Etwas ist falsch. Grundlegend falsch. Ich laufe durch riesige Hallen der CeBIT Messe, wo sich Anbieter mit immer komplexerer, immer aufwändiger zu administrierender und immer teurerer Lösungen zur Absicherung von Daten und IT-Systemen gegen Angriffe von Kriminellen, Terroristen und Staaten tummeln. Ja, IT-Lösungen für das eigentliche Kerngeschäft gibt es sogar auch noch - aber das immense Ausufern der Sicherheitslösungen macht mich doch sehr nachdenklich.
„d!conomy – no limits“ – unter diesem Motto findet die diesjährige CeBIT erneut statt. Der Fokus liegt diesmal auf Business-Anwendungen. Ich bin auch in diesem Jahr in Hannover dabei und gewinne hier viele Eindrücke.
Natürlich könnte ich mich als IT-Dienstleister einfach auf den Standpunkt stellen: "Super, die Kunden brauchen immer mehr Beratung und Dienstleistung, müssen immer mehr Produkte kaufen, um den sicheren Betrieb ihrer Systeme zu gewährleisten." Aber das wäre einerseits so überhaupt nicht "sym", wie es bei uns heißt (das bedeutet in diesem Fall: so gar nicht im Interesse von unseren Kunden), und anderseits auch sehr, sehr kurzsichtig.
Schon jetzt sind kleinere und mittlere Unternehmen inhaltlich und auch kommerziell überfordert mit der Sicherheitsproblematik. Ihnen bleibt fast nur, auf Lücke und das Prinzip Hoffnung zu setzen. Brutal formuliert, haben sie nur die Wahl, woran sie pleitegehen wollen - an einem Angriff oder an den Kosten für dessen Verhinderung. Ihnen bleibt nur die Hoffnung, dass nichts schlimmes passiert, wollen sie ihren Betrieb nicht gleich "aus Sicherheitsgründen" einstellen. Nur das Allernötigste ist wirtschaftlich überhaupt möglich.
Kann das richtig sein? Einen immer höheren Anteil der IT-Investitionen und Betriebskosten nicht für die Verbesserung der Wettbewerbsfähigkeit, für innovative Prozesse, für Digitalisierung aufwenden zu müssen, sondern für die Absicherung der Systeme? Wie kann das funktionierten, wie weit soll das noch gehen?
Nein - das ist nicht richtig, es ist herum doktern an Symptomen, keine Behandlung von Ursachen.
Was wir benötigen, ist eine völlig neue Generation von Hard- und Software, bei der Sicherheitsaspekte von vornherein im Kern mit berücksichtigt sind. Denn das ist die Quelle der Probleme - unsere heutigen Standards und Techniken stammen aus einer Zeit, als IT noch eine elitäre Technik Weniger war, die sich einen Missbrauch durch böse Buben noch gar nicht vorstellen konnten.
Diese Systeme werden allerdings nicht kompatibel mit heutigen Computern und Softwarepaketen sein, denn dazu müssten sie ja wiederum unsichere Standards unterstützen. Und hier liegt auch genau das Problem, warum noch nicht einmal im Ansatz zu sehen ist, dass solche neuen Architekturen überhaupt ernsthaft marktfähig entwickelt werden:
Es geht immer primär um Komptabilität mit den Bestandssystemen. Der erste Nutzer einer neuen, sicheren Gerätegeneration hätte ein Problem - er könnte mit niemandem kommunizieren oder Daten austauschen. Wie viele Leute haben sich ein Farb-Fax gekauft?
Trotzdem - neue Systeme müssen her und werden auch irgendwann kommen müssen. Die Frage aktuell ist:
Wie viele IT-GAUs müssen noch passieren, damit ein Umdenken stattfindet?
Um zu verhindern, dass es dann plötzlich ganz schnell geht und alle wirtschaftlich potenten Akteure aus der Not aus dem öffentlichen Internet verabschieden und ein sichereres, aber eben geschlossenes System implementieren, und so eine Vergrößerung der Chancenungleichheit zwischen Konzernen und Mittelstand weiter befördern, müssen dringend neue Verfahren und Standards entwickelt und für den Einsatz vorbereitet werden.
Eine Lösung für die Einführung könnte sein, sämtliche alten unsicheren Protokolle in ein gekapseltes, später abschaltbares Subsystem zu verlagern, aber zunächst noch mitzuliefern, bis eine kritische Masse an Nutzern erreicht ist, und diese dann später abzuschalten.
Solche Systeme werden allerdings zunächst wohl teurer sein, insbesondere die "kleinen" Systeme des Internet der Gadgets und Things, also gerade die Geräte, die in großen Stückzahlen und auch von Verbrauchern gekauft werden.
Ein Überleben als universelles Medium einer digitalisierten Weltwirtschaft, und damit das wirtschaftliche Überleben ganzer Staaten - ist nichts weniger als eine hoheitliche Aufgabe. Wir brauchen vielleicht verbindliche Gütesiegel für IT-Sicherheit ebenso wie Zulassungsvoraussetzungen für Autos, damit es keine Toten gibt - tote Unternehmen oder tote Verkehrsteilnehmer, wobei letzteres in Zukunft mit autonomen Fahrtzeugen eben auch von der Sicherheit des Internet abhängen wird.
Versuchen Sie mal, mit einem selbstgestrickten Auto ohne Knautschzone und Gurt durch die Stadt zu fahren - die Polizei wird Sie ganz schnell aus dem Verkehr ziehen. Aber jede noch so merkwürdige Endgerät aus einem asiatischen Bastelkeller darf an das Internet angeschlossen werden, das für unsere Sicherheit mittlerweile wichtiger ist als die Straßen?
Dieses Spiel werden wir wohl noch einige Zeit spielen, bis die Unfallhäufigkeit so stark steigt, dass ein geordneter Verkehr ohne Regeln einfach nicht mehr möglich ist, um im Bild zu bleiben.
Wünschen wir uns bis dahin Glück, dass es uns nicht zuerst trifft. Oder noch besser - machen Sie in Ihren Zuständigkeitsbereich doch einfach schon einmal das, was heute schon geht an Sicherheit!
