CW: Inwieweit hat die NSA-Affäre das Vertrauen deutscher Unternehmen in die IT-Industrie geschwächt?
Foto: Fraunhofer SIT
MICHAEL WAIDNER: Die NSA-Affäre hat die Menschen sehr nervös gemacht. Viele unserer Partner und Kunden sind mittelständische Anwender oder Hersteller von IT. Aus vielen Gesprächen mit diesen Unternehmen höre ich heraus, dass das Grundvertrauen in die Sicherheit von Informationstechnologie erschüttert ist. Diese Nervosität richtet sich nicht gegen bestimmte Hersteller, sondern ist allgemeiner Natur. Ganz besonders kritisch gesehen werden derzeit natürlich IT-Produkte und Dienste aus den USA.
CW: Welche Chancen ergeben sich daraus für deutsche Anbieter?
WAIDNER: Für die deutsche Industrie ergibt sich aus dieser Situation die große Chance, sich mit vertrauenswürdiger Informationstechnologie am Markt zu positionieren. Die Frage ist nur, worin genau diese Chance besteht und wie man sie nutzen kann. Der größte Teil der IT, die wir verwenden, stammt ja nicht aus Deutschland oder Europa. Bedauerlicherweise ist unsere IT-Industrie auch nicht so aufgestellt, dass sie den IT-Bedarf in Deutschland umfassend bedienen könnte.
Ganz sicher können wir uns nicht vollständig unabhängig machen von IT aus dem Ausland. Diese "digitale Souveränität", von der häufig als Ziel gesprochen wird, kann nicht funktionieren. Uns fehlen die Ressourcen, den Technologievorsprung von Herstellern wie Google, IBM, Intel oder Microsoft aufzuholen. Außerdem befinden wir uns in einem globalen Markt und bewegen uns in einer globalen Gesellschaft. Niemand will auf die Technologien und Angebote etwa aus den USA verzichten, niemand auf die amerikanischen Suchmaschinen und sozialen Netze. Wir dürfen nicht glauben, dass wir uns von der restlichen Welt abkoppeln könnten oder auch nur wollten.
Für die deutsche IT-Industrie heißt das, Marktlücken jetzt zu suchen und dann sehr schnell zu schließen. Solche Marktlücken entstehen dort, wo es um neue oder besonders kritische Anwendungen und Infrastrukturen geht und das Sicherheitsrisiko den Aufwand für eigene Entwicklungen rechtfertigt. Die größten Chancen sehe ich in den Branchen, in denen Deutschland traditionell stark ist - beispielsweise im Maschinen- und Anlagenbau. Dort sind viele kleine und mittelständische Unternehmen unterwegs. Diese Branche bewegt sich gerade rasant in Richtung "Industrie 4.0", mit ganz neuen Sicherheitsanforderungen und damit auch einem neuen Bedarf an Sicherheitslösungen. Hier hat die deutsche IT-Industrie eine sehr gute Chance. Gute Möglichkeiten sehe ich auch im Bereich der Business Software, wo Deutschland beispielsweise mit SAP und der Software AG bereits sehr stark ist.
Pro offene Systeme
Es gibt aber noch einen weiteren Aspekt: Da wir von Informationstechnologie aus dem Ausland abhängig sind und in gewisser Weise auch abhängig sein wollen, müssen wir gezielt die Fähigkeit aufbauen, die Vertrauenswürdigkeit importierter IT zumindest beurteilen zu können. Wenn hiesige Anwender etwa ein Betriebssystem kaufen, sei es von einem ausländischen oder inländischen Hersteller, dann müssen sie seine Sicherheit beurteilen können. Dafür braucht es geeignete Organisationen und letztlich die richtigen Analysewerkzeuge, mit denen sich IT testen, verifizieren und bei Bedarf auch um Sicherheitsaspekte erweitern lässt.
