Dr. Alfred Zapp ist Vizepräsident der Initiative D21 und Mitglied der Geschäftsleitung von CSC in Deutschland.
D21: Die Digitalisierung und Vernetzung gesellschaftlicher Prozesse ist seit Jahren zu beobachten und setzt sich kontinuierlich fort. In diesem Oktober findet zum ersten Mal der Europäische Monat der Internetsicherheit statt. Warum gerade jetzt? Ist die digitale Welt heute eine gefährlichere als noch vor ein paar Jahren?
Zapp: Ja, denn technische Innovationen wie der mobile Internetzugang, Cloud Computing und BringYourOwnDevice haben in allen Bereichen unserer Gesellschaft dazu geführt, dass die zu schützende Infrastruktur räumlich verteilt ist. Die IT-Landschaften der Verwaltung ebenso wie der Unternehmen unterscheiden sich heute massiv von der Infrastruktur von vor fünf Jahren. Zudem sind die Angriffe heute deutlich aggressiver und gezielter als jemals zuvor.
D21: Wir sind ja bei der IT-Sicherheit heute bereits auf einem sehr hohen Stand. Reicht das nicht?
Zapp: Nein. IT-Sicherheit kann heute nicht mehr als Randthema in der hinteren Ecke der IT-Abteilung behandelt werden, sondern ist eine strategische Herausforderung für die Chefetage in Behörden und Unternehmen geworden. Mit konventionellen Sicherheitsinstrumentarien können heutige Geschäfts- und Verwaltungsprozesse mit komplexen verteilten IT-Strukturen kaum noch geschützt werden. Ein angemessener Schutz verlangt entsprechend ausgereifte und individuelle, aufeinander abgestimmte Schutzsysteme sowie eine 7×24 Überwachung.
D21: Wo sehen Sie die wichtigste Ursache für das gestiegene Bedrohungspotenzial?
Zapp: Das heute drängende Problem liegt darin, dass Bedrohungen quasi aus dem Nichts, also in „Internet-Zeit“ auftauchen. Der Informationsaustausch zwischen Behörden und beispielsweise Betreibern von kritischen Infrastrukturen läuft jedoch immer noch in bürokratischen Zeitdimensionen ab – falls überhaupt.
D21: Es mehren sich die Stimmen, die bei den Bedrohungslagen im Bereich der IT-Sicherheit inzwischen sogar von einem „Paradigmenwechsel“ sprechen. Was ist darunter zu verstehen, und was bedeutet das für die Gesellschaft?
Zapp: Unsere Gesellschaft ist von digital-vernetzten Systemen existenziell abhängig geworden, bislang jedoch ohne adäquaten Schutz dieser Systeme. Damit steigen die Herausforderungen an Entscheider in Politik und Verwaltung. Sie müssen die eigenen Systeme sichern, sind aber auch für die Gesamtsicherheit im digitalen Ökosystem Deutschlands mit verantwortlich. Die Frage, die es heute von Politik, Verwaltung und Wirtschaft zu beantworten gilt, lautet nicht mehr: „Wie schütze ich meine lokalen IT-Systeme?“ sondern: „Wie sichere ich ganzheitlich und möglichst proaktiv meine globalen Geschäftsprozesse und verteilten Daten unter Einhaltung aller gesetzlichen Vorschriften und Compliance Regeln?“.
D21: Welche strategischen Ansätze braucht die Gesellschaft dazu?
Zapp: Wir müssen lernen, wie wir sicherheitsrelevante Informationen über Organisationsgrenzen hinweg effizient kommunizieren. Es ist eine Entwicklung, die die Domäne der Cybersecurity bedeutend erweitert. Hier überschneiden sich private Unternehmensinteressen mit denen der nationalen Sicherheit. Es muss gelingen, eine – wenngleich schmale aber stabile – Brücke zwischen dem öffentlichen und privaten Sektor zu schlagen. Der Staat nimmt in Hinblick auf bestimmte Funktionen die Rolle des Beschützers im Rahmen seiner nationalen Verantwortung ein. Dabei muss auch geprüft werden, inwieweit ein „gesundes Maß“ an gesetzlichen Regelungen, wie etwa Melde- und Zusammenarbeitspflichten, notwendig sein wird.
D21: Was verstehen Sie unter einem „gesunden Maß“?
Zapp: Wie immer bei staatlichen Eingriffen ist hier die Balance zwischen einem Zuviel und Zuwenig zu finden. Diese Balance wird immer wieder neu auszuloten sein. Dennoch möchte ich betonen, dass die Wahrnehmung des Schutzes von kritischen Infrastrukturen einen klaren Standortvorteil für Deutschland darstellt und in Teilen eine staatliche Aufgabe ist.
D21: Welche Bereiche unserer Gesellschaft müssen besonders geschützt werden?
Zapp: Im Interesse der nationalen Sicherheit sind kritische Infrastrukturen wie Telekommunikations-, Energie- und Finanznetze zu schützen; das aber erlaubt keine bürokratischen Verzögerungen. Organisationseinheiten wie die Computer Emergency Response Teams (CERTs) spielen hier eine wichtige Rolle, indem sie einen der wenigen existierenden Prozessstandards für den Informationsaustausch bereitstellen. So fördern und institutionalisieren sie die Zusammenarbeit zwischen privatem und öffentlichem Sektor. Von dieser Entwicklung würden aber nicht nur die Betreiber kritischer Infrastrukturen profitieren sondern auch Unternehmen und Privatbürger.
D21: Und welche Möglichkeiten gibt es Ihrer Ansicht nach konkret, Cyberattacken bereits im Vorfeld zu verhindern?
Zapp: Wir brauchen dringend zuverlässige Frühwarnsysteme, insbesondere für unsere kritischen Infrastrukturen. Gäbe es ein „öffentliches“ nationales Frühwarnsystem für Cyberangriffe mit umfangreichen, in Internet-Zeit und automatisiert abrufbaren Meldungen, könnten dessen Warnungen von jedem Interessierten genutzt werden. Das bedeutet aber auch, dass die Zusammenarbeit zwischen Privatwirtschaft und öffentlichem Sektor deutlich intensiviert werden muss.
D21: Welche Herausforderung sehen Sie vor diesem Hintergrund für die Gesellschaft?
Zapp: Das Internet hat unserer Zeit eine völlig andere Logik verpasst. Zum ersten Mal in der Menschheitsgeschichte ist vernetzte Kollaboration über Zeit und Raum hinweg im großen Stil möglich. Doch die vernetzte Welt braucht neues Denken, ein Denken, das gesicherte Offenheit als Instrument einsetzt, um neue Wertschöpfungsketten auszugestalten. Konkret heißt dass, dass wir zukünftig vor allem zwei Vorhaben unterstützen sollten: Das neue E-Government-Gesetz und die Allianz für Cyber-Sicherheit.
Das Interview führte Sabrina Ortmann (Initiative D21)