Mehr IT-Sicherheit: Jetzt aber wirklich …

Der Hackerangriff auf Router von Telekom-Kunden facht die Debatte um mehr Internetsicherheit neu an. Dabei stehen schnelle Updates und die Zertifizierung von Netzkomponenten im Fokus. Eine Forderung, die die Telekom bereits vor rund zwei Jahren erhoben hat.   

Als Reaktion auf die Cyberattacke wollen Politik und IT-Experten Router-Hersteller stärker in die Verantwortung nehmen. So fordert etwa der netzpolitische Sprecher der SPD, Lars Klingbeil, im Interview mit dem Deutschlandfunk eine Haftung für Hersteller. Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), spricht sich im Gespräch mit der „Welt“ für Sicherheits-Gütesiegel für Geräte wie Router aus.  

Beides sind Forderungen, die die Telekom schon viel früher formuliert hat - im Januar 2015 in ihrem Zehn-Punkte-Programm für mehr Sicherheit im Netz. Darin heißt es in Punkt neun: „Hersteller von Hard- und Software müssen genauso wie Netz- und Diensteanbieter bekannte Schwachstellen unverzüglich beseitigen. Die Telekom wird ihre Zulieferer dazu verpflichten. Bei besonders kritischen Komponenten sollte die Sicherheit der Produkte durch eine unabhängige Prüfstelle nachgewiesen werden. Das IT-Sicherheitsgesetz sowie die entsprechende Richtlinie der EU sollten das aufgreifen.“

Bei dem Angriff auf die Telekom-Router hat die Zusammenarbeit mit dem Hersteller gut geklappt, um schnell ein Update zu liefern. Grundsätzlich ist das Problem aber nicht gelöst: Wir haben in den vergangenen Monaten zwar eifrige Arbeit am IT-Sicherheitsgesetz in Deutschland und auch Initiativen auf europäischer Ebene gesehen. Diese beiden Forderungen sind aber noch nicht erfüllt. 

Warum wäre das so wichtig? In einer zunehmend vernetzten und digitalisierten Welt wird die Angriffsfläche für Cyberattacken zwangsläufig größer. Hundertprozentige Sicherheit kann niemand garantieren: Kein Hersteller von Hardwarekomponenten wie Routern, kein Netzbetreiber und auch kein Diensteanbieter, der die Infrastruktur für seine Services nutzt. Das Betriebssystem eines Routers umfasst mehrere Tausend Programmzeilen. Trotz umfangreicher Tests ist niemals ausgeschlossen, dass darin Fehler enthalten sind. 

Aber es muss sichergestellt sein, dass Schwachstellen unverzüglich beseitigt werden, wenn sie bekannt werden. Dann läuft nämlich der Countdown: Es ist nur eine Frage der Zeit, bis Kriminelle diese Lücke ausnutzen. Deshalb fordern wir eine gesetzliche Regelung dazu. Zudem sollte eine unabhängige Prüfstelle besonders kritische Netzkomponenten checken, bevor sie auf den Markt kommen. Ein TÜV für Netzinfrastruktur sozusagen. 

Natürlich reichen diese beiden Maßnahmen allein nicht aus, um mehr Sicherheit im Netz zu schaffen. Wir brauchen von Unternehmen auch mehr Transparenz über Sicherheitsstandards und erfolgte Angriffe, damit wir gegenseitig voneinander lernen können. Wenn Cyberkriminelle Armeen aus Rechnern schaffen, um Server in die Knie zu zwingen, müssen auch wir unsere Kräfte bündeln. Wir brauchen zudem mehr Forschung und Bildung zu Cybersicherheitsthemen. Dafür hat die Telekom beispielsweise ihre Innovation Laboratories, internationale Kooperationen wie mit der Universität Be’er Sheva in Israel und einen Lehrstuhl für Datenschutz und Datensicherheit an der Hochschule für Telekommunikation in Leipzig. 

Wir müssen auch Analytik und Forensik zur Netzsicherheit stärken. Dafür sollten die Cyber Emergency Response Teams (CERT) in den Unternehmen ausgebaut und enger verzahnt werden. Die Telekom hat 2014 gemeinsam mit der IHK Köln das neue  Qualifikationsprogramm „Cyber Security Professional“ gestartet und bildet mehrere Hundert Mitarbeiter zu IT-Sicherheitsexperten weiter.        

Es gibt kaum ein deutsches Unternehmen, das sich so sehr für Internetsicherheit engagiert wie die Telekom. Aber wir müssen uns in Wirtschaft und Gesellschaft insgesamt breiter aufstellen, wenn wir den zunehmenden Bedrohungen aus dem Netz angemessen Paroli bieten wollen. Wir wollen und wir müssen die Chancen der Digitalisierung nutzen. Dafür müssen wir uns aber auch für die Risiken rüsten. Der Hackerangriff vom Wochenende war vor allem für die betroffenen Kunden zweifellos extrem ärgerlich. Vielleicht war er letztlich aber auch ein hilfreicher Weckruf.