IT-Sicherheit im Wandel der Zeit
Veröffentlicht am 20.02.2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) feiert in diesen Tagen seinen 30. Geburtstag. Anlass genug, einmal zurückzuschauen auf die Entwicklung der IT-Sicherheit in Deutschland.
Als IT-Sicherheit noch Neuland war
Als das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 1991 gegründet wurde, konnten die meisten Bundesbürger davon nur in der Zeitung lesen. Denn das World Wide Web, in dem wir uns heute quasi in Echtzeit über alle globalen Ereignisse informieren, steckte damals noch in den Kinderschuhen. Die breite Nutzung setzte erst Mitte der 1990er-Jahre ein. Auch soziale Medien als Informationsquelle gab es noch nicht. Seitdem aber hat sich die Informationstechnologie (IT) und mit ihr das Thema IT-Sicherheit rasant entwickelt. Denn auch die „schwarzen Schafe“ machten sich die Technologien schnell zunutze und griffen Computer mit Schadsoftware an.
Mit Gründung des BSI hat die IT-Sicherheit in Deutschland eine gesetzliche Grundlage erhalten. Mittlerweile beschäftigen sich im Auftrag oder mit Unterstützung der Bundesregierung neben dem BSI mehr als ein Dutzend Institutionen mit der deutschen IT-Sicherheit und inzwischen auch mit der Cybersicherheit. Das jüngste Beispiel ist die im Aufbau befindliche Agentur für Innovation in der Cybersicherheit (Cyberagentur) an einem Interimsstandort in Halle (Saale).
Das BSI indes hat bereits 1994 das erste sogenannte Computer Emergency Response Team (CERT) eingerichtet: Die Politik hatte erkannt, dass nicht nur die Abwehr von Schadprogrammen und der Hinweis auf Schwachstellen, sondern auch die Reaktion auf IT-Sicherheitsvorfälle wichtig ist. Im gleichen Jahr veröffentlichte das BSI das IT-Grundschutzhandbuch, heute ein Standardwerk für das IT-Sicherheitsmanagement in Deutschland.
Bevölkerung lernte neue Vokabeln
Die breite Bevölkerung lernte erst zur Jahrtausendwende neue Vokabeln im Kontext der IT: Im Jahr 2000 verbreitete sich der Wurm „Loveletter“ massenhaft, weil E-Mail-Empfänger der Betreffzeile „I love you“ auf den Leim gingen und damit Opfer von Schadsoftware wurden. Der weltweit verursachte Schaden: geschätzte 10 Milliarden Dollar. Als Antwort darauf startete 2002 der Informationsservice BSI für Bürger – seinerzeit auf CD-ROM, heute ein umfassendes Internetangebot.
Leider fallen Internetnutzer bis heute immer wieder auf Phishing-Mails und Co. herein. Auch immer mehr Unternehmen werden Opfer von gezielter Spionage oder Sabotage. Im Jahr 2019 hat das Bundeskriminalamt (BKA) in Deutschland rund 100.000 Straftaten im Bereich Cybercrime registriert. Laut Statista wurden allein im September 2020 rund 199.000 Phishing-Websites weltweit entdeckt. Und die Zahl der über das World Wide Web vernetzten Menschen rund um den Globus steigt weiter. Im Juli 2020 nutzten rund 4,6 Milliarden Personen – fast 60 Prozent der Weltbevölkerung – das globale Datennetz.
Konsequenter Schutz auch für hoheitliche Dokumente
Ein ganz neues Ausrufezeichen setzte der 11. September 2001. Nach dem Terroranschlag in den USA wurde deutlich, dass die Vorteile von IT auch in der weltweiten Mobilität genutzt werden müssen. Und so verfügt der 2005 eingeführte und von der Bundesdruckerei GmbH hergestellte elektronische Reisepass unter anderem über einen Radiofrequenz-Identifikations-Chip, der das Gesichtsbild und die persönlichen Daten sowie seit 2007 auch die Fingerabdrücke speichert. Genau fünf Jahre später ermöglichte es der von der Bundesdruckerei produzierte neue elektronische Personalausweis, sich im Internet gegenüber berechtigten Unternehmen und Behörden sicher und bequem auszuweisen.
