Ein Monat für mehr Cybersecurity – ein Dauerauftrag für uns alle!

Erst vor wenigen Tagen warnte Europol, die Bedrohung des organisierten Verbrechens über das Internet habe in den letzten zwölf Monaten ein „bisher beispielloses Ausmaß“ angenommen. Privatleute und Unternehmen müssten sich besser schützen, wegen unsicheren Systemen hätten Verbrecher oft ein leichtes Spiel. Schlagzeilen von Cyberkriminalität und Erpressungs-Trojanern belegen fast täglich, wie groß die Herausforderungen bei der Absicherung von IT-Systemen sind. Dabei stehen wir mit der Ausbreitung des Internet der Dinge erst am Anfang einer echten Komplexitätsexplosion beim Thema Sicherheit. Die rasant wachsende Zahl von vernetzen, oft schlecht gesicherten Endgeräten wird zum Ausgangspunkt völlig neuer Formen koordinierter Angriffe. Politisch und gesetzgeberisch wurde in den vergangenen Jahren bereits auf vielen Ebenen reagiert: Deutschland hat das IT-Sicherheitsgesetz beschlossen und eine umfassende Cybersicherheitsstrategie auf den Weg gebracht. Auf EU-Ebene wurde die NIS-Richtlinie verabschiedet, die einen einheitlichen Rechtsrahmen für den Ausbau der Cybersicherheit schaffen soll. In den nächsten Jahren wird es nun darum gehen, diese Bemühungen mit Leben zu füllen und in die Praxis umzusetzen. Die Umsetzung neuer, global vereinheitlichter Sicherheitsstandards muss gewährleistet sein. Dabei können Cloud-Dienste einen zentralen Beitrag leisten, indem sie neueste Sicherheitstechnologien und die dahinterstehende Analyseintelligenz zugänglich machen.

 Bedrohung nimmt beispiellose Ausmaße an

Aber Sicherheitsstrategien müssen auch in der Breite bei den Nutzern ankommen. Deshalb unterstützt Microsoft den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) initiierten European Cyber Security Monat und informiert mit seiner breit angelegten Kampagne Mehr als nur IT über den richtigen Umgang mit externen Bedrohungen wie Datendiebstahl oder Schadsoftware aber auch mit dem „Risikofaktor Mensch“ – und zeigt Strategien auf, mit denen sich Unternehmen effizienter schützen können. Fakt ist: Digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl können jedes Unternehmen treffen. Und die Firmen selbst bemerken Attacken oft viel zu spät. Nach einer Studie des BSI dauert es im Schnitt 243 Tage, bis ein Unternehmen einen gezielten Cyberangriff erkennt. Und nicht einmal jede zweite deutsche Firma hat ein Notfallmanagement für den Fall eines Hackerangriffs etabliert. Dabei sind selbst die Betreiber sogenannter kritischer Infrastrukturen (KRITIS), darunter Energieversorger oder Finanzdienstleister, kaum besser vorbereitet, so eine aktuelle Studie des Bitkom.

 Cyberangriffe folgen ganz neuen Mustern

Deshalb muss IT-Sicherheit noch stärker als bisher in den Fokus der Geschäftsführungen rücken. Die herkömmliche Vorgehensweise, eine möglichst hohe Mauer um das eigene Netzwerk zu errichten, reicht längst nicht mehr aus. Auch der Ansatz, einfach immer mehr und immer neue IT-Sicherheitslösungen zu erwerben, greift deutlich zu kurz. Firewalls oder Antivirenprogramme schützen nur vor bekannten technischen Risiken. Aktuelle Cyberangriffe und das Abschöpfen von Insiderwissen und Mitarbeiterzugängen über Social Engineering folgen jedoch ganz neuen Mustern und erfordern ein ganzheitliches strategisches Vorgehen. Das wird umso wichtiger, weil ab dem 25. Mai 2018 wichtige Änderungen innerhalb der EU-Datenschutz-Grundverordnung (EU-DGSVO) in Kraft treten. Einer ihrer wichtigsten Anforderungen ist es, die Behörden binnen 72 Stunden nach Bekanntwerden eines Datenlecks zu informieren. Andernfalls drohen drastische Strafen. Auch zu diesem Thema informiert unsere Kampagne Mehr als nur IT.

