Kennen Sie das, wenn Ihnen ein Wort so richtig zum Halse heraushängt? Mein derzeitiger Spitzenreiter: „Künstliche Intelligenz“. Aktuell hat so ziemlich alles, was Strom zum Betrieb benötigt, Künstliche Intelligenz. Sogar meine Zahnbürste. Vor 20 Jahren wäre es eine Multimedia-Zahnbürste gewesen, vor zehn Jahren die Zahnbürste 2.0. Und in den Start-up-Lofts am Prenzlauer Berg ist sie vermutlich auch noch agil.
Fast genauso rasend macht mich in der Cybersecurity übrigens der Begriff „Security by Design“. Definitiv absolut wünschenswert, aber leider komplett diskreditiert, seitdem gefühlt jeder Software-Hersteller, der sein Passwort nicht fest im Source Code verdrahtet, von „Security by Design“ spricht.
Aber die Idee ist ja genau das, was wir brauchen. Und wir brauchen da sogar noch viel mehr von, wir müssen die Inflation dieses Wortes eigentlich sogar noch anfeuern, nämlich es raus aus der Technik-Ecke holen. Jeder Geschäftsprozess und jedes Business Modell brauchen es, ja auch die Organisation bis hin zur staatlichen Sicherheitsarchitektur brauchen Security by Design.
Was Sicherheit mit Trüffeln zu tun hat
Auf dem Berliner Cybersicherheitsgipfel Ende des vergangenen Monats habe ich dies einmal versucht, in einer Metapher zu verdeutlichen (liebe CISOs, Sie dürfen sich das Bild gerne für alle Gespräche mit Ihrer Unternehmensleitung ausborgen): Stellen wir uns das Thema einfach mal als Nudelgericht vor. Tagliatelle con tartufo. Scheinbar lebt das Gericht von den Trüffeln, die am Ende darüber gehobelt werden. Wenn Sie aber bei den Nudeln nicht bereits vor dem Kochen Salz zum Wasser gegeben haben, können Sie so viel im Nachgang salzen und immer mehr Trüffel drüber hobeln, es wird einfach nicht schmecken.
Security ist also eher Salz als Trüffel. Übrigens aus verschiedenen Gründen: Security ist kein Luxus und gehört wie Salz eigentlich in jedes Gericht. Und ja: es gibt auch ZUVIEL Security.
Wo führt das also hin? Sichere Software entsteht nur, wenn ich wirklich von Anfang an das Thema Sicherheit mitdenke. Aber ein sicheres Business (und damit meine ich auch Behörden) entsteht nur, wenn ich dort in den Prozessen et cetera von Anfang an Sicherheit mitdenke. Plakativ ausgedrückt: Ich muss beispielsweise nicht verzweifelt darüber nachdenken, wie ich mein Knowhow auf Servern in einer chinesischen Niederlassung trotz Krypto-Restriktionen verschlüssele, wenn ich von Anfang an berücksichtigt hätte, gar keine sensiblen Daten in China zu benötigen.
Falsch verstandener Föderalismus
Sichere Software in einem Prozess oder Geschäftsmodell, bei dem man Security bei der Konzeption außen vor gelassen hat, ist auch nichts anderes als besonders hochwertiger Trüffel, der auf ungenießbare Nudeln gehobelt wird. Teuer, aber nicht gut. Und so kommt man Ebene für Ebene immer wieder zum gleichen Problem: Teure Trüffel auf ungenießbare Nudeln, bis man ganz oben bei der staatlichen Cybersicherheitsarchitektur anlangt.
Nun steht die Überarbeitung der Nationalen Cybersicherheitsstrategie an und ich befürchte, dass mit jeder Menge gutem Willen, Elan und Fachwissen viel Trüffel gehobelt wird, in der Hoffnung, die missratene Grundlage doch noch zu retten. Doch wenn man auf bestehende Strukturen einfach überall ein bisschen Sicherheitsverantwortlichkeit drüber hobelt, entsteht keine funktionsfähige Sicherheitsarchitektur, sondern ein ungenießbares Durcheinander, Wimmelbild con tartufo.
Um nicht missverstanden zu werden: Nein, ich möchte nicht alles abbrennen und bei null anfangen und nein, der Föderalismus ist nicht an allem schuld und ja, ohne Föderalismus wäre manches sogar noch schlechter. Falsch verstandener Föderalismus, kompromissloses Besitzstandsdenken und fehlender Pragmatismus sind das Problem.
Denn: Lokale Institutionen können manche Dinge besser als der Bund. Aber wenn jede Kommune, jedes Ministerium meint, alles selbst und vor allem anders als die Nachbarkommune/-behörde machen zu müssen, werden wir weiter scheitern. In einer idealen Welt kann es diese Freiheitsgrade geben, in einer Welt realer Ressourcenknappheit ist dies aber der sichere Weg ins Fiasko.
