Michael Waidner, Fraunhofer SIT

"Das Vertrauen in die Sicherheit der IT ist erschüttert"

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Wie steht es um den Standort Deutschland in Fragen der IT-Sicherheit und des Datenschutzes? Bringt die NSA-Affäre die nationale IT-Wirtschaft nach vorne? Professor Dr. Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT), macht sich im CW-Interview an eine Bestandsaufnahme.

CW: Inwieweit hat die NSA-Affäre das Vertrauen deutscher Unternehmen in die IT-Industrie geschwächt?

Michael Waidner leitet das Fraunhofer SIT in Darmstadt seit Oktober 2010.
Michael Waidner leitet das Fraunhofer SIT in Darmstadt seit Oktober 2010.
Foto: Fraunhofer SIT

MICHAEL WAIDNER: Die NSA-Affäre hat die Menschen sehr nervös gemacht. Viele unserer Partner und Kunden sind mittelständische Anwender oder Hersteller von IT. Aus vielen Gesprächen mit diesen Unternehmen höre ich heraus, dass das Grundvertrauen in die Sicherheit von Informationstechnologie erschüttert ist. Diese Nervosität richtet sich nicht gegen bestimmte Hersteller, sondern ist allgemeiner Natur. Ganz besonders kritisch gesehen werden derzeit natürlich IT-Produkte und Dienste aus den USA.

CW: Welche Chancen ergeben sich daraus für deutsche Anbieter?

WAIDNER: Für die deutsche Industrie ergibt sich aus dieser Situation die große Chance, sich mit vertrauenswürdiger Informationstechnologie am Markt zu positionieren. Die Frage ist nur, worin genau diese Chance besteht und wie man sie nutzen kann. Der größte Teil der IT, die wir verwenden, stammt ja nicht aus Deutschland oder Europa. Bedauerlicherweise ist unsere IT-Industrie auch nicht so aufgestellt, dass sie den IT-Bedarf in Deutschland umfassend bedienen könnte.

Ganz sicher können wir uns nicht vollständig unabhängig machen von IT aus dem Ausland. Diese "digitale Souveränität", von der häufig als Ziel gesprochen wird, kann nicht funktionieren. Uns fehlen die Ressourcen, den Technologievorsprung von Herstellern wie Google, IBM, Intel oder Microsoft aufzuholen. Außerdem befinden wir uns in einem globalen Markt und bewegen uns in einer globalen Gesellschaft. Niemand will auf die Technologien und Angebote etwa aus den USA verzichten, niemand auf die amerikanischen Suchmaschinen und sozialen Netze. Wir dürfen nicht glauben, dass wir uns von der restlichen Welt abkoppeln könnten oder auch nur wollten.

Für die deutsche IT-Industrie heißt das, Marktlücken jetzt zu suchen und dann sehr schnell zu schließen. Solche Marktlücken entstehen dort, wo es um neue oder besonders kritische Anwendungen und Infrastrukturen geht und das Sicherheitsrisiko den Aufwand für eigene Entwicklungen rechtfertigt. Die größten Chancen sehe ich in den Branchen, in denen Deutschland traditionell stark ist - beispielsweise im Maschinen- und Anlagenbau. Dort sind viele kleine und mittelständische Unternehmen unterwegs. Diese Branche bewegt sich gerade rasant in Richtung "Industrie 4.0", mit ganz neuen Sicherheitsanforderungen und damit auch einem neuen Bedarf an Sicherheitslösungen. Hier hat die deutsche IT-Industrie eine sehr gute Chance. Gute Möglichkeiten sehe ich auch im Bereich der Business Software, wo Deutschland beispielsweise mit SAP und der Software AG bereits sehr stark ist.

Pro offene Systeme

Es gibt aber noch einen weiteren Aspekt: Da wir von Informationstechnologie aus dem Ausland abhängig sind und in gewisser Weise auch abhängig sein wollen, müssen wir gezielt die Fähigkeit aufbauen, die Vertrauenswürdigkeit importierter IT zumindest beurteilen zu können. Wenn hiesige Anwender etwa ein Betriebssystem kaufen, sei es von einem ausländischen oder inländischen Hersteller, dann müssen sie seine Sicherheit beurteilen können. Dafür braucht es geeignete Organisationen und letztlich die richtigen Analysewerkzeuge, mit denen sich IT testen, verifizieren und bei Bedarf auch um Sicherheitsaspekte erweitern lässt.

Das funktioniert aber nur bei transparenten Systemen, etwa Open-Source-Lösungen. Nur wenn man die Details eines Systems sehen kann, besteht überhaupt die Chance, seine Sicherheit zu überprüfen. Von daher wäre es wünschenswert, wenn kritische Soft- und Hardware-Komponenten so gestaltet wären, dass sie für derartige Inspektionen zugänglich sind - zumindest für unabhängige Einrichtungen wie etwa das Fraunhofer SIT oder für öffentliche Institutionen wie das BSI (Bundesamt für Sicherheit in der Informationstechnik). Je öffentlicher und zugänglicher IT-Systeme sind, desto leichter kann man sie überprüfen.

CW: Welche Rolle spielt der Gesetzgeber? Die Große Koalition hat sich aufgegeben, den Einsatz "national entwickelter IT-Sicherheitstechnologie" zu stärken.

