IT-Sicherheit – mehr als verschlüsselte E-Mail und politische Initiativen

Photo: So what?Verschläft die deutsche Wirtschaft die Bedrohung durch die angelsächsische Totalüberwachung des Internet und anderer Kommunikationswege, wie Nico Lumma im Handelsblatt suggeriert? Oder gibt es gute Gründe, dass sich deutsche Unternehmen zu diesem Thema bedeckt halten?

<tl;dr>Gute Gründe für deutsche Unternehmen keine Politik gegen US-Geheimdienste zu machen. Statt verschlüsselter E-Mails: Ganzheitliche Sicherheit, widerstandsfähige IT & verbesserte Angriffserkennung</tl;dr>

Angelsächsische Dienste jagen nicht nur internationale Terroristen. Das ist kein großes Geheimnis. Für ihr Land erzielen sie politische und wirtschaftliche Vorteile, indem sie nützliche Informationen gewinnen. Im übrigen gilt das auch für den BND. Schon in der Vergangenheit waren insbesondere deutsche Technologieunternehmen Spionageopfer. Dies sollte hinreichend Motivation für deutsche Führungsetagen sein, E-Mails zu verschlüsseln, europäische Produkte einzusetzen und politisch Front gegen die Überwachung zu machen, wie Lumma fordert.

E-Mail Verschlüsselung, ja und?

Leider gehen diese Forderungen an der Realität der meisten Unternehmen vorbei. Viele deutsche Großunternehmen verschlüsseln bereits seit vielen Jahren ihre internen E-Mails. Verschlüsselung der Kommunikation alleine aber, ist keine wirksame Maßnahme gegen Überwachung. Vielmehr ist es erforderlich das Gesamtsystem beginnend mit dem Betriebssystem und dem Browser sicher zu machen und sicher zu verwenden. Die meisten deutschen Unternehmen sind hierbei jedoch überwiegend von US-Technologie abhängig. Sie verschlüsseln ihre interne E-Mail mit amerikanischer Technologie in E-Mail Systemen amerikanischer Hersteller. Die E-Mail-Programme werden auf Betriebsystemen amerikanischer Hersteller betrieben. Die E-Mails fließen durch Netzwerke, deren Komponenten fast ausschließlich von amerikanischen Herstellern stammen. Diese Netzwerke werden durch Firewalls und Angriffserkennungssysteme – Sie werden es ahnen – amerikanischer Hersteller, gesichert. Die Forderung mehr Sicherheit gegenüber amerikanischer Überwachung umzusetzen, erfordert ein gigantisches Investitionspotential, dem selbst bei wohlwollender Betrachtung kein begründbares Risiko in entsprechender Höhe gegenüber steht. Ein sinnvoller Business Case wird daraus nicht.
Sinnvoll ist es, sich bei zukünftigen Beschaffungen sehr genau anzuschauen, woher die Produkte stammen, wessen Technologie dahinter steckt und ob es nicht sicherere Alternativen gäbe. Die steigenden Umsatzzahlen der Hersteller deutscher Sicherheitstechnik zeigen, dass dieser Umdenkprozess in deutschen Unternehmen bereits stattfindet. Allerdings stellt man dabei sehr schnell fest, dass bei fast allen Produkten, Komponenten aus amerikanischer oder chinesischer Produktion verwendet werden. Die europäischen Hersteller haben sich aufgrund wenig wettbewerbsfähiger Produkte in den vergangenen zwei Jahrzehnten fast vollständig aus dem Markt verabschiedet. Somit verbleiben auch in deutscher Sicherheitstechnik noch ausreichende Punkte für einen erfolgreichen Angriff kapitalstarker Spione.

Politische Entrüstung – wozu?

Deutsche Unternehmen sind gerade als Weltmarktführer und Exportweltmeister eben keine rein deutschen Unternehmen mehr. Das gilt schon für die meisten Mittelständler. Deutsche Unternehmen verdienen ihr Geld nicht in Deutschland, sondern in der Welt. Das macht sie abhängig vom Wohlwollen anderer Regierungen und zwingt zur Kooperation mit ihnen. Im Zweifelsfall erhalten amerikanische Geheimdienste die notwendigen Informationen auch durch direktes Anfragen. International agierende Telekommunikationsunternehmen sind hiervon auch nicht ausgenommen.
Eine lautstarke politische Kampagne deutscher Unternehmen könnte bei amerikanischen Auftraggebern zu einer deutlich negativen Einschätzung deutscher Geschäftspartner führen. Das ist nachteilig , da gerade die amerikanische Regierung und das amerikanische Militär Großkunden vieler deutscher Unternehmen sind. Die Aufgabe eines Unternehmens und seiner Führung ist es in erster Linie, Kunden zufrieden zu stellen und damit Geld zu verdienen. Ein politisches oder gar moralisches Mandat ist damit nur soweit verbunden, als es erforderlich ist, die Rahmenbedingungen für den wirtschaftlichen Erfolg zu verbessern.

Was tun?

Bleibt nur noch die Forderung, dass in deutschen Chefetagen Informationssicherheit eine höhere Priorität bekommen muss, als ihr heute zukommt. Seit Snowden sollte deutlich sein, was Angreifern mit Geld und Willen möglich ist. Informationssysteme sind das neue Schlachtfeld im wirtschaftlichen Wettbewerb, wenn Informationen der neue Rohstoff sind. Die Schwachstellen, die durch die angelsächsischen Dienste genutzt werden, stehen den meisten professionellen Angreifern ebenso zur Verfügung. Politische Aufregung und kosmetische Verschlüsselung sind dagegen keine Lösung. Vielmehr sind ganzheitliche Sicherheitskonzepte in der Tiefe der IT-Strukturen gefordert, eine gezielte Steigerung der Widerstandsfähigkeit (Resilienz) der IT-Systeme und deutlich verbesserte Fähigkeiten zur Erkennung und Bekämpfung von Angriffen.

 

Kommentar verfassen

We would love to work with you, so get in touch with us today and lets chat about your project.

There are no icons to display.