Gemeinsam günstiger
Als Optimist kann man vielleicht in der Haushaltskrise ja auch eine Chance sehen, dass eben auch bestehende Vorgehen infrage gestellt werden. Als ganz banales Beispiel: Vielleicht sinkt der Anspruch an perfekte Softwarelösungen, die jede liebgewonnene Besonderheit in der kommunalen Ausprägung von Fachverfahren abbilden müssen, hin zu einem pragmatischeren Ansatz. Unternehmen haben schon lange merken müssen, dass man seine Prozesse oft besser der Software anpasst (Stichwort SAP) als umgekehrt, und dass eine funktionierende 80%-Lösung besser ist als die 100%-Lösung auf dem Reißbrett. Allein diese Grundsatzentscheidung reduziert Aufwände für den Schutz massiv, da zu Standardlösungen halt auch Standards-Sicherheitslösungen passen. Etwas bedachter Einsatz von Salz erspart eben viel Trüffel.
Vielleicht bemerkt man in Ländern und Kommunen auch, dass beim Thema Security das Nichtstun die teuerste Variante, „alleine tun“ die zweitteuerste und „gemeinsam tun“ die günstigste Variante ist. Vielleicht stellen die Ministerien auch fest, dass wir gar nicht zu wenig Geld in Fördertöpfe, Subventionen et cetera auch in der IT-Security stecken; sondern dass bei einem gemeinsamen Ansatz mit klaren gemeinsamen Zielen vielleicht sogar mit weniger Geld mehr erreichbar ist.
Es hilft eben wenig, viel Geld in die Forschungsprogramme zu stecken, wenn dann der Weg zur Marktreife der daraus entstehenden Ideen nicht unterstützt wird. Und die trotzdem entstehenden Produkte in staatlichen Ausschreibungen keine Chance erhalten, dann aber laut über fehlende Digitale Souveränität geklagt wird.
Auch hier passt übrigens die Trüffel-Metapher: Was nützt es, so viel Informatik-Studiengänge wie möglich zu fördern, wenn man vorher vergessen hat, an den Schulen genügend Schülerinnen und Schüler für Mint-Fächer zu begeistern und aufs Studium vorzubereiten?
Und so ist auch der aktuelle niederschmetternde Pisa-Bericht über die immer schlechter werdenden fachlichen Kompetenzen der Schüler ein schlechtes Signal für die Sicherheit unseres Landes.
Gemeinsame Vision erforderlich
Überhaupt sind die Probleme der Bildungspolitik und der Cybersicherheits-Politik quasi identisch: „Spiegel Online“ zitiert einen Bildungsexperten mit dem Satz: „Solange sich Politik und Schulverwaltung notwendigen und für die Fachwelt offenkundigen Schritten verweigern, steuern wir weiter auf den Abgrund zu. Noch immer haben weite Teile der Politik nicht verstanden, dass Bildungspolitik viel mehr ist als Schule und Kitas. Sie ist Wirtschaftspolitik, Arbeitsmarktpolitik, Sozialpolitik, Gesellschaftspolitik, Sicherheitspolitik, Umweltpolitik und vieles mehr.“
Tauschen Sie einfach die Worte Bildungs- und Sicherheitspolitik aus und ersetzen Sie „Schulen und Kitas“ durch „technische Lösungen“: „Solange sich Politik und Verwaltung notwendigen und für die Fachwelt offenkundigen Schritten verweigern, steuern wir weiter auf den Abgrund zu. Noch immer haben weite Teile der Politik nicht verstanden, dass Sicherheitspolitik viel mehr ist als technische Lösungen. Sie ist Wirtschaftspolitik, Arbeitsmarktpolitik, Sozialpolitik, Gesellschaftspolitik, Bildungspolitik, Umweltpolitik und vieles mehr.“ Exakter kann man es nicht beschreiben.
All dies wäre vermeidbar, wenn man am Anfang eine gemeinsame Vision und Zielbild definiert hätte. Dahinter gäbe es genügend Freiräume zur individuellen Entfaltung für Ministerien, Länder, Kommunen, Wirtschaft und Zivilgesellschaft. Leider leisten wir uns den Luxus, immer wieder diesen grundsätzlichen Fehler durch neue Teil-Initiativen, Teil-Strategien und besitzstandswahrende Klein-klein-Debatten zu kaschieren.
Dies soll nicht grundsätzlich Ad-hoc-Maßnahmen diskreditieren. So ist es ein absolut positives Signal, dass Baden-Württemberg, wie hier vor einigen Tagen berichtet, nach dem Herauslösen der Kommunen aus NIS-2 zumindest einen Plan zur sukzessiven Verbesserung der Sicherheit veröffentlicht hat. Es ist ein kleiner Schritt, aber ein Schritt in die richtige Richtung. Wenn aus der Freiwilligkeit dann im nächsten Schritt eine freiwillige Selbstverpflichtung würde und somit die Verbindlichkeit steigen würde, wäre es ein etwas größerer Schritt. Aber allen muss klar sein, es sind alles Not-Maßnahmen, um ein Symptom zu lindern und keine grundsätzliche Lösung des Problems.
Und hier kommt die Metapher dann an ihre Grenzen: Trüffel ist ein Luxus, den man sich manchmal leisten kann, ein „Weiter so wurschteln“ können wir uns nicht leisten.
Timo Kob ist Professor für Cybersecurity an der FH Campus Wien. Er leitet den Bundesarbeitskreis Cybersecurity im Wirtschaftsrat der CDU, ist Mitglied des Hauptvorstandes des Bitkom und Gründer und Vorstand von Hisolutions. Zuletzt von Kob erschienen: Solche Äußerungen heizen Diskussionen unnötig an
In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.
