Wo steht Deutschland im internationalen Vergleich beim Thema Cybersicherheit? Die hiesige IT-Branche müsse sich gar nicht verstecken, meint Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie SIT. Aber vor allem in einem Forschungsbereich sieht er noch akuten Nachholbedarf.
Jede Woche neu beim Stifterverband:
Die Zukunftsmacher und ihre Visionen für Bildung und Ausbildung, Forschung und Technik
Autor: Timur Diehn
Produktion: Markus Müller, Christian Slezak
für den YouTube-Kanal des Stifterverbandes
Digitale Souveränität ist ein drängendes Thema, weil es wirklich bedeutet, dass wir als Land oder als Europäische Union unabhängig sein müssen.
Was bedeutet das? Es gibt eine naive Sicht: Souveränität bedeutet, man macht alles selbst. Das kann es in der IT und in der Cybersicherheit schon recht nicht sein, sondern was es bedeuten muss, ist, dass wir als Land die Beurteilungskompetenz brauchen. Also, es muss so sein, dass wirklich nichts in diesem Land Sicherheitskritisches verwendet wird, wo nicht wir als Land die richtigen Testlabore haben, die Zertifizierungsstellen haben, beurteilen können, wir man große Systeme sicher integrieren kann. Das ist das eine. Und das andere ist, was mir jetzt sehr wichtig ist: In vielen Bereichen können wir Dinge tatsächlich auch noch selbst tun. Man hat recht oft das Gefühl: Der Zug ist abgefahren. Also, so schnell wie Silicon Valley können wir nicht werden. Das stimmt überhaupt nicht. Die digitalen Innovationen kommen so im Jahres- bis Fünf-Jahres-Rhythmus, das heißt: Wenn wir uns jetzt auf die Fahnen schreiben: Wir wollen ein sicheres Gerät des Typs X bauen. In fünf Jahren können wir marktreif und konkurrenzfähig sowas haben. Da würde ich halt sagen: Im Cybersicherheitsbereich gibt es eine Reihe von Technologien, wo wir uns eben dahinterklemmen müssen. Das ist sicherlich der Bereich Industrie 4.0, also Sicherheit für die Industrie, Sicherheit für die Prozesstechnik. Das ist auch im Bereich Verschlüsselungstechnologie, Ende-zu-Ende-Sicherheit, im Bereich Datenschutz sehe ich da viele Möglichkeiten, wo wir etwas machen können. Also, das wären so meine Komponenten für die digitale Souveränität: Beurteilungsfähigkeit und die Fähigkeit, bestimmte Dinge auch wirklich selbst herstellen zu können.
Für die digitale Souveränität ist es wichtig, dass man auch die Hardware, auch das Betriebssystem mit betrachtet, also den kompletten Stack von ganz unten, von der Metallschicht, bis hin zur Software-Schicht, bis hin zur Anwendungsschicht, bis hin zum Menschen schlussendlich. Und auch da kann man sehr viele Dinge tun. Gerade im Bereich Hardware braucht man beispielsweise sichere Hardware-Anker, sichere Module, die sicherstellen, dass eine Identität beispielsweise eines Gerätes oder auch von Benutzern von Geräten hergestellt und verifiziert werden kann. Auch da gibt es in Deutschland sehr, sehr viele Dinge im Bereich Forschung, aber auch im Bereich der Herstellung, wo wir wirklich führend sind weltweit.
Ich denke, als Land kann man sehr, sehr viele Dinge erstmal tun, also man muss nicht auf die Europäische Union warten, bis man was tun kann. Das IT-Sicherheitsgesetz ist da ein gutes Beispiel. Da ist Deutschland vorangegangen. Ich denke, es war eine sehr sinnvolle und gute Sache. Das ist ein gutes Beispiel dafür, was ein Land tun kann. Also, ein Land, aber auch die Europäische Union kann Mindeststandards vorgeben, kann einfach sagen: Was wollen wir als Minimum haben für IT-Sicherheit, für kritische Infrastrukturen heute, aber auch darüber hinaus? Und was ganz, ganz Wichtiges ist, dass die Kunden, also Sie, ich, Firmen usw., wenn wir was verwenden, dass Sicherheit sichtbar wird. Also, wenn Sie heute in einen Laden gehen, Sie kaufen sich einen Laptop, Sie wissen nicht, ob der linke oder der rechte sicherer ist. Wenn Sie in den Laden gehen und irgendwas kaufen wie ein Würstchen, dann wissen Sie, welches ist fetter als das andere, und dann nehmen Sie das magerere, nehme ich mal an. Sowas hätte ich auch gerne bei IT-Sicherheit. Also, sowas, dass man wirklich sieht, das ist sicherer, das ist nicht sicherer. Und wenn auf Dauer was nicht sicher ist oder nicht genug sicher ist, dass die Haftungsregeln auch in die Richtung gehen, dass eben der Hersteller dafür verantwortlich gemacht werden kann, wenn er in Anführungszeichen fahrlässig ein Produkt auf den Markt gebracht hat. Das kann der nationale Gesetzgeber tun, und da könnte Deutschland auch gut eine Vorreiterrolle für die Europäische Union spielen.
