Deutsche Informations-(Un)sicherheit
23. April 2021 | von Jakob Schlag
Digital, weltweit vernetzt und immer online: Diese Beschreibung trifft auf immer mehr Teile des Arbeitsalltags zu –egal ob in Wirtschaft, Wissenschaft oder Forschung. Denn geistige, kreative und industrielle Wertschöpfung funktioniert kaum noch ohne die Hilfe von Computern. Diese zunehmende Einbindung vernetzter Endgeräte bedeutet jedoch auch, dass Arbeitsprozesse und die daraus resultierenden Informationen anfällig werden für Angriffe aus dem Internet. Sei es durch Wettbewerber oder Hacker, deren Geschäftsmodell auf Erpressung oder Datenverkauf basiert. Zum Schutz gegen derartige Sicherheitsvorfälle werden in vielen Unternehmen und Behörden Abteilungen für Informationssicherheit gegründet. Doch wie gut ist Deutschland dabei inzwischen aufgestellt? Das ZDF-heute Magazin titelt „Experten: IT-Sicherheit in Deutschland ‚desaströs‘“ und lässt verschiedene Experten zu Wort kommen.
So berichtet ein Rathaus-Systemadministrator einer mittelgroßen süddeutschen Stadt, dass er pro Monat lediglich eine halbe Stunde für die Durchführung von Sicherheitsupdates habe.
Um diese Angabe ins Verhältnis zu setzen: Im Jahresschnitt gibt es über 300.000 neue Varianten von Schadsoftware – pro Tag. Das berichtet das Bundesamt für Sicherheit in der Informationstechnik in seinem aktuellsten Jahresbericht (S. 10).
Manuel Atug, Sprecher der Arbeitsgruppe KRITIS, welche Experten aus verschiedenen kritischen Infrastrukturen vereinigt, bemängelt im ZDF-Bericht, dass deutsche Sicherheitsbehörden zu wenig Druck auf Softwarehersteller ausüben und diese deswegen Updates oft zu spät zur Verfügung stellen. „Das verhindert eine wirkungsvolle Sicherheitsstrategie von vornherein“, so Atug. Der fehlende Druck liege auch an der Vielzahl konkurrierender Sicherheitsbehörden in Deutschland.
Zuständig für die Überwachung der deutschen IT-Sicherheit sind unter anderen:
• Das Bundesamt für Sicherheit in der Informationstechnik,
• der nationale Cyberrat,
• das Bundeskriminalamt,
• die 16 Landeskriminalämter,
• das Bundesamt für Verfassungsschutz,
• die 16 Landesämter für Verfassungsschutz,
• das Kommando Cyber- und Informationsraum der Bundeswehr sowie
• der Bundesnachrichtendienst.
Unternehmen versuchen diesem Risiko zunehmend auch mit Versicherungen gegen Cyberattacken zu begegnen. Der Börsenexperte Frank Bethmann stellte dazu bereits im vergangenen Herbst sogar eine Auswirkung auf die Kursentwicklung von Anbietern solcher Versicherungen, wie Allianz oder Münchner Rück, fest.
Doch auch Versicherungen bieten keinen vollen Schutz, da Versicherungen Kriegshandlungen nicht abdecken und Hackerangriffe immer wieder staatlich finanzierten Gruppierungen zugeschrieben werden. In der Praxis wurde beispielsweise bei dem Erpressungstrojaner „NotPetya“ im Juni 2017 ein Millionenschaden eines deutschen Unternehmens von der Versicherung nicht reguliert. Die Einstufung als „Krieg“ ist dabei nicht mehr notwendigerweise auf staatliche Akteure beschränkt, sondern kann auch Unternehmen treffen, wie Salm im Kommentar „Allgemeine Versicherungsbedingungen für die Cyberrisiko-Versicherung“ ausführt.
Es hilft also nur eine vernünftig geplante und ausreichend ausgestattete Informationssicherheitsabteilung. Insgesamt arbeiteten in Deutschland im vergangenen Jahr über 175.000 Personen im Bereich Cybersicherheit, womit Deutschland lediglich auf Platz 7 steht. Das Vereinigte Königreich (Platz 4) hat mehr als doppelt so viele Stellen in diesem Bereich besetzt, obwohl die Bevölkerung des Vereinigten Königreichs 17 % und das Bruttoinlandsprodukt sogar 27 % kleiner ist.
Quellen:
Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2020.
HK-VVG/Florian Salm, 4. Aufl. 2020, AVB Cyber A.1-17 Rn. 2, 3
Peter Welchering in: zdfheute. „Experten: IT-Sicherheit in Deutschland ‚desaströs‘“. 13.03.2021.
Zum Vergleich von Bevölkerungsgrößen und Bruttoinlandprodukt: CIA World-Fact-Book
