Kommentar: IT-Sicherheit ist wie Hygiene – und es mangelt an der Seife

Nach den aktuellen Entwicklungen und den zunehmenden Problemen, die nahezu täglich im Bereich der öffentlichen IT-Sicherheit zu Tage treten, möchte ich einen persönlichen Kommentar zum Thema IT-Sicherheit abfassen. Denn ich fürchte, wir stehen nur am Anfang einer desaströsen Entwicklung.

Cybersicherheit, auch IT-Sicherheit oder Cybersecurity, ist ein gesamtgesellschaftliches Problem. Und wie jedes gesamtgesellschaftliche Problem ist es Aufgabe der Politik, hier regulierend und steuernd einzugreifen. Stattdessen muss man aus meiner Sicht heute, am Ende des Jahres 2019, feststellen, dass wir auf einen langen harten Weg fortdauernden Versagens zurückblicken können – mit enormen Konsequenzen.

Die Auswirkungen mangelnder IT-Sicherheit sind gravierend und ich möchte es nur kurz darstellen, um auch Laien vor Augen zu führen, dass das hier kein „Tekkie-Thema“ oder irgendetwas „Fachspezifisches“ ist. Mangelnde IT-SIcherheit öffnet Angreifern Türen – Angreifern, die Kraftwerke oder Wasserwerke lahm legen; Angreifern die Verwaltungen und Krankenhäuser sabotieren – oder einfach den Zahlungsverkehr angreifen und damit das Geld eines jeden bedrohen, gleich ob er im Internet einkauft oder an einem Zahlungsterminal im Geschäft vor Ort. Und für wen das wie Zukunftszenarien klingt, dem sei gesagt, dass jedes einzelne von mir soeben beschriebene Szenario längst vorgekommen ist.

Unter anderem auch die Regierung in unserem Land hat die „Digitalisierung“ krampfhaft und aggressiv vorangetrieben: Sinnentleert, als Selbstzweck, getrieben von der Hoffnung, Arbeitsabläufe effizienter zu gestalten und Kosten zu sparen. Das Motto auf das man sich reduzierte war „Weg vom Papier“, als würden die Kosten moderner Bürokratien am Fotokopierer entschieden werden.

Das Ergebnis der vergangenen 30 Jahre steten Bemühens um eine digitale Zukunft: Jeder trägt in seiner Hosentasche einen Hochleistungscomputer, den statistisch gesehen nur die wenigstens über die oberflächliche Bedienung hinaus verstehen. Wir leben in einem digitalen Binnenmarkt, der von multinationalen Konzern beherrscht wird, die sich längst als Macht neben Regierungen etabliert haben. Und im Gegenzug? Wir haben einen „digitalen Personalausweis“, mit dem wir bis heute nicht einmal einfachste Behördengänge erledigen können. Wir haben ein anwaltliches „BEA“, das bestenfalls ein digitales Fax ist und eine Justiz, die auf eine eAkte wartet, ohne die entsprechenden Endgeräte zu haben.

Zugleich leiden wir unter einem erheblichen Bildungsdefizit – abgesehen von Ausnahmefällen wird keine Bildung auf breiter Ebene im Bereich des verantwortungsvollen Umgangs mit digitalen Geräten und Diensten gelehrt. Dabei ist der sicherheitsbewusste Umgang und Einsatz der Digitalisierung für eine moderne Gesellschaft wie die Entwicklung der Hygiene: Wenn eine breite Bevölkerungsschicht keine Hygiene betreibt, werden am Ende alle Krank, es steigen Kosten für Pflege und Krankenversorgung. Genau so ist es auch mit der IT-Sicherheit: Wenn jeder „verseuchte“ Geräte nutzt und sich nicht um die „Infektion“ anderer kümmert, dann erkrankt die digitale Gesellschaft insgesamt. Insoweit mag man auch sagen: Die IT-Sicherheit ist die Seife, die praktische Hygiene, der Digitalisierung.

So sehe ich denn auch die grösste Gefahr gar nicht so zwingend ausgehend von ausländischen Konzernen, etwa aus dem asiatischen Raum, die in unsere Infrastruktur eingebunden sind. Viel gefährlicher sind die inzwischen in breiter Masse vorhandenen ungebildeten Nutzer, die als herumwandernde Sicherheitsrisiken mit ihren Smartphones in der Tasche wie tickende Zeitbomben durch die digitale Welt wandeln und ignoriert werden.

Der Gesetzgeber selber tat in diesem Bereich gar nichts: Er digitalisierte in dem Sinne, dass jeder Prozess von Papier auf Digital umgestellt wurde – sehr regelmässig ohne Einbeziehung der Nutzer. Und so wie damals etwa der Papierverbrauch bei dem Masseneinsatz der Mail nicht sank sondern seit dem stetig stieg (weil jeder die massenhaft versendeten Mails ausdruckte), so sage ich voraus, dass etwa in der Justiz der Papierverbrauch explodieren wird – weil Richter und Staatsanwälte die digitalen Akten in der persönlichen Bearbeitung schlicht ausdrucken werden.

Aber auch weiter ignorierte der Gesetzgeber das, was längst bekannt ist: Digitalisierung ist kein einseitiger Prozess, sondern man muss auch die Schattenseite abdecken. Digitalisierung ohne IT-Sicherheit geht nicht. Wer digitale Prozesse schafft, der muss auch das Geld für deren Absicherung in die Hand nehmen. Und zwar die Absicherung nicht nur von Softwareprozessen, sondern auch von Hardware und insbesondere Infrastruktur. Das wird am Ende schnell mal so teuer, dass man irgendwann zu Recht hinterfragen muss, ob sich der Umstieg etwa von einer schriftlichen Akte auf eine eAkte lohnt. Bisher rechnete man sich das schön, indem man das Problem ignorierte.

Und das brachte uns an den Punkt, an dem wir heute sind. Das Gefährdungspotential ist hoch und aus meiner Sicht massiv unterschätzt. In diesen Tagen und Wochen erleben wir eine Emotet-Welle – für mich ist das lediglich ein Vorbote dessen, was noch auf uns zukommt. Dabei helfen nicht Gesetze und vor allem wird nicht der übliche Weg des Gesetzgebers, einfach jegliche Verantwortung auf die Wirtschaft abzuwälzen, funktionieren – denn das Problem hier liegt vor allem auch im öffentlichen Sektor. Und die hier über Jahrzehnte aufgelaufenen Versäumnisse wird man nicht mit einem einzelnen Gesetz beseitigen können. Es braucht ein gesamtgesellschaftliches Ansetzen in Form von regulierenden Gesetzen, massiv geförderter Bildung und dem Hinterfragen, welche Prozesse überhaupt (wirtschaftlich) sinnvoll zu digitalisieren sind.

Fachanwalt für IT-Recht Jens Ferner