Das funktioniert aber nur bei transparenten Systemen, etwa Open-Source-Lösungen. Nur wenn man die Details eines Systems sehen kann, besteht überhaupt die Chance, seine Sicherheit zu überprüfen. Von daher wäre es wünschenswert, wenn kritische Soft- und Hardware-Komponenten so gestaltet wären, dass sie für derartige Inspektionen zugänglich sind - zumindest für unabhängige Einrichtungen wie etwa das Fraunhofer SIT oder für öffentliche Institutionen wie das BSI (Bundesamt für Sicherheit in der Informationstechnik). Je öffentlicher und zugänglicher IT-Systeme sind, desto leichter kann man sie überprüfen.
CW: Welche Rolle spielt der Gesetzgeber? Die Große Koalition hat sich aufgegeben, den Einsatz "national entwickelter IT-Sicherheitstechnologie" zu stärken.
WAIDNER: Die Politik steckt den Rahmen ab. Dieser muss in der Festlegung bestimmter, verbindlicher Mindeststandards für die IT-Sicherheit bestehen - im Einklang mit der gelebten Praxis und dem Stand der IT-Sicherheitsforschung. Das schließt auch ein, dass Systeme transparent gestaltet werden, so dass die Einhaltung dieser Mindeststandards überprüfbar wird. Ich denke, wenn solche Standards in Zusammenarbeit mit der nationalen IT-Industrie erarbeitet werden, führt dies fast zwangsläufig auch zu einer Stärkung national entwickelter IT-Sicherheitstechnologien. Der Gesetzgeber muss Vorreiter darin sein, sinnvolle Sicherheitsanforderungen zu stellen - die Industrie wiederum muss dann aber auch schnell und agil genug sein, diese Anforderungen in einen Marktvorteil umzusetzen.
Natürlich geht es auch ums Geld. Gerade in dem bereits angesprochenen Überprüfungsbereich ist noch viel Forschung vonnöten, und deren Finanzierung ist in Deutschland auch Aufgabe der öffentlichen Hand.
Datenschutz als Standortvorteil
CW: Was Deutschland bereits einen möglichen Standortvorteil verschafft, sind die hohen Datenschutzstandards hierzulande. Und die entsprechenden Gesetze sollen europaweit noch weiter zugunsten der Verbraucher verschärft werden. Ist das wettbewerbstechnisch nicht kontraproduktiv, wenn man sich die populären Web-Dienste aus Übersee betrachtet, die sich nicht wirklich um den Datenschutz scheren?
WAIDNER: Das sehe ich nicht so. Der europäische Markt ist auch für die Anbieter aus Übersee zu wichtig, als dass sie das neue EU-Datenschutzrecht, wenn es denn kommt, einfach ignorieren könnten. Ganz im Gegenteil erwarte ich mir deshalb von der Datenschutzreform einen sehr positiven Effekt auf unsere Wirtschaft. Die neuen Regelungen stärken die Rechte der Bürger und müssen technisch umgesetzt werden. Sehr oft wird dies Wissen und Technologie aus und in Europa erfordern.
Deutsche Anwender beispielweise sind besorgt um die Sicherheit und den genauen Speicherort ihrer Cloud-Daten. US-Anbieter von Cloud-Speicherdiensten werden alles tun, um die deutschen Kunden trotz dieser Sorge zu halten und deshalb beispielsweise eine selbstständige komplette Verschlüsselung ihrer Daten unterstützen. Dafür braucht es Lösungen - wie beispielsweise unser Projekt "OmniCloud". Kurzum: Datenschutzgesetze stärken den Kunden - den privaten Verbraucher genauso wie die hiesigen Unternehmen.
Meine Hoffnung ist, dass wir durch die Datenschutzreform und durch weitere Gesetzesänderungen und internationale Verträge dahin kommen, dass die Daten deutscher Bürger und Unternehmen bei amerikanischen und anderen Cloud-Providern mindestens genauso gut geschützt sind wie die Daten der dortigen Bürger und Unternehmen.
CW: Inwiefern ist der Speicherort nicht eher ein nachgelagertes Problem und die Frage nach dem Transportweg, der die Daten überhaupt erst zu ihrem Speicherort bringt, viel entscheidender?