Angriffe weiten sich aus
Im Jahr 2010 tauchte „Stuxnet“ auf: eine erstmals auf Prozesssteuerungssysteme spezialisierte Schadsoftware. Damit rückte die Verwundbarkeit von Industrieanlagen und Kritischen Infrastrukturen in den Fokus. So sieht dann auch der aktuelle Referentenentwurf des IT-Sicherheitsgesetzes 2.0 neue Pflichten für die Betreiber Kritischer Infrastrukturen vor. Ziel ist es, die Sensibilisierung für Cybersicherheit zu stärken und das Sicherheitsniveau deutlich zu erhöhen.
Ein Jahr später nahm das Nationale Cyber-Abwehrzentrum in Bonn seine Arbeit auf. Es dient mehreren Sicherheitsbehörden als gemeinsame Plattform zum schnellen Informationsaustausch und zur besseren Koordinierung von Schutz- und Abwehrmaßnahmen gegen IT-Sicherheitsvorfälle.
Die Geburtsstunde der digitalen Souveränität
Die 2013 in den Tageszeitungen „The Washington Post“ und „The Guardian“ veröffentlichten geheimen Dokumente haben belegt, dass amerikanische und britische Geheimdienste in großem Umfang die globale Telekommunikation und insbesondere das Internet überwachen. In der Folge wurde öffentlich, dass auch deutsche Spitzenpolitiker abgehört wurden. Auf die dadurch ausgelöste „NSA-Affäre“ folgten zahlreiche politische Diskussionen zu Cybersicherheit und Geheimdienstpraktiken und dies war so etwas wie die Geburtsstunde des politischen Anspruchs auf digitale Souveränität. Unter digitaler Souveränität versteht man das selbstbestimmte Handeln und Entscheiden von Bürgern, Unternehmen oder Staaten im digitalen Raum. Grundvoraussetzung dafür ist eine sichere Dateninfrastruktur, die es ermöglicht, dass alle Beteiligten vertraulich und geschützt im digitalen Raum kommunizieren können. Entsprechend spielen das Bewusstsein, wie man sich sicher im Internet bewegt, sowie Datenschutz und Datensicherheit dabei eine elementare Rolle.
Corona-Pandemie braucht IT-Sicherheit
Seitdem verändert die IT-Welt sich weiter. Vor allem zunehmende Flexibilität und mobiles Arbeiten zwingen zu einem neuen Denken bei der Absicherung sensibler Daten. Genügte es vor zehn Jahren noch, nur einzelne Perimeter abzusichern, reicht dieser Ansatz heute nicht mehr aus. Inzwischen ist die Sicherung aller Netzwerkbereiche und -übergänge – nicht nur zum Internet – Standard. Dabei gilt: Je stärker Unternehmensprozesse digitalisiert und vernetzt werden, desto größer die Angriffsfläche für Cyberangriffe. Entsprechend müssen Digitalisierung und IT-Sicherheit gemeinsam angegangen werden.
Heute wird bei der IT-Sicherheit deutlich früher angesetzt als in der Vergangenheit. Wurde lange Zeit erst reagiert, wenn es bereits zu Vorfällen gekommen war, steht heute der Anspruch auf „Security by Design“ im Fokus. Dabei wird die IT-Sicherheit bereits bei der Entwicklung eines Produkts mitgedacht und integriert.
Seit Frühjahr 2020 – bedingt durch die Corona-Pandemie – spielt auch die Absicherung des Homeoffice eine größere Rolle, sowohl für Unternehmen als auch für Behörden. Das BKA stellt aktuell einen signifikanten Anstieg von DDoS-Angriffen fest. Entsprechend sollten bei der Einrichtung der mobilen Arbeitsplätze IT-Sicherheit und organisationsspezifische Bedingungen im Mittelpunkt stehen.
Das IT-Schutzniveau vieler Unternehmen in Deutschland ist bislang noch ziemlich ausbaufähig, wie die Bundesdruckerei in einer Studie herausgefunden hat. Es verbessert sich mit zunehmender Unternehmensgröße. Da die meisten Unternehmen in Deutschland jedoch kleine Firmen mit weniger als 100 Beschäftigten sind, sind gerade die Unternehmen, die das Gros der deutschen Wirtschaft ausmachen, sicherheitstechnisch besonders verwundbar. „Mithilfe von IT-Sicherheitsmaßnahmen kann das Risiko bei der Nutzung von IT-Systemen erheblich reduziert und damit ein Schaden verhindert werden. IT-Sicherheitsmaßnahmen sind eine Investition in die Zukunft“, sagt Professor Norbert Pohlmann vom Institut für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen .
