir wollen.

Persönlich habe ich die Strategie, Lücken in der Sicherheit zu nutzen, um für mehr Sicherheit zu sorgen, schon 2013 kritisch betrachtet. Dass diese Strategie seither dennoch nicht geändert, sondern eher noch forciert wurde, mag letztlich einer Kosten/Nutzen-Rechnung geschuldet sein: Den Bösen zusetzen, um die Guten zu schützen. Das war das Kalkül. Auch wenn es vielen, meiner Person eingeschlossen, schwerfällt, das zu glauben: Offensichtlich haben wir als Gesellschaft uns mit Snowdens Wissen ausgestattet seinerseits dazu entschieden, diesem Kalkül zu folgen. Wir wollten es wohl so.

Vom Vertrauen in die digitale Welt hängt unsere Zukunft ab

Ob die Rechnung jemals aufgegangen ist? Darüber will ich an dieser Stelle nicht weiter nachdenken. Der Blick in die Vergangenheit hilft ja ohnehin nicht. Stattdessen will ich in die Zukunft schauen und die Frage stellen: Kann diese Rechnung in Zukunft aufgehen?

Ich glaube: nein.

Der Grund dafür ist ebenso simpel wie einleuchtend: Ich glaube, nein ich weiß, dass das Internet und die modernen ITK-Systeme nicht mehr das sind, was sie vor zwanzig, zehn oder auch noch vor fünf Jahren noch waren. Unsere digitale Infrastruktur ist nicht eines unter vielen Tools, das wir bei Bedarf aus dem Werkzeugkasten nehmen und nach Gebrauch wieder zurücklegen können. Das Internet ist global, es ist überall und es ist grundlegend. Man kann das Internet nicht an der einen Stelle schwächen und gleichzeitig davon ausgehen, dass das Vertrauen in alle anderen Stellen bestehen bleibt. 

Die digitale Welt – und unser Vertrauen in sie – ist nichts, das wir je nach Bedarf instrumentalisieren sollten. Im Gegenteil: Wir sollten alles dafür tun, das Vertrauen in diese Technologie zu stärken und mit Vertrauen meine ich nicht blindes Vertrauen, sondern echtes, also aufgeklärtes, engagiertes, souveränes Vertrauen.

Die moderne IT ist Basistechnologie für alle anderen Branchen. Unsere digitalen Technologien sind der Treiber für Innovation, Entwicklung und Fortschritt, mit Betonung auf der. Das Spielfeld, auf dem sich entscheidet, ob unsere Zukunft eine gute wir, ist: digital.

Die Zukunft ist digital. Darum darf, wer eine gute Zukunft schaffen will, nicht mit dem Vertrauen in die digitale Welt pokern. IT-Sicherheit sollte keine Frage des jeweiligen Interesses sein. Beim Vertrauen in die digitale Welt sollte es keine Zielkonflikte geben. Uns allen sollte klar sein: Eine gute digitale Zukunft hängt von unserem Vertrauen in die Sicherheit der digitalen Gegenwart ab. 

Aus diesem Grund bin ich der Meinung: Es wird Zeit, dass unser Sheriff den weißen Hut aufsetzt.

zurück zu Teil 1

Foto © JBryson | istockphoto.com

Harald A. Summa
Summa summarum: New Work
1. August 2016
Harald A. Summa +Rechenzentrum Infrastruktur
Rechenzentren sind Grundlage für Nachhaltigkeit in der Digitalisierung
3. Juni 2020
Harald A. Summa + Die digitale Infrastruktur braucht viel Energie – gleichzeitig kann sie sparen helfen
Die digitale Infrastruktur braucht viel Energie – gleichzeitig kann sie sparen helfen
4. Februar 2022