Interview / Meinungen

Ministerium entwickelt Spionagesoftware

Interview mit dem FDP-Parteivize Wolfgang Kubicki über die Verantwortung der Politik in Fragen der Unternehmenssicherheit. Die Fragen stellte SECURITY insight – Chefredakteur Peter Niggl

SECURITY insight: Herr Kubicki, es wird unisono beklagt, dass Klein- und mittelständische Unternehmen zu wenig für die Sicherheit ihrer Firmen und Produkte veranlassen. Ist nicht irgendwann der Zeitpunkt gekommen, dass die Politik auf diesem Feld das Heft fester in die Hand nimmt?

Kubicki: Ich gehe davon aus, dass die Unternehmen grundsätzlich ein hohes Eigeninteresse daran haben, dass ihre Sicherheit bzw. die Sicherheit ihrer Produkte gewährleistet ist. Das bedeutet auch, dass sie von sich aus alles – vernünftigerweise Leistbare – tun werden, um bestmöglichen Selbstschutz zu erhalten. Darüber hinaus sind IT-Sicherheit und der Kampf gegen Angriffe aus dem Netz mittlerweile auch selbst ein immer wichtigerer zentraler Wirtschaftsfaktor.

Gleichwohl ist es Aufgabe der Politik, in diesem Bereich Rahmenbedingungen zu schaffen, welche die IT-Infrastrukturen möglichst sicher machen. Dazu gehört eine insgesamt erhöhte Sensibilisierung für die Sicherheit sowie den Datenschutz. IT-Sicherheit muss weiter in den Fokus gerückt werden und beispielsweise bei der Schaffung und Ausgestaltung neuer sowie bestehender Berufsbilder stärker Berücksichtigung finden. Wir brauchen außerdem insgesamt ein höheres IT-Sicherheitsniveau mit hohen Standards, etwa in der Produktion.

Jenseits der perpetuierten Mahnungen, besser auf die IT-Sicherheit zu achten, kommen von staatlicher Seite relativ wenig konkrete Hinweise, auf welche Gefahren die sog. KMUs vorbereitet sein müssen. Besteht politischerseits kein Handlungsbedarf oder sind die Prioritäten einfach anders gesetzt?

Natürlich besteht Handlungsbedarf. Wir wissen, dass Cyber-Angriffe immer professioneller werden. Entsprechend komplexer werden auch die Anforderungen an die IT-Sicherheit. Denn die Digitalisierung bringt neben neuen IT-Entwicklungen eben auch immer neue und vielseitigere Gefahren der Netzkriminalität mit sich.

Insbesondere gespeicherte Gesundheitsdaten, Zugangsdaten zu Bereichen der Finanzdienstleistung oder dem Online-Shopping bieten eine reizvolle Angriffsfläche für kriminelle und geheimdienstliche Betätigung. Es muss daher höchste Priorität haben, die digitale Infrastruktur effektiv zu schützen. Fakt ist aber auch, dass die IT-Sicherheit in den Digitalen Agenden von Bund und Ländern bislang eher eine untergeordnete Rolle spielt. Neben dem anspruchsvollen Projekt des flächendeckenden Breitbandausbaus sind für die Behörden, nach allem was ich beobachte, die Steigerung der eigenen IT-Kompetenz sowie die technische Aufrüstung vordringliche Themen.

Welche mittelfristigen oder langfristigen Maßnahmen schlagen Sie vor, die Sicherheit in potenziell bedrohten Unternehmen zu erhöhen und gegebenenfalls per Gesetz notwendige Maßnahmen durchzusetzen?

Die FDP hat auf ihrem Bundesparteitag im April dieses Jahres einen Leitantrag zum Thema Digitale Gesellschaft beschlossen, der sich mit den Chancen aber selbstverständlich auch den Herausforderungen auseinandersetzt – quasi unsere eigene digitale Agenda.

