Kongress

PITS 2013: 25. - 26. September 2013

2011 haben Hacker die Ära der Cyber-Angriffe eingeläutet. Zahlreiche spektakuläre Attacken auf IT-Systeme von Unternehmen, aber auch von öffentlichen Institutionen reißen seither nicht ab und haben die Verwundbarkeit einer digitalen Gesellschaft aufgezeigt. Die IT-Sicherheitskongressmesse Public-IT-Security (PITS) 2012 hat sich speziell dem Schutz der staatlichen IT-Infrastruktur vor Cyber-Angriffen gewidmet.

Das war die PITS 2012
So stark wie der Schwächste

IT-Sicherheitsbeauftragte der öffentlichen Verwaltung trafen sich auf der PITS 2012

Eine Hackertruppe legt in ganz Europa die Stromversorgung lahm. Die Folge:  Schon nach wenigen Tagen gibt es kein Benzin, keine Lebensmittel, kein Wasser – es kommt schnell zu chaotischen Zuständen. Dieses Horrorszenario aus dem Bestseller "Blackout" sorgte für einigen Gesprächsstoff auf der diesjährigen PITS, wo der Autor Marc Elsberg sein Buch vorstellte. Aber es sind auch "kleinere" IT-Sicherheitsvorfälle, wie Datenklau, Spionage, Cybercrime die die öffentliche Verwaltung umtreiben. Dabei wiegt es besonders schwer, dass der Umgang mit den Schwächsten, den Kommunen, nach wie vor in vielen Bundesländern ungeklärt ist.

Rund 500 angemeldete Teilnehmer verzeichnete die diesjährige IT-Sicherheitskongressmesse PITS. Ein Besucherrekord für die noch junge Veranstaltung, die dieses Jahr zum vierten Mal stattfand. Daran zeigt sich auch, dass der Öffentliche Dienst in den letzten Jahren stark für das Thema sensibilisiert wurde. Viele Verwaltungen haben IT-Sicherheitsbeauftragte oder Chief Information Security Officer (CISO) benannt.  Die PITS konnte in diesem Jahr ihre Stellung als wichtiger Treffpunkt für die IT-Sicherheits-Community weiter stärken.

Die Abwehr von Hackern stand im Vordergrund des Kongresses in diesem Jahr. Anders als noch vor wenigen Jahren, werden heute viel mehr zielgerichtete und gut vorbereitete Angriffe auf die IT-Systeme verzeichnet. Hier gab es in der Vergangenheit spektakuläre Vorfälle in der Wirtschaft (z.B. Sony wurde gleich zwei Mal gehackt) und in der Verwaltung ("No Name Crew" knackt Server von Bundespolizei und Zoll, die Internetseite der Polizei  NRW musste wegen dem Verdacht eines Angriffs vom Netz gehen). Einige Täter wurden durchaus gefasst – Oliver Stock von der Polizeidirektion Hannover betonte: "Die, die wir haben wollen, kriegen wir meistens auch!" 

Aber nicht jeder IT-Sicherheitsvorfall ist immer mit Strafverfolgung adäquat zu beantworten. So gibt es Formen des noch relativ jungen "Hacktivismus", die als politische Meinungsäußerung verstanden werden können. Eine neue Form der Demonstration und "vielleicht", so fragte der Bundestagsabgeordnete und Berichterstatter für IT-Sicherheit der FDP, Jimmy Schulz, "muss es ja auch so etwas wie ein Versammlungsrecht im Internet geben". Schulz ist auch Mitglied der Enquetekommission Internet und digitale Gesellschaft, die die Auswirkungen des Internets auf Politik und Gesellschaft untersucht und Empfehlungen für das Parlament  erarbeitet – der Umgang mit Hacktivismus spielt auch dort eine Rolle.

Ungeachtet der Motivation, die hinter einem Angriff steckt, ist die Verwaltung verpflichtet, sich und damit auch die Daten der Bürger ausreichend zu schützen. Zentral für die Standardisierung des gemeinsamen Schutzniveaus ist die IT-Sicherheitsrichtlinie, die im Rahmen des IT-Planungsrates erarbeitet wird. Hier soll ein gemeinsames Schutzniveau für Bund, Länder und Kommunen festgelegt werden. Aber nach wie vor, scheint keine Einigung in Sicht. Der Zankapfel ist hierbei vor allem die Situation bei den Kommunen. "Die Angreifer attackieren immer das schwächste Mitglied der Gemeinschaft", mahnte auf der PITS auch Ramon Mörl, Geschäftsführer des IT-Sicherheitsunternehmen it-watch.

Bei den Kommunen ist das vor allem eine Frage der Kostenübernahme: Wer zahlt die nicht unbeträchtlichen Investitionen in die IT-Sicherheit? Ähnlich wie beim E-Government-Gesetz pochen die Kommunen auf die Konnexität – wer ein höheres IT-Sicherheitsniveau haben will, der muss bezahlen, also die Länder.  Im Nachbarland Österreich wurde innerhalb von sechs Monaten eine "Nationale IKT-Sicherheitsstrategie" erarbeitet. "Wir haben alle wichtigen Stakeholder beteiligt: Bund, Länder, Gemeinden, Wirtschaft, Verbände – insgesamt trafen sich 130 Experten zur Erarbeitung der Strategie", erläuterte Roland Ledinger, Leiter des Bereichs ITK-Strategie des Bundes vom Bundeskanzleramt Österreich. So umgingen die Österreicher auch das Kostenproblem: Da jeder die Strategie mit verabschiedet hat, muss jeder auch seinen Beitrag leisten.

Aber es gab auf der PITS positive Signale: Dr. Sandra von Klaeden, CIO von Niedersachsen, kündigte an, die niedersächsischen Kommunen bei der IT-Sicherheit mitnehmen zu wollen , so sollen sie u.a. auch in das landeseigene CERT (Computer Emergency Response Team) integriert werden.

Ob die IT-Sicherheitsrichtlinie noch vor der Bundestagwahl  im Herbst 2013 verabschiedet wird, bleibt abzuwarten. So oder so, wird das gemeinsame IT-Sicherheitsniveau der Verwaltungen in Deutschland auch auf der PITS 2013 wieder eine besondere Rolle einnehmen.

Carsten Köppl, Programmleiter PITS