WAIDNER: Die Politik steckt den Rahmen ab. Dieser muss in der Festlegung bestimmter, verbindlicher Mindeststandards für die IT-Sicherheit bestehen - im Einklang mit der gelebten Praxis und dem Stand der IT-Sicherheitsforschung. Das schließt auch ein, dass Systeme transparent gestaltet werden, so dass die Einhaltung dieser Mindeststandards überprüfbar wird. Ich denke, wenn solche Standards in Zusammenarbeit mit der nationalen IT-Industrie erarbeitet werden, führt dies fast zwangsläufig auch zu einer Stärkung national entwickelter IT-Sicherheitstechnologien. Der Gesetzgeber muss Vorreiter darin sein, sinnvolle Sicherheitsanforderungen zu stellen - die Industrie wiederum muss dann aber auch schnell und agil genug sein, diese Anforderungen in einen Marktvorteil umzusetzen.

Natürlich geht es auch ums Geld. Gerade in dem bereits angesprochenen Überprüfungsbereich ist noch viel Forschung vonnöten, und deren Finanzierung ist in Deutschland auch Aufgabe der öffentlichen Hand.

Datenschutz als Standortvorteil

CW: Was Deutschland bereits einen möglichen Standortvorteil verschafft, sind die hohen Datenschutzstandards hierzulande. Und die entsprechenden Gesetze sollen europaweit noch weiter zugunsten der Verbraucher verschärft werden. Ist das wettbewerbstechnisch nicht kontraproduktiv, wenn man sich die populären Web-Dienste aus Übersee betrachtet, die sich nicht wirklich um den Datenschutz scheren?

WAIDNER: Das sehe ich nicht so. Der europäische Markt ist auch für die Anbieter aus Übersee zu wichtig, als dass sie das neue EU-Datenschutzrecht, wenn es denn kommt, einfach ignorieren könnten. Ganz im Gegenteil erwarte ich mir deshalb von der Datenschutzreform einen sehr positiven Effekt auf unsere Wirtschaft. Die neuen Regelungen stärken die Rechte der Bürger und müssen technisch umgesetzt werden. Sehr oft wird dies Wissen und Technologie aus und in Europa erfordern.

Deutsche Anwender beispielweise sind besorgt um die Sicherheit und den genauen Speicherort ihrer Cloud-Daten. US-Anbieter von Cloud-Speicherdiensten werden alles tun, um die deutschen Kunden trotz dieser Sorge zu halten und deshalb beispielsweise eine selbstständige komplette Verschlüsselung ihrer Daten unterstützen. Dafür braucht es Lösungen - wie beispielsweise unser Projekt "OmniCloud". Kurzum: Datenschutzgesetze stärken den Kunden - den privaten Verbraucher genauso wie die hiesigen Unternehmen.

Meine Hoffnung ist, dass wir durch die Datenschutzreform und durch weitere Gesetzesänderungen und internationale Verträge dahin kommen, dass die Daten deutscher Bürger und Unternehmen bei amerikanischen und anderen Cloud-Providern mindestens genauso gut geschützt sind wie die Daten der dortigen Bürger und Unternehmen.

CW: Inwiefern ist der Speicherort nicht eher ein nachgelagertes Problem und die Frage nach dem Transportweg, der die Daten überhaupt erst zu ihrem Speicherort bringt, viel entscheidender?

WAIDNER: Man muss beides absichern, den Speicherort und den Transportweg. Die anlasslose Massenüberwachung durch die Geheimdienste geschieht zu einem großen Teil durch das Lauschen auf den internationalen Transportwegen. Letztlich hilft dagegen nur die umfassende Ende-zu-Ende-Verschlüsselung, für alle Internet-Dienste und für alle Nutzer. Nur durch Ende-zu-Ende-Verschlüsselung lässt sich Sicherheit in der Datenübertragung erreichen.

Ein "Schengen-Routing", wie es die Telekom vorschlägt, kann die Ende-zu-Ende-Verschlüsselung nicht ersetzen. Aber sie reduziert das Problem - die Geheimdienste haben auf weniger Daten Zugriff - und ergibt deshalb durchaus Sinn. Wenn auch nur gegen die Massenüberwachung, nicht gegen die gezielte Überwachung Einzelner.

CW: Stichwort anlasslose Massenüberwachung. Deutschland arbeitet gerade an der Wiedereinführung der Vorratsdatenspeicherung. Ihre Meinung dazu?

WAIDNER: Meine persönliche Meinung ist, dass wir sehr verantwortungsvoll mit dem Thema umgehen müssen. Die Verbindungsdaten, die hier auf Vorrat gespeichert werden sollen, sind sehr sensitiv und ihre Speicherung stellt deshalb einen erheblichen Eingriff in das informationelle Selbstbestimmungsrecht der Bürger dar. Juristisch wird in Deutschland sicher alles getan werden, um einen Missbrauch dieser Daten auszuschließen, und in manchen Fällen können diese Daten für die Ermittlungsbehörden bestimmt wertvoll sein. Die Vor- und Nachteile der Vorratsdatenspeicherung kann man sehr unterschiedlich gegeneinander abwägen. Aber eine der Lehren aus der NSA-Affäre ist auch, dass selbst eine so auf Sicherheit ausgerichtete Organisation wie die NSA nicht gegen Innentäter sicher war. Ich bin deshalb sehr skeptisch, was die Vorratsdatenspeicherung betrifft.