Was der Staat da tun kann, was mein Wunsch an Frau Merkel wäre sozusagen, es sind ein paar Wünsche. Das eine ist, wie gesagt, einfach die Sichtbarkeitmachung von IT-Sicherheit, was ist besser, was ist schlechter, was ich gerade schon gesagt hatte. Das ist der eine Teil. Der andere Teil ist aber auch: Man muss wirklich auch die Infrastruktur zur Verfügung stellen. Also, bei der Digitalisierung kommt jeder innerhalb von fünf Sekunden auf Breitband-Ausbau in der ländlichen Region. Bei mir der Odenwald wird ganz toll ausgebaut, ganz prima. Es gibt eine digitale Agenda, da steht drin, dass Deutschland der Verschlüsselungs-Weltmeister werden möchte. Sowas braucht genau so eine Infrastruktur wie die Breitband-Kommunikation. Solche Dinge, also Infrastruktur, um Sicherheit zu ermöglichen. Das kann zum Beispiel etwas sein, da arbeiten wir dran unter dem Titel "Volksverschlüsselung", dass jeder verschlüsseln kann, der möchte, möglichst einfach. Man braucht Forschung, damit ich es möglichst einfach machen kann, also Usability-Forschung. Man braucht dann Forschung, wie man Kryptographie in die Welt bringt. Es ist nicht so sehr die Grundlagen der Kryptographie, sondern die Anwendung der Kryptographie. Aber auch ganz elementar Infrastruktur, wie die Autobahn, wie Breitband. Wo bekomme ich die Schlüssel her? Wo bekommen Sie Ihre digitalen Identitäten her? Und in dieser Art gibt es noch eine ganze Reihe von anderen Infrastrukturen, und da, denke ich, gibt es ein Defizit in Deutschland. Da wird daran gearbeitet. Wir sind wahrscheinlich schon besser als andere, aber da könnte man noch deutlich mehr tun.
Fraunhofer spielt da in der Tat als Transmissionsriemen eine ganz entscheidende Rolle. Ich habe gerade schon an einem Beispiel gesagt: Wir arbeiten an einem Projekt mit dem Titel "Volksverschlüsselung". Das ist ein rein intern finanziertes Fraunhofer-Projekt, wo wir PKI und Software zur Verfügung stellen, wo jeder sich eine Identität geben lassen kann, also seine Identität natürlich, ist abgesichert, und Software, so dass man gut Verschlüsselung in Systeme einbauen kann. Und ich denke, diese Dinge sind sehr, sehr wichtig, wo Franhofer einen Beitrag leisten kann, den man von anderen Forschungseinrichtungen vielleicht nicht so erwarten kann, also, wo es darum geht, aus der Grundlagenforschung, wo wir sehr stark sind in Deutschland, in die Anwendung zu kommen, die Anwendungsaspekte zu nehmen, eben nicht noch mehr Forschung im Bereich von Kryptographie, sehr wichtiges Thema, aber mehr Forschung im Bereich Anwendung von Kryptographie beispielsweise. Das ist ein typisches Fraunhofer-Thema, und ich denke, da hat unsere Gesellschaft auch eine ganz bedeutende Funktion als Riemen, als Verbindungsglied zwischen universitärer Forschung beispielsweise und Behörden und Industrie.
Wenn man einfach in die Zukunft denkt, dann kommt man in der Tat auf Dinge wie Quantencomputer oder das Internet of Things usw. Was für mich viel fundamentaler ist als Sicherheitsforscher ist eigentlich die Frage: Womit soll sich Sicherheitsforschung beschäftigen? Und da ist es so: Wir haben uns jetzt die letzten 20, 30 Jahre sehr intensiv beschäftigt mit in Anführungszeichen kleinen Systemen. Wir haben da auch sehr viel gemacht unter dem Stichwort "Security by design". Wie kann ich überschaubare Systeme von Anfang an so entwerfen und implementieren, dass sie sicher sind? Die spannende Frage ist aber eigentlich: Was passiert jetzt mit riesengroßen Systemen? Ich hatte vorhin schon das Internet angesprochen, das sicherlich größte IT-System der Welt. Niemand versteht es komplett. Sicherheit ist ein extrem fragiles Gebilde an der Stelle, und dieses Thema Security at large, also: Wie kann ich Sicherheit von sehr großen Systemen einigermaßen vorhersagen? Wie kann ich das empirisch untersuchen? Wie kriege ich sozusagen IT-Sicherheit zu einem Forschungsgebiet empirisch für große, realistische Systeme, nicht nur in Anführungszeichen für die kleinen, überschaubaren Systeme, mit denen man sich typischerweise in der akademischen Forschung beschäftigt hat?