Die Bedrohungslage im digitalen Raum ist so dramatisch wie noch nie und erfordert eine enge Zusammenarbeit zwischen Staat, Wirtschaft und Wissenschaft. Statt überbordender Regeln oder singulären Awareness-Kampagnen braucht es klare Strukturen, Verantwortlichkeiten und praxisnahe Lösungen, sind sich die Expertinnen und Experten auf dem IT-Sicherheitstag Bayern einig.
Dr. Christian Götz, Berater für Informationssicherheit bei der IHK Regensburg, zeigte sich überrascht, welche staatlichen Initiativen es bereits gibt. Er wünsche sich, dass bereits existierende Erkenntnisse und Lösungen auch den Unternehmen zugänglich gemacht werden. Sie seien schließlich mit Steuermitteln finanziert, weswegen auch andere davon profitieren sollten. Insgesamt findet Götz, der auch Vorstandsvorsitzender des IT-Sicherheitsclusters e. V. ist: „Die Cyber-Abwehr ist eine Gemeinschaftsaufgabe, bei welcher es keine Abgrenzungen zwischen den verschiedenen Behörden, aber auch nicht zwischen den Behörden und der Wirtschaft geben sollte.“
Erst der politische Wille, dann dann die Kommunikation
Doch wie sieht eine solche Zusammenarbeit konkret aus? Nach Götz‘ steht der politische Wille an erster Stelle. Es liege in der Verantwortung der Behördenleitung oder eines Staatsministers, zu entscheiden, welche Informationen oder Lösungen an die Wirtschaft oder Gesellschaft weitergegeben werden dürften. Der zweite Schritt sei die Kommunikation: „Ich muss wissen, was es eigentlich gibt.“ Hierfür seien Veranstaltungen wie der IT-Sicherheitstag Bayern hilfreich.
Dr. Matthias Kampmann, Geschäftsführer des IT-Sicherheitsclusters, griff diesen Gedanken auf. Der Verein nimmt sich bei zukünftigen Veranstaltungen vor, Unternehmensvertreter mit Fachleuten der Universität der Bundeswehr und Angehörige der Strafverfolgung „an einen Tisch“ zu bringen, um „ganz praktisch“ Wege der Kooperation zu erarbeiten.
Das Problem der Awareness
Kampmann sieht darin eine zentrale Aufgabe zum Schutz der Demokratie: „Ich habe so eine Lage, wie wir sie jetzt haben, noch nie erlebt. Es wird verdammt noch mal Zeit, dass wir die Türen aufmachen und diejenigen zusammenbringen, die es gut meinen mit unseren Mitmenschen und der Demokratie, damit wir zusammen etwas erreichen.“
Eine große Herausforderung bleibt die Sensibilisierung der Menschen für Cyber-Gefahren. Götz verdeutlichte, warum dies so schwerfalle: „Auf der Straße muss ich nicht Angst haben, dass mir jemand mit der Keule einen drüberhaut und den Geldbeutel wegnimmt. Im Internet muss ich eine Rüstung anziehen, brauche ich ein Schwert, weil ich die ganze Zeit von Leuten bedroht werde, die mich angreifen.“ Das sei ein Zustand, den die Menschen „glücklicherweise nicht mehr“ aus dem realen Leben kennen würden. Dort müssten sie sich nicht selbst verteidigen – im Internet sei genau das plötzlich notwendig. Aus diesem Grund nimmt Götz es niemandem übel, wenn er nicht sensibilisiert sei – denn er sollte es eigentlich nicht sein müssen. Die Menschen sollten sich im Internet so bewegen können wie auf der Straße. „Das Ziel muss sein, dass wir in einen Zustand kommen, wo wir sicher sind und diese Awareness nicht mehr brauchen“, findet Götz.
Keine Bücher lesen
Stefan Obermeier, Referatsleiter ISMS in der Staatsverwaltung im Landesamt für Sicherheit in der Informationstechnik (LSI), sieht ein Problem in der Überregulierung und der damit verbundenen Unsicherheit für Mitarbeitende. „Es kann nicht sein, dass ein Mitarbeiter erst einmal ein paar Bücher lesen muss, um zu wissen, was er machen darf und was nicht, und dann permanent hört, er muss aufpassen.“ Dies blockiere den Arbeitsfluss und führe dazu, dass Mitarbeiter sich nicht mehr auf ihre eigentlichen Aufgaben konzentrieren könnten. Stattdessen sieht Obermeier eine „zentrale Organisation“ in der Verantwortung. „Der Mitarbeiter muss wissen: Das, was du machst, ist gut. Du bist mündig. Wir kümmern uns um das Drumherum.“
