Die meisten Unternehmen entdecken Sicherheitslücken erst dann, wenn es bereits zu spät ist – nach einem Angriff. Doch woran liegt das? Häufig sind Mitarbeiter und auch Vorgesetzte nicht ausreichend für das Thema sensibilisiert. Diesen Eindruck bestätigte Peter Batt, Unterabteilungsleiter für Digitale Gesellschaft, IT-Steuerung und IT-Strategie im Bundesinnenministerium, in seinem Kurzvortrag. Er plädierte dafür, sich kontinuierlich mit dem Thema zu beschäftigen, es in den Arbeitsalltag zu integrieren und vor allem ins Bewusstsein der Mitarbeiter zu bringen. Hier sieht er Führungskräfte in der Vorbildfunktion. In der BWI beispielsweise gibt es daher regelmäßige Awareness-Schulungen, die Mitarbeitern das Thema IT-Sicherheit näherbringen.

Schnelle Lösungen sind gefragt

Laut Batt müsse man bei den Basics anfangen: Software immer auf dem neuesten Stand halten und Updates installieren. Nur denjenigen Mitarbeitern den Zugriff auf bestimmte Dienste und Netzwerke gestatten, die über die nötigen Fachkenntnisse verfügen. Dabei müssten wir jedoch Freiheit und Sicherheit in eine Balance bringen. Der Experte verglich die Situation mit den Sicherheitsgesetzen im Straßenverkehr. Deren Entwicklung habe insgesamt 100 Jahre gedauert, doch diese Zeit hätten wir im IT-Bereich nicht. Schließlich arbeiteten in China Hackerteams von der Größe der deutschen Bundeswehr daran, Systeme zu knacken und Daten zu stehlen oder zu manipulieren. Batt forderte Unternehmen auf, nur Administratoren mit Fachqualifikationen im Gebiet Datensicherheit einzusetzen. Themen, mit denen sich auch die BWI für die Bundeswehr intensiv beschäftigt. Der IT-Dienstleister der Bundeswehr hat deshalb konsequent standardisiert und zentralisiert: Das Unternehmen hat eine einheitliche Hard- und Software sowie ein zentrales Software- und Patch-Management aufgebaut und ein zentrales Monitoring der Netze und Server etabliert.

Fehlende Sicherheitsstandards gefährden Digitalisierung

Patrick Quellmalz, Leiter von VOICE Services, dem Bundesverband der IT-Anwender e.V., sieht die Digitalisierung in erster Linie von den fehlenden rechtlichen Rahmenbedingungen bedroht. Es sei für Unternehmen sehr teuer und schwierig, Systeme richtig gut abzusichern, weil noch nicht alle Soft- und Hardwareprodukte perfekt zusammenarbeiteten. Eigentlich sollte hier das IT-Sicherheitsgesetz Abhilfe schaffen. Doch bislang verpflichtet es lediglich die Käufer, Sicherheitsstandards zu erfüllen, nicht jedoch die Produzenten. Eine paradoxe Situation, müssen etwa in der Automobilbranche doch die Hersteller dafür sorgen, dass ihre Fahrzeuge sicher sind.

Wenn sich Öl in Asbest verwandelt

Während für viele weiterhin gilt, dass Daten das Öl der Zukunft sind, bringt Prof. Dr. Norbert Pohlmann das Zitat eines Data Scientists ins Spiel. Demnach seien Daten „das Asbest der Zukunft“. Niemand kann vorhersehen, was künftig mit Daten passiert oder in welche Richtung sich Datenschutz und -sicherheit entwickeln. Klar ist aber, dass die IT-Sicherheit mit zunehmender Digitalisierung an Bedeutung gewinnen und uns auch in Zukunft weiter beschäftigen wird.

Digitale Übergriffe und Maßnahmen zur Gewährleistung der Cybersicherheit waren die Themen der diesjährigen DWT-Konferenz zum Thema „Handlungsfähige Streitkräfte vor neuen Herausforderungen“ am 10. und 11. November in Bad Godesberg. Wie wandeln sich durch die Bedrohung aus dem Netz die Strategie und das Handeln der Bundeswehr? Welche Veränderungen kann der neue Cyber-Aufbaustab bewirken, den Verteidigungsministerin Ursula von der Leyen am 1. November eingerichtet hat?

Oberst i. G. Armin Fleischmann, Referatsleiter Pol II 5 im BMVg und Mitglied des Cyber-Aufbaustabs, stellte in seiner Rede die Bedeutung des Cyberraums heraus, indem er ihn als fünfte militärische Dimension bezeichnete. Neben Land, Wasser, Luft und Weltraum gelte es, die Bundeswehr auch in der Netzwelt zukunftsfähig zu machen und zur Operationsführung im gesamten Informationsraum zu befähigen.

Das Security Operations Center als Baustein einer ganzheitlichen IT-Sicherheitsstrategie

Insgesamt gab es an den beiden Konferenztagen knapp 30 Vorträge zu zahlreichen Themenbereichen, darunter Organisationsstrukturen – Flexibilität und Interoperabilität, Zusammenarbeit von Bundeswehr, Wirtschaft und Wissenschaft und konzeptionelle Grundlagen im Hinblick auf Cyber Defence. Viel beachtet war der Vortrag von Nadine Nagel, Leiterin des Betriebskompetenzzentrums Sicherheit und Datenschutz bei der BWI. Mit dem Thema „IT-Sicherheit gestern – heute – morgen: Das Security Operations Center als nächster Schritt zum Cyber Defence Command” traf das Mitglied des Expertenkreises der Allianz für Cyber-Sicherheit des BSI den Nerv der Zuhörer. In Ihrem Vortrag sprach Nagel nicht nur über die aktuelle Bedrohungslage aus dem Netz für Bundeswehr und BWI. Sie erklärte auch, wie ein Security Operations Center (SOC) dazu beitragen kann, eine gesamtheitliche IT-Sicherheitsstrategie zu realisieren. Laut Nagel konnte die BWI bereits wichtige Grundlagen für ein SOC für die Bundeswehr legen. Dazu gehören unter anderem die Zentralisierung, Konsolidierung und Standardisierung der IT-Systeme und -Prozesse. Aber auch eine Überwachung von Sicherheitsvorkommnissen, beispielsweise von Virenvorfällen, die im Security Incident Management professionell bearbeitet werden. Nachdem die Zuhörer einen Einblick in das bekommen haben, was bei der Bundeswehr in Sachen IT-Sicherheit schon Realität ist, gab Nagel noch einen Ausblick auf die zukünftige Weiterentwicklung des SOC zu einem Cyber Defence Command, das den wachsenden Bedrohungen noch effektiver begegnen kann.

Ein Höhepunkt der Veranstaltung war die Keynote von Dr. Gundbert Scherf, Beauftragter für die strategische Steuerung nationaler und internationaler Rüstungsaktivitäten der Bundeswehr, zu den Herausforderungen der Bundeswehr, aber auch zur organisatorischen Ausrichtung der Bundeswehr hinsichtlich Cyber Defence. Er betonte die Notwendigkeit einer engen Zusammenarbeit der Bundeswehr mit Industrie und Wissenschaft. Und das nicht nur bei der Entwicklung und Beschaffung von Hard- und Software, sondern auch bei der Rekrutierung qualifizierten IT-Personals, um die eigene Handlungsfähigkeit zu sichern.