Eigenverantwortung ist das Gebot der Stunde, wenn es um IT-Sicherheit im Mittelstand geht, davon sind Jan Hichert und Markus Hennig überzeugt. Die beiden sind derzeit mit dem Start-up Ocedo voll ausgefüllt. Weil sie dennoch für silicon.de bloggen wollen, werden die beiden Branchenexperten den Blog gemeinsam bestreiten.
Mit der Präsentation der Digitalen Agenda und dem IT Gipfel entsteht momentan der Eindruck, dass Deutschland in Bezug auf die IT zu einer großen Aufholjagd ansetzt. Zwei Ziele sind besonders gut: Dass die Bundesregierung jetzt die heimische Security Industrie aufbaut, und Deutschland zum “Security Vorreiter” wird. Wir stellen uns aber trotzdem die Frage: Wann profitiert der deutsche Mittelstand davon?
Warum ist das Thema für den Mittelstand so dringend? Erst kürzlich erklärte Verfassungsschutzpräsident Hans-Georg Maaßen, dass durch Industriespionage jährlich ein Schaden von weit über 50 Milliarden Euro entsteht. Der deutsche Mittelstand ist aufgrund seiner fortwährenden Innovationen und hoher Qualitätsstandards bevorzugtes Ziel ausländischer Spionage, und die Akteure sind sehr gut ausgestattete Organisationen mit großen finanziellen Interessen.
So bei all der demonstrativen Einigkeit und dem vielen gegenseitigen Lob auf höchster Ebene – welche Fortschritte sind vorzeigbar? Wo hilft der Staat den Mittelständlern, die teilweise seit Generationen ihre Produkte in alle Welt exportieren?
Bei Ministerien, Polizei, Bundeswehr, und Nachrichtendiensten gibt es jeweils auf Landes, Bund, und EU Ebene so viele Kompetenzstellen oder CERTs, dass es sogar eines Cyber-Abwehrzentrums als “Kooperationseinrichtung deutscher Sicherheitsstellen” bedarf. Bei welcher dieser vielen Einrichtungen kann ich mir als Mittelständler heute helfen lassen?
Das IT Sicherheitsgesetz ist zur fachlichen Diskussion freigegeben, und nun werden wichtige Punkte wie die Definition kritischer Infrastruktur, Meldepflichten, und die zahlreichen Ausnahmen ausgearbeitet. Gut, aber worin besteht der Sicherheitsgewinn für den Mittelstand?
Genauso spannend und offen bleiben die Fragen, welche Fortschritte es bei der internationalen Strafverfolgung gibt, und welcher Anteil der Industriespionagefälle im Mittelstand durch die Behörden aufgeklärt werden kann. Wer verfolgt und klärt Internet-basierte Industriespionage auf?
Wäre es nicht an der Zeit, die Frage zu diskutieren, ob die Produkthaftung in Bezug auf IT Security überdacht werden muss: Wie lange dürfen Schwachstellen in Softwareangeboten weiter existieren? Wie einfach muss ein Update funktionieren? Können sich Mittelständler auf ihre Lieferanten verlassen?
Der florierende Graumarkt für sogenannte Zero-Day Exploits ist ein akutes Problem, da mittlerweile schon ein mittleres Budget den Aufbau von signifikanten, offensiven Kapazitäten ermöglicht. Sollte der Handel reguliert werden und wenn ja, wie? Könnten internationale Allianzen Exploits aufkaufen und damit vom Markt nehmen?
Für uns steht fest: markige Politikerformulierungen, unrealistische Marketingversprechen von IT Security Herstellern, sowie die Existenz von zahnlosen “Cyber Abwehrzentren” sind gefährlich, da sie Kontrolle signalisieren. Stand heute ist der Mittelstand auf sich alleine gestellt, und vielleicht sähe die Lage in Deutschland anders aus, wenn das klar kommuniziert werden würde.