Horst Robertz, Director Public Sector & Healthcare bei VMware Global
Nicht nur jeder Einzelne, auch der Staat selbst steht vor der Herausforderung, im Kontext der Digitalisierung seine Datenhoheit zu sichern. Dabei geht es um mehr als IT-Sicherheit – es geht um digitale Souveränität, also die Schaffung des geeigneten Rahmens für Datenschutz und Selbstbestimmung über Daten.
Die staatlichen Institutionen und die Verwaltungen leiden unter einem Vertrauensverlust – unter einem wachsenden Misstrauen gegenüber anderen Staaten. Auch wenn wir schon sehr lange über Bedrohungslagen gegenüber IT-Infrastrukturen sprechen, hat sich in den letzten Jahren die Situation grundlegend gewandelt.
Besonders durch neu hinzugekommene Gerätegattungen, die allesamt mit dem Internet verbunden sind, hat sich die Zahl der möglichen Gefahrenquellen deutlich erhöht. Egal ob wir hier über Industrie 4.0, IoT oder industrielle Sensoren und Aktoren sprechen – die Situation im Hinblick auf Cybercrime hat sich in den letzten Jahren rapide verschlimmert: Laut dem Europäischen Rat hat sich der Schaden, der durch Cyber-Angriffe entsteht, alleine in den Jahren seit 2013 verfünffacht und speziell die Zahl der Ransomware-Attacken wuchs von 2015 bis 2017 auf das Dreifache an. Angriffe auf militärische Systeme und kritische Infrastrukturen, etwa Industrieanlagen, Energie produzierende Betriebe oder auch Krankenhäuser, finden immer öfter den Weg in die Schlagzeilen.
Deutschland als Vorreiter bei kritischen Infrastrukturen
Immerhin hat Deutschland als eines der ersten Länder wichtige Schritte auf den Weg hin zu einer sichereren Infrastruktur bereits getan: Wir haben die europäische NIS-Richtlinie für mehr Netzwerk- und Informationssicherheit und daraus resultierend seit vier Jahren das IT-Sicherheitsgesetz. Das trägt insbesondere dafür Sorge, dass die digitalen kritischen Infrastrukturen (Kritis) in Deutschland zu den sichersten weltweit gehören.
Dagegen blieb es in anderer Hinsicht in der Vergangenheit allzu oft bei theoretischen Diskussionen um die möglichen Sicherheitsbedrohungen und allzu oft wurden keine konkreten Maßnahmen ergriffen. Dass dieses Bild sich gerade wandelt, ist einerseits gut – doch es sieht danach aus, dass das Pendel nun zu weit in die andere Richtung ausschlägt. Das Misstrauen der Staaten manifestiert sich in einer IT-technischen Abgrenzung. Es werden Stimmen laut, die fordern, dass nur noch Technologien Vertrauen geschenkt werden soll, die im eigenen Land bzw. im europäischen Kontext entstanden sind.
IT-Sicherheit als globale Herausforderung
Doch eine solche Abwehr bestehender und international anerkannter Technologie ist keine sinnvolle Lösung. Denn zum einem sollten sich alle darüber bewusst sein, dass die Thematik der IT-Sicherheit eine globale ist, bei der das Know-how vieler Kräfte definitiv mehr erreichen kann als die Fähigkeiten einer einzelnen Nation. Und zum anderen kann man schon aus monetären und Kapazitätsgründen nicht die global vorhandenen IT-Technologien und Produkte, die Stand der Technik sind, einfach nachbauen. Ich sehe mit Skepsis, dass die Europäische Union sehr viel Geld und auch Zeit in IT-Projekte investiert, in denen ausschließlich europäischen Unternehmen autarke Produkte erzeugen sollen, die aber zumeist nicht an die Leistungsfähigkeit bestehender Lösungen herankommen – bei höheren Kosten und längeren Projektzeiten. Hoffnungsvoll stimmt in diesem Zusammenhang die Tatsache, dass eine kleine Hintertür zu internationalen Partnerschaften offen geblieben ist.