Wir wollen, dass Daten dauerhaft sicher sind. Verschlüsselungstechnologien müssen daher weiterentwickelt und die Sicherheit von Speichersystemen sowie von qualifizierten Zugriffs- und Berechtigungslogiken stärker vorangetrieben werden. Zur effektiven Bekämpfung von digitaler Kriminalität und Cyberwar müssen darüber hinaus die personellen und technischen Kapazitäten in den staatlichen Behörden (Datenschutzbehörden und andere Sicherheitsorgane), aber natürlich auch in den potenziell bedrohten Unternehmen weiter ausgebaut werden. Die bisher eingeführten anonymen Meldepflichten sind schon ein kleiner Schritt, mit dem aber auch ein Mehr an Bürokratie geschaffen wurde. Ob sie letztlich ausreichen werden, um Unternehmen zu mehr Investitionen in ihre IT-Sicherheit zu veranlassen, ist fraglich.

Bevor man aber auf mehr Sanktionen setzt, sollten wirksame Modelle der Kooperation Vorrang haben. Der Staat sollte vor allem für klare Sicherheitsstandards sorgen – und zwar möglichst branchenspezifisch und außerdem verstärkt mit Verbänden und Kammern vor Ort zusammenarbeiten, um diese bezogen auf die IT-Sicherheit zu sensibilisieren. Ich halte es auch für sinnvoll, mehr Beratungsleistungen der Landesämter für Verfassungsschutz gegen Wirtschaftsspionage zu etablieren, die auch IT-Sicherheitsaspekte einschließen.

Milliardenklagen in den USA beispielsweise gegen VW oder die Deutsche Bank sind in den Schlagzeilen. Unternehmen, die sich auf den globalen Märkten bewegen – das sind auch zahlreiche sog. Hidden Champions ohne große eigene Sicherheitsabteilungen – geraten schnell in Gefahr, in existenzbedrohende Haftungsfallen zu laufen. Ist da nicht die Politik gefordert?

Sie sprechen hier ein wesentliches Problem an: Digitalisierung endet nicht an Staatsgrenzen. Was wenig Sinn macht, sind nationale Alleingänge. Das führt nicht nur zu Rechtsunsicherheit, sondern verursacht auch Mehrkosten, was zu Lasten des Wettbewerbs geht. Die Umsetzung der europäischen NIS-Richtlinie sollte deshalb zwischen den Mitgliedsländern sehr eng abgestimmt werden. Darüber hinaus müssen die EU und die USA in Bezug auf die Sicherheitsstandards und etwaige Melderegelungen ihre Gesetze harmonisieren.

Es wird auf Grund jüngster Vorfälle, immer wieder die Forderung laut, die Qualität der Sicherheitsdienstleistungen zu erhöhen und besser zu kontrollieren. Wie stehen Sie zu der Forderung des Bundesverbandes der Sicherheitswirtschaft, die Branche in den Aufgabenbereich des Innenministeriums zu überführen?

Das Bundesinnenministerium und seine nachgeordneten Behörden entwickeln staatliche Schad- und Spionagesoftware, die potentiell grundrechtswidrig ist, weshalb es einen anhaltenden Interessenkonflikt geben würde, wenn es ausgerechnet für die IT-Sicherheit zuständig wäre. Besser wäre es, man würde das BSI als unabhängige Behörde mit eindeutigem Sicherheitsauftrag ausgestalten, die kritische Infrastruktur überwacht und eventuelle Angriffe bewertet. Teil dieser Institution könnte dann auch das nationale Cyberabwehrzentrum werden.

Redaktion Prosecurity

Die ProSecurity Publishing GmbH & Co. KG ist einer der führenden deutschen Sicherheitsfachverlage. Wir punkten mit fachlicher Kompetenz, redaktioneller Qualität und einem weit gespannten Netzwerk von Experten und Branchenkennern.

Kommentieren

Hier klicken, um ein Kommentar zu schreiben