WAIDNER: Man muss beides absichern, den Speicherort und den Transportweg. Die anlasslose Massenüberwachung durch die Geheimdienste geschieht zu einem großen Teil durch das Lauschen auf den internationalen Transportwegen. Letztlich hilft dagegen nur die umfassende Ende-zu-Ende-Verschlüsselung, für alle Internet-Dienste und für alle Nutzer. Nur durch Ende-zu-Ende-Verschlüsselung lässt sich Sicherheit in der Datenübertragung erreichen.
Ein "Schengen-Routing", wie es die Telekom vorschlägt, kann die Ende-zu-Ende-Verschlüsselung nicht ersetzen. Aber sie reduziert das Problem - die Geheimdienste haben auf weniger Daten Zugriff - und ergibt deshalb durchaus Sinn. Wenn auch nur gegen die Massenüberwachung, nicht gegen die gezielte Überwachung Einzelner.
CW: Stichwort anlasslose Massenüberwachung. Deutschland arbeitet gerade an der Wiedereinführung der Vorratsdatenspeicherung. Ihre Meinung dazu?
WAIDNER: Meine persönliche Meinung ist, dass wir sehr verantwortungsvoll mit dem Thema umgehen müssen. Die Verbindungsdaten, die hier auf Vorrat gespeichert werden sollen, sind sehr sensitiv und ihre Speicherung stellt deshalb einen erheblichen Eingriff in das informationelle Selbstbestimmungsrecht der Bürger dar. Juristisch wird in Deutschland sicher alles getan werden, um einen Missbrauch dieser Daten auszuschließen, und in manchen Fällen können diese Daten für die Ermittlungsbehörden bestimmt wertvoll sein. Die Vor- und Nachteile der Vorratsdatenspeicherung kann man sehr unterschiedlich gegeneinander abwägen. Aber eine der Lehren aus der NSA-Affäre ist auch, dass selbst eine so auf Sicherheit ausgerichtete Organisation wie die NSA nicht gegen Innentäter sicher war. Ich bin deshalb sehr skeptisch, was die Vorratsdatenspeicherung betrifft.
Die "typisch deutsche Haltung"
CW: Verlassen wir das politische Terrain und widmen uns der Realität. Wie schätzen Sie derzeit die deutsche IT-Security-Szene ein, speziell im Bereich der Start-ups?
WAIDNER: Die deutsche Szene ist sehr rege, geprägt von mittelständischen Unternehmen und natürlich von den Uni-Instituten und Forschungseinrichtungen. Da die Fraunhofer-Gesellschaft selbst Start-ups hervorbringt, bekomme ich das recht hautnah mit. Das große Problem für Start-ups ist unverändert, ausreichend Risikokapital zu bekommen. Die Vorstellungen, was eine Firma als Startkapital braucht, klaffen dabei oft sehr weit auseinander. Häufig geht es dann um Beträge, die einfach zu klein sind, als dass sie wirklich weiterhelfen würden. Viele Start-ups müssen sich deshalb zu einem guten Teil über staatlich finanzierte Projekte finanzieren. Das ist eine typische deutsche Situation und Haltung.
In den USA ist das ganz anders. Dort ist es deutlich einfacher, Risikokapital zu bekommen. Wir sehen deshalb immer noch sehr häufig, dass Leute mit guten Ideen ins Ausland abwandern. Das ist bedauerlich, weil es hierzulande sehr erfolgreiche Forschungsgebiete gibt, mit deren Resultate man Start-ups gründen könnte und sollte. Gerade in dem Bereich Sicherheitstesten von Software und dem systematisch sicheren Entwurf von IT - das Schlagwort ist "Security by Design" - gibt es in Deutschland zurzeit äußerst viele und erfolgreiche Forschungsaktivitäten. Die dort Aktiven werden früher oder später abwandern, wenn sie in Deutschland keine Möglichkeit bekommen, leichter auch wirtschaftlich erfolgreich zu sein.
CW: Was ist zu tun?
