Digitale Widerstandsfähigkeit

Der IT-Vorfall bei Crowdstrike im Juli hat weltweit für Aufsehen gesorgt. Wie bewerten Sie die Situation? Was führte Ihrer Ansicht nach zu dem Vorfall mit welchen Konsequenzen?

„Der Vorfall hat uns vor Augen geführt hat, wie anfällig die digitalen Systeme sind, auf die wir uns alle verlassen. Auslöser war ein fehlerhaftes Update für die weit verbreitete Security-Software Falcon der IT-Sicherheitsfirma Crowdstrike. Das führte zu Abstürzen bei Millionen Computern auf der ganzen Welt. Die Auswirkungen waren fatal. Allein im Flugverkehr dauerte es Tage, bis wieder Regelbetrieb möglich war. Das zeigt uns, wie dringend moderne Gesellschaften eine stabile und sichere digitale Infrastruktur brauchen. Und es wird deutlich, wie abhängig wir dabei von einigen wenigen Konzernen sind, die Quasi-Monopolstellungen beim Thema Sicherheit einnehmen.“

Betroffen waren ausschließlich Windows-Rechner. Was denken Sie darüber?

„Es wurde insbesondere der EU-Kommission beziehungsweise einer regulatorischen Vereinbarung von 2009 eine Teilschuld zugesprochen. Diese hat gefordert, Anbietern von Sicherheitssoftware uneingeschränkten Zugang zum Windows-Kernel zu gewährleisten. Aus diesem Grund, so die Argumentation, konnte man das Betriebssystem nicht so wirkungsvoll abschirmen wie das bei geschlossenen Systemen der Fall ist, die den Kernel-Zugriff verweigern. Unabhängig von der Schuldfrage – der Crowdstrike-Vorfall wirft die Frage auf, wie sicher offene Systeme wirklich sein können. Zwar bieten sie mehr Flexibilität und Raum für Innovationen. Allerdings auch potenzielle Sicherheitslücken, die Angreifern Tür und Tor öffnen. Das gilt vor allem, wenn Open-Source-Code verwendet wird, wie es Technologieriesen in der Regel tun.“

Welche Rolle spielen geschlossene Systeme in der Cybersicherheit?

„Geschlossene Systemarchitekturen sind weniger anfällig für Fehler und Cyberangriffe. Sie bieten nicht nur mehr Sicherheit, sondern auch digitale Souveränität und Unabhängigkeit von einzelnen Anbietern. Unternehmen müssen erkennen, dass eine solche Architektur ein ganz entscheidender Faktor für den Schutz vor Cyberbedrohungen ist.“

Worauf gilt es Ihrer Meinung nach zu achten, um die Cybersicherheit zu stärken?

„Besonders dringend ist die grundsätzliche Erhöhung der Cybersicherheit für eine stabile Infrastruktur. Wir haben im Juli gesehen, wie anfällig die digitale Sicherheit sein kann. Eine Software, die eigentlich vor Angriffen schützen soll, wurde selbst zum Problem. Umso größer sollte die Sorge vor Cyberangriffen sein: Um wieviel katastrophaler sind mögliche Folgen, wenn die Kompromittierung gezielt und mit bösen Absichten erfolgt? Denken Sie beispielsweise an vernetzte oder sogar selbstfahrende Autos. Es braucht daher mehr Verständnis für die Gefahren. Vor allem aber robuste Sicherheitsmaßnahmen, um möglichst wenig Angriffsfläche zu bieten. Unternehmen und Privatpersonen sind gleichermaßen darauf angewiesen, dass Daten und Identitäten jederzeit geschützt sind. Das gilt erst recht überall dort, wo es um sensible Daten geht, beispielsweise bei kommunalen Online-Diensten, bei Versicherungen oder Banken.“

Welche Rolle spielen digitale Identitäten bei der Cybersicherheit?

„Digitale Identitäten sind der Schlüssel zu einer sicheren digitalen Welt. Eine eindeutige und verifizierte Identifikation ist die Grundlage dafür, dass sich Personen sicher und verbindlich in der digitalen Welt bewegen können. Die Europäische Union treibt derzeit die Entwicklung einer europäischen digitalen Identität voran. Mit dieser eID können sich Bürger online ausweisen und authentifizieren, ohne auf kommerzielle Anbieter angewiesen zu sein. Die Einführung ist deshalb ein wichtiger Schritt auf dem Weg zur Digitalisierung Europas und für mehr digitale Unabhängigkeit. Aber die Idee kann und sollte noch weitergedacht werden. Eine echte digitale Identität ist nicht nur auf bestimmte Dienstleistungen beschränkt, sondern überall im Internet gültig – eine vertrauensvolle Übertragung der realen Identität in den digitalen Raum. Das ist nicht nur bequem und erleichtert den Zugang zu Online-Diensten aller Art. Die digitale ID trägt auch zu einer Demokratisierung des Internets bei. Gebannt wird dadurch die Gefahr von Anonymität und Fake-Profilen, von Manipulationen und Identitätsdiebstahl. Jeder Nutzer und jeder Administrator kann sich sicher sein, mit echten Menschen zu interagieren.“

Wie kann die Sicherheit digitaler Identitäten gewährleistet werden?

