IT-Security: Zusammenarbeit zwischen Bund und Ländern weiter schwierig

0
1169
Benjamin Stiebel (Behörden Spiegel, m. o.) im Gespräch mit Bundesvertretern (Andreas Könen, l.o.; Wilfried Karl, m.u.) Landesvertretern (Peter Eisenbach, r.o.; Matthias Pröfrock l.u.) und Ingo Prestel (SailPoint, r.u.) über die Entwicklung der nationalen Cyber-Sicherheitsarchitektur. (Screenshot: BS)

Die Anzahl und Professionalität von Cyber-Angriffen haben in den letzten Jahren immer mehr zugenommen.  Das Bundesamt für Sicherheit in der Informationstechnik (BSI) versucht deshalb seine Hilfe für die Bundesländer weiter zu intensivieren. Das Problem: Cyber-Gefahrenabwehr ist Sache der Länder. “Das BSI möchte den Ländern zur Seite springen, ist aber durch die föderale Ordnung eingeschränkt”, so Andreas Könen, Abteilungsleiter für Cyber- und IT-Sicherheit im Bundesinnenministerium (BMI).

Nach Könen hat das BSI versucht, mit Absichts- und Verwaltungserklärungen den Rahmen der Zusammenarbeit zwischen Bund und Ländern auszuweiten, bisher allerdings mit mäßigem Erfolg. Von der Wirtschaft wünscht sich der Abteilungsleiter ein Computersicherheits-Ereignis- und Reaktionsteam (CERT), an das sich das BSI im Einzelfall wenden könnte. Auch besteht dort Handlungsbedarf im Bereich der Architektur zur Gefahrenabwehr, sagte Könen in einer Diskussionsrunde von Digitaler Staat Online. Der Justizminister von Nordrhein-Westfalen, Peter Biesenbach, wünscht sich ebenfalls eine engere Kooperation zwischen Bund und Ländern. Des Weiteren fordert er einen strengeren Cyber-Schutz im Homeoffice, da Daten sich hierbei nicht mehr im Sicherheitsbereich der Behörde befinden, sondern extern gelagert werden.

Auf eine weitere Sicherheitslücke weist Ingo Prestel, Mitarbeiter beim Tech-Unternehmen Sailpoint hin: die Angreifbarkeit elektronischer Identitäten. Wenngleich oberstes Ziel der IT-Sicherheit in staatlichen Behörden der Schutz der Handlungsfähigkeit des Staates und der Schutz von staatlichen Informationen sei, stünden digitale Identitäten des Öfteren im Fokus von Cyber-Kriminellen. “Im Homeoffice sind die Identitäten exponiert. Wir haben nicht mehr unter Kontrolle, was in unserem Netzwerk passiert”, so Prestel. Er fordert, mit entsprechenden Sicherheitsmaßnahmen die Identitäten zu schützen. Möglich wäre dies, mit zwischengeschalteten Sicherheitsfragen und neuer Token. Ferner sollten Verhaltensmuster analysiert werden, die auf eine Cyber-Attacke hindeuten. Könen schätzt die Sicherheitsgefahr im Homeoffice etwas geringer ein. “Es gibt Cyber-Schutz für Mitarbeitende im Homeoffice, das BMI hat entsprechende Tipps aufbereitet.” Weiter stellt er fest: “Es sollte ein verstärktes Augenmerk auf Kritische Infrastrukturen gelegt werden: Impfstoffhersteller, Impflabore, Testzentren.” Darüber hinaus sollten sich die Behörden die Frage stellen, ob sie solche Unternehmen schnell und flexibel unter den Schutzschirm der staatlichen IT-Sicherheit stellen können, so der Abteilungsleiter.

Cyber-Abwehrzentrum in der Kritik

Leichte Kritik übt Könen auch am Nationalen Cyber-Abwehrzentrum (NCAZ) des Bundes. Er erklärt, dass die beteiligten Sicherheitsbehörden sich sehr stark beim Austausch von Informationen zurückhalten würden. “Es bedarf mehr als einer Koordinations- und Kooperationsplattform, dafür braucht es eine Verfassungsstruktur, damit solche Beamten die Fakten auf den Tisch legen dürfen”, so Könen. Darüber hinaus bleibt er mit seiner Kritik am NCAZ nicht allein. Auch Matthias Pröfrock, Referatsleiter Digitalstrategie und Cybersicherheit im Innenministerium von Baden-Württemberg wünscht sich mehr von dem Gremium: “Der Bund ist seit vielen Jahren am überlegen, wie er es weiterentwickelt. Seit zwei Jahren gibt es angeblich ein Cyber-Abwehrzentrum Plus und bis heute ist keine Einladung an die Länder ergangen.” Pröfrock bemängelt, dass noch immer keine Entscheidung gefallen sei, ob die Länder überhaupt in die Informationsstränge des NCAZ eingebunden werden.

Ein weiteres Problem ergibt sich im Feld des Vergaberechts für IT-Programme. Wilfried Karl, Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) weist auf die Abhängigkeit von IT-Anwendungen hin, die nicht in der EU hergestellt werden. Während früher auch Programme in Länder wie China und Russland exportiert worden seien, wäre man jetzt teilweise auf Partner außerhalb des Europäischen Wirtschaftsraums (EWR) angewiesen. Deshalb fordert Karl: “Die Grundlagen für unsere Fähigkeiten müssen erhalten bleiben.” Dies bezieht sich vor allem auf Extremsituationen: “Krisensichere Software muss aus dem EWR kommen”. Grundsätzlich ist der Präsident von ZITiS aber auch für globale Lösungen offen: “Man möchte sich ja nicht von technischen Innovationen abkoppeln” so Karl.

Abschließend sind sich alle Akteure einig, dass vollumfänglicher IT-Schutz ohne globale Lieferketten nicht realisierbar ist. Allerdings sollte im Voraus immer überprüft werden, ob kritische IT-Komponenten zertifiziert sind und von vertrauenswürdigen Unternehmen stammen.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here