Vom Kinderspielzeug bis zur Produktionsanlage – mehr und mehr Gegenstände werden digital, smarter, vernetzter. Die IT-Sicherheit bleibt dabei leider oft auf der Strecke.
Dr. Holger Mühlbauer
Geschäftsführer TeleTrusT – Bundesverband IT-Sicherheit e.V.
Branchenübergreifend wird das Thema IT-Sicherheit leider immer noch häufig unterschätzt. Das liegt zum großen Teil schlicht und einfach am Innovationscharakter der in immer mehr Produkte und Prozesse integrierten digitalen Dimension.
Den begleitenden neuen Sicherheitsaspekten muss Platz in bereits etablierten Systemen eingeräumt werden – das bedeutet einen Mehraufwand, der erst einmal inhaltlich durchdrungen und strukturell abgebildet werden muss.
Bei Kommunikationstechnik wie Smartphones ist die IT-Sicherheit von vornherein ein wesentlicher, konzeptioneller Baustein. Die meisten „Goods and Services“, von riesigen Produktionsanlagen bis zum klassischen Kinderspielzeug, haben aber auch vor der Digitalisierung schon „funktioniert“. Das Bewusstsein für die mit der Entwicklung einhergehenden Sicherheitsaspekte entsteht keineswegs automatisch, sondern muss aktiv entwickelt werden. Dass ein Bluetooth-fähiger, „smarter“ Teddybär verschiedene Sprachen sprechen oder jedes gewünschte Lied abspielen kann, ist offensichtlich eine unterhaltsame Innovation – dass diese Innovation auch ein potenzielles Sicherheitsrisiko darstellt, ist schon etwas weniger offensichtlich.
Es ist insofern verständlich, dass das Thema IT-Sicherheit oft erst einmal nur als Hürde und Hindernis, als „notwendige Kehrseite der Digitalisierung“ wahrgenommen wird. Wir müssen durch konzertierte Aufklärungsarbeit dahin kommen, dass die Konzepte „Security by Design“ und „Security by Default“ schon bei der Planung – und der Budgetierung! – von Produkten und Anlagen eine angemessene Rolle spielen.
Denn eins ist klar: Zurückdrehen lässt sich die Entwicklung nicht.
Ein mit Kamera und Mikrofon ausgestattetes Spielzeug im Kinderzimmer ist ein gutes Beispiel, das im privaten Kreis zu diskutie ren sich allemal lohnt. Aber auch in Unternehmen und Organisationen muss IT-Sicherheit gelebt werden. Das „Internet der Dinge“ und die „Industrie 4.0“ beschreiben schlagwortartig die fortschreitende Vernetzung, die nicht nur neue Chancen, sondern auch neue Angriffsszenarien eröffnet, gegen die angemessene IT-Sicherheitsmaßnahmen ergriffen werden müssen. Das Spannungsfeld zwischen Sicherheit und Handhabbarkeit – ein realistisches Verhältnis von Theorie und Praxis – ist dabei eine große Herausforderung, denn ohne Anwenderakzeptanz nützt die beste IT-Sicherheit nichts.
„Sicher vernetzt“ gilt im übertragenen Sinn ebenso für den Umgang mit dem Internet. Dies zu vermitteln, muss bereits Aufgabe der Schulen sein – was eine entsprechende Qualifikation des Lehrpersonals erfordert. Wir können es uns aber nicht leisten, die jetzt Berufstätigen mit diesem Thema alleinzulassen; der „Bildungsauftrag“ setzt sich bis in den beruflichen Alltag fort, wo Schulungen ebenfalls fortlaufend stattfinden sollten und wo der Leitungsebene Vorbildwirkung zukommt.
Wer sich nicht ausreichend schützt, riskiert den „Abfluss von Daten“. Dass das für viele von uns immer noch eher abstrakt klingt, ist Teil des Problems. Im Falle von personenbezogenen Daten kann dieser „Abfluss“ – nicht erst seit Inkrafttreten der DSGVO – empfindlichste Konsequenzen nach sich ziehen. Wenn es um Unternehmen geht, kann dieser Abfluss den Diebstahl entscheidenden Know-hows bedeuten, der gegebenenfalls sogar die ganze Zukunft des Unternehmens gefährdet.
Wir alle im Privatleben, Industrie und Handel, aber auch der Staat ist in der Pflicht, IT-Sicherheit als gesamtgesellschaftliche Aufgabe zu begreifen. Denn eins ist klar: Zurückdrehen lässt sich die Entwicklung nicht. In der modernen, vernetzten Gesellschaft ist „Stecker ziehen“ keine wirkliche Option mehr.