Fatale Fehlentwicklung

Cyberattacken Der Staat nutzt IT-Unsicherheiten aus und verliert damit den Datenschutz aus den Augen, wie der Fall des Wurms „WannaCry“ zeigt

Die ganz große Katastrophe ist ausgeblieben, so könnte man mit Blick auf den digitalen Wurm „WannaCry“ sagen, der am Ende der vergangenen Woche Autoproduktionen in Frankreich und England lahmlegte, die digitalen Komponenten des Gesundheitsdienstes im Vereinigten Königreich außer Gefecht setzte und bei der Deutschen Bahn die Fahrplaninfo-Rechner verschlüsselte. Dass der Wurm nur vergleichsweise geringen Schaden verursachte, ist aber nur die halbe Wahrheit.

Seit mindestens zwei Jahrzehnten werden wir mit digitalen Heilsversprechen beglückt – manche davon werden wahr, andere entpuppen sich eher als Albtraum. Digitalisierung kann gut und schlecht sein. Doch klar ist, dass die IT-Sicherheit eine der Grundlagen für ihr Gelingen sein muss. Und die ist aus gleich mehreren Gründen massiv gefährdet: Die IT-Strukturen, die heute eingesetzt werden, sind oftmals verwundbar – weil sie alt sind, weil sie überkomplex für ihren Einsatzzweck sind oder einfach deshalb, weil sie schlecht gewartet werden. Das kann sowohl vom Hersteller als auch vom Betreiber ausgehen.

Während in der Politik die Sicherheit gerne ganz groß geschrieben wird, ist mit IT-Sicherheit bislang kein Blumentopf zu gewinnen. Wenn in einem großen deutschen Klinikkonzern die IT ausfällt, muss man von einem Schaden ausgehen, der rein nach Zahlen deutlich größer ist als alle bisherigen Terroranschläge in Deutschland zusammen. Warum haben wir vor dem einen so viel Angst, richten viel Aufmerksamkeit, Personal und Mittel darauf aus, während das andere nach wie vor ein Mauerblümchen ist? Kann es sein, dass uns die Komplexität der Materie überfordert?

Auch Politik und Wirtschaft haben bis heute kaum Konzepte aufzeigen können. Die Cybersicherheitsstrategie des Bundes ist ein dicker Stapel Papier, das IT-Sicherheitsgesetz ein Versuch, wenigstens die allerkritischsten Bereiche der Gesellschaft zu Mindeststandards zu verpflichten – der Versuch, einen Teil der Zahnpasta wieder in die Tube zu drücken.

Was es bräuchte, wäre eine vollständig andere Herangehensweise, jenseits des stumpfen Rationalisierungsglücks digitaler Prozesse: Was ist für die Gesellschaft kritisch, was ist zu kritisch, um nicht auch ohne Internetzugang eingesetzt werden zu können? Was ein bisschen theoretisch klingt, ist ganz praktisch relevant: Wenn die Autos bald automatisiert fahren, müssen sie auch dann gut und sicher unterwegs sein, wenn die „intelligente Straße“ ausfällt Doch das widerspricht dem Konzept, das momentan von Autoherstellern und Politik vorangetrieben wird.

Auch an anderer Stelle scheut die Politik klare Entscheidungen: Die Bundesregierung vermeidet es, anzuordnen, dass deutsche Nachrichtendienste, wenn sie Kenntnis von Sicherheitslücken erlangen oder diese gar auf dem Graumarkt einkaufen, diese den Herstellern melden müssen. Hier wird ein interessanter politischer Zielkonflikt einfach ignoriert: dass der Staat IT-Unsicherheiten für eigene Zwecke ausnutzen möchte, während die IT-Sicherheit heute eine so große Relevanz hat, dass das kaum noch zu rechtfertigen ist.

Wenn im September ein neuer Bundestag gewählt werden wird, lohnt es sich, noch einmal nachzuschauen, welche Konzepte für eine intelligentere Digitalpolitik auch bei der IT-Sicherheit bei den jeweiligen Parteien stehen. Aber beieinem kann man sich leider wohl sicher sein: Der große Wurf oder auch nurgrößere Pläne werden dort nicht zu finden sein. Mit IT-Sicherheit sind Wahlen – noch – nicht zu gewinnen.

06:00 21.05.2017

Kommentare 44