/Life

Der deutsche Staat schützt im Internet nicht alle gleich

Sofie Czilwik 09.08.2017

Die Sicherheit von Deutschland im Internet stärken: Das war eines der wichtigsten Anliegen der Digitalen Agenda 2017. Hat das geklappt? Wer sich bei Experten aus Wirtschaft, Forschung und Gesellschaft umhört, bekommt eine gemischte Antwort. Eine Analyse.

Langsame Computer schocken in einem Hospital weder Ärzte noch Pflegepersonal. Auch im Lukaskrankenhaus in Neuss ist keiner so recht überrascht, als im Februar 2016 mal wieder die Rechner nicht richtig hochfahren. Als auf den Computerbildschirmen aber ein rotes Fenster aufleuchtet, horcht das Personal auf. „Ihre Daten sind verschlüsselt“, steht da. Eine Freigabe erfolge nur gegen Lösegeld. 

„Angriffe auf die IT-Infrastruktur passieren mittlerweile ständig. In der Regel geht es um Lösegeld“, sagt Jürgen Flemming vom Bundesverband der Krankenhaus-IT-Leiterinnen/Leiter. Studien belegen seine Aussage: Jedes zweite Krankenhaus ist bereits Opfer einer Malware-Attacke geworden. Nur wenige dieser Übergriffe gelangen an die Öffentlichkeit. Zu groß ist die Angst der Häuser, ihren Ruf zu verlieren. Der Neusser Fall wurde nur deshalb so bekannt, weil das Management sich früh zu den Problemen bekannte. Die Folgen von IT-Angriffen aber können gravierend sein: In den schlimmsten Fällen konnten Ärzte nach Ransomware-Attacken keine Operationen mehr durchführen, Patienten mussten in anderen Krankenhäusern behandelt werden.

Eigentlich sollte so etwas in Deutschland heute nicht mehr passieren. Krankenhäuser zählen zu den kritischen Infrastrukturen (KRITIS) für die Versorgung der Bevölkerung, genau wie auch Wasser–, Strom– oder Kraftwerke. Die IT-Sicherheit der KRITIS zu sichern und zu stärken, ist erklärtes Ziel der Digitalen Agenda, die die Bundesregierung 2014 verabschiedete. Deutschland solle einer der „sichersten digitalen Standorte“ weltweit sein, lautete das Versprechen. Beweist das Lukaskrankenhaus, dass die Schwarz-Rote Regierung es nicht einhalten konnte?

Eigentlich gibt es für KRITIS eine Strategie: 2015 verabschiedete die Regierung das IT-Sicherheitsgesetz und damit auch eine zentrale Meldestelle für Unternehmen kritischer Infrastrukturen. Bis Ende diesen Jahres müssen alle Betreiber von KRITIS demnach in der Lage sein, die Sicherheitsprobleme an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Kurzum: Das IT-Sicherheitsgesetz greift, aber es greift zu kurz

Zudem arbeiten Vertreter und Experten der verschiedenen KRITIS-Sektoren daran, verbindliche „branchenspezifische Sicherheitsstandards“ zu formulieren. Kritiker werfen dem vor: Solche Standards würden den Kern der digitalen Bedrohung nicht treffen. Zu schnell würden sie von der Wirklichkeit überholt, zu langsam würden die Unternehmen die Regeln umsetzen. Das hatte zuletzt etwa die weltweite Infektion mit WannaCry gezeigt. Zahlreiche Unternehmen in Deutschland infizierten sich nur deshalb, weil sie eine alte Version von Windows benutzten, für die es keine regulären Sicherheitsupdates mehr gab.   

Bei Krankenhäusern greift die Meldepflicht generell nur unzureichend. Sie betrifft nur sehr große Einrichtungen. IT-Experte Flemming schätzt, dass nur 100-120 (von insgesamt 2000) Krankenhäuser darunter fallen. „Damit sind vor allem die großen Häuser in der Pflicht, die bereits heute mehr für ihre IT-Sicherheit tun können“, sagt Flemming. Die kleineren werden zwar mittelfristig nachziehen müssen, aber um die Vorgaben des BSI zu erfüllen, bräuchten die Krankenhäuser Geld.

Das aber fehlt an allen Ecken und Enden und wenn investiert wird, dann nicht in die IT-Sicherheit. Das Gleiche gilt für den deutschen Mittelstand: Der investiert nach wie vor wenig in die Sicherheit seiner IT-Systeme, obwohl sich die Angriffe auf mittelständische Unternehmen von 2015 auf 2016 verdoppelt haben. Kleinere Unternehmen sind angesichts zunehmender digitaler Bedrohung überfordert. „Es wäre eigentlich die Aufgabe des BSI, dem Mittelstand auf die Sprünge zu helfen“, erklärt ein hochrangiger Vertreter aus der IT-Sicherheitsbranche gegenüber WIRED. „Kleinere Unternehmen werden alleine gelassen. Im Vergleich zu großen Spielern, aus der Finanzbranche etwa, wissen sie bei einer Attacke nicht, wen sie anrufen sollen.“ Kurzum: Das IT-Sicherheitsgesetz greift, aber es greift zu kurz.

Statt Kommunikationswege auch für Bürger und kleine Unternehmen zu schaffen, ist die Regierung kürzlich mit Plänen zu neuer Überwachungssoftware und Entschlüsselung von Kommunikation außerdem in eine völlig andere Debatte um IT-Sicherheit übergetreten. Diese untergräbt Vertrauen eher, als dass sie es fördert. Stefan Heumann von der Stiftung Neue Verantwortung, die zu technologischem Wandel forscht, sagt: „Einerseits steht in der digitalen Agenda, dass Deutschland Verschlüsselungsland Nr. 1 werden soll, anderseits werden Gesetze erlassen, die es Sicherheitsbehörden erlauben, sich in Computer und andere Geräte einzuhacken.“ Dadurch besteht die Gefahr, dass die IT-Systeme insgesamt angreifbarer werden. Denn, wenn Polizei und Co. selbst zum Angreifer werden, müssen sie Sicherheitslücken horten und zulassen. Wie so einem Lukaskrankenhaus versichert werden soll, dass man alles für seine Sicherheit tut, ist fraglich.

Willkommen zu den WIRED Story Shots, unseren Denkanstößen zu den wichtigsten Fragen der Digitalisierung. Diesmal geht es um die Digital-Agenda 2017: In diesem Jahr endet sie nach drei Jahren Laufzeit. Aber wie weit ist Deutschland derweil gekommen? WIRED hat fünf Stichproben gemacht.

1. Deutsche Abiturienten können mehr, als nur mit dem Smartphone zu schummeln!
2. Ein Unternehmer versucht, das Dilemma des Glasfaserausbaus zu brechen

3. Warum Deutschland im Internet noch lange nicht sicher ist
4. „Ein wenig Digital reicht Deutschland nicht, um zum Silicon Valley aufzuholen“
5. Smart Cities in Deutschland: So digital sind unsere Städte wirklich

Jetzt WIRED Member werden und mit uns in die Zukunft starten!

Mit im Paket: 4 Magazin-Ausgaben im Jahr und der Member-Zugang zu exklusiven Inhalten auf WIRED.de sowie weitere Vorteile nur für Member.

Member werden