WAIDNER: Risikokapitalgeber und -nehmer müssen sich daran gewöhnen, dass man eben Risiken eingehen und auch größere Summen in die Hand nehmen muss. Der Gesetzgeber kann nur Rahmenbedingungen schaffen, die Ausgründungen vereinfachen.
CW: Vielen Kapitalgebern geht es selbst wirtschaftlich nicht unbedingt blendend. Wie viel Überzeugungsarbeit ist da zu leisten?
WAIDNER: Ich denke, das Problem sitzt in den Köpfen. Das beste Beispiel ist die Firmeninsolvenz: Nach einer Insolvenz ist ein Unternehmer in Deutschland für die nächsten Jahrzehnte gebrandmarkt. Diese Einstellung muss sich ändern. Zudem geht es Deutschland wirtschaftlich sehr gut - die Frage ist also: Wenn nicht jetzt, wann dann?
CW: Welche Rolle spielen die Fraunhofer-Institute, was das "Rühren der Werbetrommel" für eine bessere Start-up-Kultur angeht?
WAIDNER: Viele der Technologien, die Fraunhofer entwickelt, sind naturgemäß gute Kandidaten für Start-ups, und wenn die Randbedingungen stimmen, dann streben wir gezielt eine Ausgründung an. Ich habe bereits das "OmniCloud"-Projekt am Fraunhofer SIT erwähnt. Das ist ein klassischer Fall: Wir entwickeln am Institut eine innovative Lösung, mit der Unternehmen ihre Daten in der Cloud absichern können. Dafür gibt es ein hohes Marktpotenzial, und damit stimmen aus unserer Sicht die Voraussetzungen für eine Ausgründung.
Sehr wichtig ist, dass sich die Kultur in unserer Gesellschaft ändert. Auf Dauer müssen wir die Einstellung gewinnen, dass wenn von fünf Ausgründungen auch nur eine ein Erfolg war, es toll gelaufen ist.
Zu wenige Security-Experten
CW: Die amerikanische Einstellung also. Aber wie realistisch ist so etwas in Deutschland? Wir springen zwar gerne sofort auf jeden neuen IT-Zug aus den USA auf, in diesem Fall aber tun wir uns erstaunlich schwer.
WAIDNER: Ich denke, dieser Kulturwandel geht nur durch gute Beispiele und beständiges Einreden auf alle Beteiligte. Das geht los bei unseren Studierenden, die sich trauen müssen, bis zur Politik und vor allem eben den Geldgebern.
CW: Wie steht es denn überhaupt um unseren IT-Security-Nachwuchs? Kommt da etwas nach?
WAIDNER: Gerade im akademischen Umfeld gibt es sehr viele Ausbildungsangebote mit Schwerpunkt IT-Sicherheit. Aber trotzdem fehlt es ganz massiv an Fachkräften. Viele unserer Kunden und Partner suchen händeringend nach Experten in IT-Sicherheit und bitten uns um Hilfe bei der Kandidatensuche. Auch ich selbst habe am Fraunhofer SIT eine ganze Reihe von offenen Stellen, für die es nicht ausreichend Bewerbungen gibt.
Ein anderes, vielleicht noch wichtigeres Problem ist, dass viele IT-Fachkräfte ihre Ausbildung absolvieren, ohne dabei viel über IT-Sicherheit oder Datenschutz gelernt zu haben. Meiner Meinung nach muss jeder, der in der IT arbeitet, ein Mindestmaß an Kenntnissen in IT-Sicherheit und Datenschutz besitzen. Wir müssen das unbedingt in alle relevanten Studiengänge, Lehrberufe und die berufliche Weiterbildung integrieren. In Darmstadt, dem Standort meines Instituts, können Sie weder an der TU Darmstadt noch an der Hochschule Darmstadt Informatik studieren, ohne IT-Sicherheit gelernt zu haben. Das ist aber längst nicht überall so.
CW: Blicken wir abschließend in die Zukunft. Wie schätzen Sie allgemein die Chancen für den IT-Standort Deutschland ein?
WAIDNER: Die Chancen stehensehr gut, aber wir müssen sie auch nutzen.
CW: Herr Professor Waidner, vielen Dank für das Gespräch.