Rolf Schwirz, CEO bei Fujitsu Technology Solutions: Betriebssicherheit der IT ist für die Aufrechterhaltung der öffentlichen Ordnung ebenso essentiell wie der Schutz vor Hacking-Attacken.
Die diesjährige Münchner Sicherheitskonferenz hat es deutlich gemacht – und die diesjährige CeBIT schwenkt mit ihrem Motto „Managing Trust“ auf den gleichen Kurs ein: IT-Sicherheit, das ist heute weit mehr als der Schutz vor Angriffen auf die IT-Systeme in Unternehmen und Behörden. Zwar ist das Thema Hacking sensibler Daten sicher die spektakulärere Bedrohung – mindestens ebenso schwer aber wiegt das Thema Betriebssicherheit der IT. Was sich unter diesem Begriff in Vertragswerken und Bedienungsanleitungen eher unscheinbar präsentiert, bedeutet schlichtweg: Das Funktionieren der IT-Infrastruktur muss zu jedem Zeitpunkt gewährleistet sein. Dass dies keine Selbstverständlichkeit ist, hat etwa der Computer-Schädling Stuxnet 2010 unter Beweis gestellt, mit dem sich kritische Systeme – hier Industrieanlagen – sabotieren ließen.
Was geschieht, wenn unsere Kommunikationsnetze flächendeckend ausfallen? Was im Nahverkehr schlimmstenfalls eine unangenehme Begleiterscheinung des Winters ist, lässt sich mit Blick auf die IT nicht einfach ignorieren. Behörden, Infrastruktur- und Versorgungseinrichtungen werden immer „intelligenter“, sie sind zunehmend vernetzt. Als Gesellschaft sind wir damit auf funktionierende IT-Systeme weit mehr angewiesen als der breiten Bevölkerung bewusst ist. Ob Energieversorgung oder medizinische Systeme – je intelligenter unsere Netze werden, desto anfälliger sind sie für Fehler und Sabotage. Eine IT-Infrastruktur, die hohe Standards hinsichtlich der Betriebssicherheit setzt, sorgt – ganz unbemerkt im Hintergrund – somit dafür, dass unsere Gesellschaft funktioniert. Die Bedeutung von IT-Betriebssicherheit für das Funktionieren unserer Gesellschaft ist deswegen schon heute immens, und sie wird weiter zunehmen.
Bei wem aber liegt die Verantwortung für eine intakte IT-Infrastruktur? Die IT-Hersteller – manche mehr, manche weniger – bieten seit jeher Lösungen an, die hohen Sicherheitsstandards gerade für kritische Systeme genügen. Das heißt: Daten zu schützen. Datenredundanz sicherzustellen – etwa durch Spiegelung an zwei voneinander entfernten Orten. Transparenz über den Standort der Datenhaltung zu gewährleisten. Die Zugänge zu sichern. Aber auch die Endgeräte zu schützen, die, in falschen Händen, schnell zu Einfallstoren in ansonsten funktionierende Systeme werden.
Es liegt auf der Hand, dass die Hersteller diese Aufgabe nicht im Alleingang bewältigen werden. Um die Betriebssicherheit unserer Versorgungssysteme zu gewährleisten, müssen Privatwirtschaft und Behörden Hand in Hand arbeiten. Erste Beispiele zeigen, wie es gehen kann: Die Bundesnetzagentur und das nationale Cyber-Abwehrzentrum haben im letzten Jahr die länderübergreifende Krisenmanagement-Übung LÜKEX 2011 durchgeführt und geprüft, wie der Staat eine massive Cyber-Attacke abwehren kann. Und die japanische Regierung hat jüngst ein Gesetz verabschiedet, demgemäß Attacken einem eigens dafür eingerichteten Gremium gemeldet werden müssen. Neben Behördenvertretern gehören ihm Experten von IT-Unternehmen wie Fujitsu an. Der Anspruch der Informationstechnologie liegt vor allem darin, Krisensituationen mittels intelligenter Infrastrukturen und Lösungen besser managen zu können und lebenswichtige Supportfunktionen schnell wieder zum Einsatz zu bringen.
Informationssicherheit hat längst aufgehört, eine Privatangelegenheit zu sein. Die Abwehr von Angriffen auf unsere Kerninfrastruktur kann nur gelingen, wenn wir sie als gesamtgesellschaftliche Aufgabe verstehen.
.