„Damit Vertrauen in digitale Identitäten entstehen kann, ist es absolut essenziell, dass die Identifikation zweifelsfrei und mit maximaler Sicherheit erfolgt. Dazu muss eine Multifaktor-Authentifizierung zum Einsatz kommen, am besten eine Kombination aus Biometrie und Wissensprüfung: Benutzer identifizieren sich nicht nur per Fingerabdruck oder Gesichtserkennung, sondern zusätzlich auch mit einem Passwort oder einer PIN-Nummer. Das gilt für sämtliche digitale Systeme und Plattformen.“

A propos digitale Plattformen. Welche Rolle spielen SuperApps und wie ist es um deren Sicherheit bestellt? Apps für alles fassen ja zunehmend auch in Europa Fuß.

„SuperApps sind ein wichtiger Faktor, um die Digitalisierung voranzutreiben. Die Herausforderung ist aber auch hier die Sicherheit. SuperApps verarbeiten persönliche Daten, die zu jeder Zeit geschützt sein müssen. Das gilt für sämtliche integrierte Dienste und ganz besonders für kommunale Services oder Bank- und Gesundheitsanwendungen. Also für alles, was mit sensiblen Daten zu tun hat und strengsten Sicherheitsrichtlinien unterliegt. Diese Sicherheit zu gewährleisten ist die zentrale Aufgabe, ohne die digitale Lösungen nicht funktionieren können.“

Wie können Unternehmen ihre digitalen Systeme sicherer machen?

„Damit ein System vollständig vertrauenswürdig ist, muss es auf höchsten Sicherheitsstandards basieren. Dafür gibt es verschiedene Ansatzpunkte. Hierzu zählt unter anderem die regelmäßige Online-Integritätsprüfung, die sicherstellt, dass eine Lösung unverändert und sicher ist. So wird gewährleistet, dass auch auf immer neue Bedrohungen reagiert werden kann. Notwendig sind zudem Technologien, die Software während der Anwendung überwachen, Angriffe sofort erkennen und in Echtzeit stoppen. Gerätesicherheitseigenschaften wie AES-Verschlüsselung, sichere Boot-Prozesse oder mehrfache Schutzschichten gehören ebenfalls dazu. Zudem sollte der Zugang zu kritischen Daten nur von bestimmten Geräten möglich sein, die vorher festgelegt wurden. Sind Zahlungsmöglichkeiten integriert, so müssen selbstverständlich auch diese absolut sicher sein. Gleiches gilt für die digitale Kommunikation. Wenn Personen in der digitalen Welt miteinander kommunizieren, müssen Vertraulichkeit und die Integrität der Daten unbedingt gewährleistet sein. Dazu braucht es eine Härtung von Kommunikationskanäle, das heißt die Kommunikationswege zwischen Geräten oder Netzwerken müssen vor unerlaubtem Zugriff bewahrt werden.“

Was empfehlen Sie Unternehmen, um ihre digitale Widerstandsfähigkeit zu stärken – auf globaler Ebene, aber auch auf Ebene einzelner digitaler Lösungen?

„Zuallererst lege ich allen die Stärkung der Cybersicherheit ans Herz. Investitionen in Sicherheitsinfrastrukturen und die fortlaufende Weiterentwicklung von Schutzmaßnahmen sind unerlässlich. Sie sollten sichere digitale Identitäten fördern. Die Implementierung von eID-Systemen und anderen verifizierten Identitäten sollte priorisiert werden. Zudem mein Rat: Entwickeln Sie geschlossene Systeme. Geschlossene Systemarchitekturen bieten höhere Sicherheit und sollten dort eingesetzt werden, wo die Risiken besonders hoch sind. Schaffen Sie sichere digitale Kommunikationswege. Es muss garantiert sein, dass digitale Kommunikationskanäle verschlüsselt und gegen Angriffe geschützt sind. Und: Fördern Sie Kooperationen. Alleingänge nützen niemandem. Eine Zusammenarbeit zwischen Behörden, Unternehmen und Sicherheitsexperten ist entscheidend, um passende Sicherheitsstrategien zu entwickeln.“

Und welche Lehre sollten wir alle daraus ziehen?

„Wenn der Crowdstrike-Vorfall dazu führt, dass diese Punkte künftig ernster genommen und schneller vorangetrieben werden, dann war es ein Weckruf zur rechten Zeit. Nur durch ein ganzheitliches und konsequentes Vorgehen können wir die Sicherheit der digitalen Welt in Zukunft garantieren und gleichzeitig die digitale Souveränität fördern.“