 Schon heute kostet Cyber-Kriminalität die deutsche Wirtschaft jährlich 55 Milliarden Euro. Und was fast noch schlimmer ist: Sie kostet das Vertrauen, das wir für den Erfolg der digitalen Transformation in Deutschland so dringend benötigen. Natürlich liegt es in der Verantwortung der IT-Wirtschaft, nutzerfreundliche und sichere Lösungen zu entwickeln und mögliche Risiken transparent zu machen. Microsoft investiert rund eine Milliarde US-Dollar pro Jahr in Cybersecurity. Das Microsoft Threat Intelligence Center überwacht weltweit Daten, die neue Cyberattacken und Malware-Bedrohungen auslösen könnten. Und unsere Digital Crimes Unit unterstützt Ermittler auf der ganzen Welt bei der Verfolgung von Cyberkriminellen. Doch das ist nicht genug: Auch digital mündige Nutzer, die Risiken realistisch einschätzen können, müssen Verantwortung für ihr eigenes Handeln übernehmen, neue Technologien kompetent beherrschen und angebotene Sicherheitslösungen auch wirklich anwenden. Und wir benötigen Rahmenbedingungen, in denen sich neue Technologien so entwickeln können, dass sie der Gesellschaft, der Wirtschaft, der Verwaltung und dem Bürger einen möglichst großen Nutzen bringen können.

Die Balance zwischen Datenschutz und Dateninnovation wahren

Die zentrale Herausforderung besteht jetzt darin, eine ausgewogene Balance zwischen Datenschutz und Dateninnovation zu wahren. Gesetzgebung und Regulierung stehen dabei vor entscheidenden Fragen: Wie lässt sich das richtige Gleichgewicht zwischen konträren Interessen schaffen, etwa zwischen öffentlicher Sicherheit und dem Recht auf Schutz der Privatsphäre? Wie kann die nationale Souveränität aufrechterhalten werden, ohne den effizienten Informationsfluss über internationale Grenzen hinweg einzuschränken? Wie schaffen wir globale Standards statt nationaler Gesetze? Wer setzt solche Standards und wie sichern wir deren Durchsetzbarkeit in einer global vernetzten Welt? Und wie sichern wir das notwendige Vertrauen der Nutzer in allgegenwärtige Technologien?

Tatsächlich und zu Recht sind Bürger für den Umgang von Regierungen und Unternehmen mit ihren persönlichen Daten zunehmend sensibel. Dies gilt in besonderer Weise für Deutschland mit seinen traditionell hohen Datenschutzstandards. Das Vertrauen in die Sicherheit von Cloud-Diensten spielt dabei eine entscheidende Rolle. Denn Cloud Computing ist die Voraussetzung für sämtliche Zukunftskonzepte – vom Internet der Dinge und Industrie 4.0 über vernetzte Wissensarbeit bis zu künstlicher Intelligenz. Mit der Einführung der Microsoft Cloud Deutschland hat Microsoft ein Angebot geschaffen, das speziell auf die Bedürfnisse des deutschen Marktes zugeschnitten ist, und bietet seine Public-Cloud-Dienste auch aus deutschen Rechenzentren an. Den Zugang zu den Kundendaten kontrolliert ein deutscher Datentreuhänder: T-Systems International GmbH.

Internationale Anstrengungen für Sicherheit im Cyberraum

Dennoch kann Datenspeicherung in Deutschland alleine nicht das Mittel der Wahl sein, um bestehende Rechtsunsicherheiten zu lösen. Im Zeitalter der Globalisierung und weltweit verbundener Netzinfrastrukturen benötigen Datenschutz und Datensicherheit klare und harmonisierte internationale Regeln und gemeinsame Anstrengungen, um die Sicherheit im Cyberraum zu verbessern. Deshalb hat Brad Smith, Präsident und Chefjustiziar von Microsoft, vor kurzem eine „Digitale Genfer Konvention“ angeregt, in der sich die Regierungen zum Beispiel dazu verpflichten, auf Cyber-Angriffe auf kritische Infrastrukturen, den Einsatz von Hacking zum Diebstahl geistigen Eigentums oder den Einbau von Hintertüren in kommerzielle Massenmarktprodukte zu verzichten. Ergänzt werden sollte eine solche Konvention durch selbstbindende Leitlinien der globalen IT-Industrie. Dazu gehört beispielsweise die Verpflichtung, Sicherheitslücken transparent zu machen und staatliche Initiativen zur Eindämmung von Cyberangriffen sektorübergreifend zu unterstützen.

Fakt ist: Digitale Technologien entfalten ihren größten Nutzen, wenn sie grenzüberschreitend und für alle verfügbar sind. Deshalb gilt auf internationaler wie auf nationaler Ebene: Nur wenn Regierungen und Regulierungsbehörden, IT-Industrie und Telekommunikationsanbieter und nicht zuletzt die Nutzer selbst an einem Strang ziehen, wird es uns gelingen, Sicherheit und Datenschutz nachhaltig zu verbessern.