Eine empfehlenswerte Reaktion auf die Bedrohungslage und den Vertrauensverlust der Staaten untereinander wäre es, Kooperationen mit Anbietern einzugehen, deren Produkte weit verbreitet sind. Diese stellen die Grundlage sicherer Infrastruktur, die dann durch spezielle nationale Lösungen ergänzt wird. Den Rat, den man den Behörden hier geben kann, ist, sich auf die innovativsten und besten Produkte am Markt zu verlassen und sie mit Hilfe eigener Schutzmaßnahmen, beispielsweise durch nationale individuelle Technologie an den Endpunkten oder über- wie untergeordneter technischer additiver Ebenen, zu optimieren. So lassen sich die Endpunkte optimal schützen und eine vertrauensvolle Zusammenarbeit unterschiedlicher Kooperationspartner sicherstellen.
Dies ist nicht als „Einbahnstraße des Vertrauens“ zu verstehen. Verbreitung einer Technologie allein darf nicht ausschlaggebend für weitreichende technologische Entscheidungen sein. Sie sollte aber als Anlass zum Dialog gesehen werden und prüfen der Bereitschaft und Möglichkeit, gemeinsamen Interessen partnerschaftlich zu begegnen. Hier sind beide Seiten gleichermaßen gefordert.
Dieser Kompromiss zwischen bestmöglicher Technik und bestmöglichem Schutz auf der einen Seite und der Wahrung nationaler Interessen auf der anderen Seite ist die Philosophie von VMware, die wir den Behörden und der öffentlichen Hand als gangbaren und sinnvollen Weg anbieten. Übrigens agieren auch wir selbst nach dieser Maxime: Zum einen setzen wir auf offene Schnittstellen und standardisierte APIs, die jeder nutzen kann, zum anderen auf anerkannte Sicherheitstechnologien und -strategien.
Verwaltung muss Spielregeln offenlegen
Denn sinnvoller als nationale Experimente sind Partnerschaften. Verwaltung und Industrie sollten sehr offen und transparent miteinander kommunizieren. Dabei sollte eine nachhaltige Gesamtstrategie verfolgt werden, an der sich alle Beteiligten orientieren können. Auch sollten nationale Unternehmen die Spielregeln kennen und sicher wissen, mit welchen internationalen Kooperationspartnern sie zusammenarbeiten können und welche Technologien von staatlicher Seite akzeptiert sind.
Es sollte auch davon abgesehen werden, der veränderten und komplexeren Gefahrenlage mit alten Tools und Strategien zu begegnen. Eine aktuelle Studie von Forbes Insights im Auftrag von VMware zeigt: Obwohl 76 Prozent der befragten Unternehmen sagen, dass sie sich darüber bewusst sind, dass ihre Sicherheitsstrategie und ihre Tools nicht mehr zeitgemäß sind, planen sogar 83 Prozent, weitere Produkte in dieser Art zu implementieren – weitere Sicherheitslösungen erhöhen aber nicht die Sicherheit, sondern führen nur zu höherer Komplexität in der IT und damit auch zu höheren Kosten. Unternehmen ebenso wie Regierungen sollten in Erwägung ziehen, dass in Zukunft nicht mehr, sondern weniger Tools (und dafür vor allem proaktiv-intrinsische Sicherheitslösungen) die Lösung sein können.
Fazit: Datensouveränität wird auf der Agenda bleiben
Wenn die europäischen Staaten die richtigen Rahmenbedingungen schaffen, Ihre Sicherheitskonzepte klar formulieren, Technologien bzw. Anbieter nicht ausschließen, sondern einbinden in Ihre Überlegungen, dann profitieren Sie von weltweit anerkannten Technologien, mit denen Sie Ihren Bürgern die notwendige Sicherheit garantieren, Kosten einsparen und schnell und flexibel Services anbieten können. Letzten Endes wird auch die Bundesregierung das Thema in den nächsten Monaten und Jahren vermehrt auf der Agenda haben – so zeigt beispielsweise eine aktuelle Anfrage der FDP im Deutschen Bundestag „Digitale Souveränität“ vom 17.6.2019 (BT-Drucksache 19/10952), wie brisant und aktuell das Thema ist.
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn & Youtube