Domscheit-Berg: Wenn wir das Thema IT-Sicherheit nicht in den Griff bekommen, führt uns die digitale Transformation in eine Katastrophe
Wenn wir Security nicht von Anfang an mitdenken, fällt uns die Digitalisierung auf die Füße!
Daniel Domscheit-Berg betreut auf der DIGITAL X das Programm der Megatrend-Bühne „Security“. Im Interview erklärt der Sicherheitsexperte und Netzaktivist, warum wir Cybersicherheit komplett neu denken müssen, weshalb der Breitbandausbau eine wichtige Basis für resilientere Netze ist – und wie geteilte IT-Sicherheitsexperten den Fachkräftemangel beheben könnten.
Auf der DIGITAL X sind Sie Kurator für den Megatrend „Security“. Was hat Sie an der Aufgabe gereizt?
Ich habe mich Zeit meines Lebens mit den Themen Security und Netzwerksicherheit auseinandergesetzt – sowohl beruflich im Auftrag großer Firmen als auch als Aktivist. Und der Status quo ist leider so, dass der Sicherheitsaspekt in vielen Unternehmen immer noch unterschätzt wird. Das muss sich dringend ändern, andernfalls fällt uns die Digitalisierung früher oder später auf die Füße. Insofern finde ich die Kuratoren-Rolle auf der DIGITAL X besonders spannend, weil ich die Speaker so auswählen kann, dass die Gäste, die unsere Bühne besuchen, bestmöglich für das Thema Security sensibilisiert werden.
Was sind derzeit in Deutschland in puncto Security die größten Mankos?
Zum einen haben viele große Unternehmen wie Fluggesellschaften oder Banken das Problem, dass sie alte Legacy-Systeme betreiben, die sie aufgrund technischer Abhängigkeiten nicht ohne Weiteres abschalten können. Gleichzeitig finden sie aber nicht einmal ausreichend Fachpersonal, das solch alte Backend-Architekturen überhaupt noch versteht. Anstatt die Systeme zu modernisieren, baut man deshalb lieber neue Lösungen vorne dran, um das Alt-System per Schnittstelle für aktuelle Anforderungen kompatibel zu machen.
Zum anderen fehlen vor allem in kleinen und mittelständischen Unternehmen (KMU) die finanziellen Mittel, um Security-Fachleute zu engagieren und sichere Lösungen zu implementieren. Dazu kommt oft ein mangelndes Bewusstsein für das Ausmaß der Bedrohungslage und die drastischen Konsequenzen eines erfolgreichen Cyberangriffes. Fest steht: Wir stehen in Deutschland vor gigantischen Herausforderungen, um die digitale Transformation sicher zu gestalten.
Sie sind ein Verfechter von Security-by-Design. Was bedeutet das und wie können Unternehmen und Organisationen diesen Ansatz umsetzen?
Security-by-Design bedeutet, dass digitale Lösungen von vornherein sicher konzipiert sind. Die Idee ist also, Sicherheit immer von Anfang an mitzudenken, sowohl was das Design von IT-Produkten angeht als auch den Auf- und Ausbau von Unternehmensnetzen. Es hat sich extrem viel getan in der IT-Security im letzten Jahrzehnt und es gibt mit Security by Design and by Default oder auch Zero Trust Architecture neue und zeitgemäße Paradigmen für die Konzeption und den Aufbau von Systemen. Wir werden nicht umhinkommen, bestehende Strukturen aufzuräumen oder neu zu bauen. Der Mindestanspruch muss sein, vorhandene Lösungen besser abzusichern. Eine Lösung, um die dafür erforderlichen IT-Topkräfte und finanziellen Ressourcen in der Breite aufbringen zu können, könnte etwa sein, dass KMU innerhalb ihrer Branchen zusammenlegen und auf Ebene der Verbände IT-Profis anstellen, die dann allen Mitgliedern zur Verfügung stehen – sozusagen als geteilte Sicherheitsexperten. Ähnlich macht man das bereits im Rahmen des Cyber-Hilfswerks im Krisenfall.
Immer mehr Unternehmen lagern Lösungen und Infrastrukturen in die Cloud aus. Wie sehen Sie diese Entwicklung?
Die zunehmende Cloudifizierung ist per se nichts Schlechtes. Klimatechnisch gesehen ist es sogar sehr sinnvoll, wenn nicht mehr jedes Unternehmen eigene Server betreibt. Denn die sind oft kaum ausgelastet, verbrauchen aber dennoch viel Strom. Wir müssen aber auch bei der Cloud resilientere Infrastrukturen schaffen, weil der Weg zur Katastrophe eben sehr kurz ist. Dafür benötigen wir zum Beispiel dezentrale Rechenzentren, die die Rechenleistung auf viele kleine Einheiten verteilen, anstatt sie zentral an einem Ort zu bündeln, was natürlich flächendeckend leistungsfähige Glasfasernetze und mehr Internetknotenpunkte erfordert. Im Kleinen gibt es sowas schon: In Dresden betreibt ein lokaler Cloud-Anbieter ein Rechenzentrum mit zahlreichen Rechnern in den Kellern von Wohngebäuden. Die Abwärme kommt den Wohnungen zugute und senkt die Heizkosten der Mieterinnen und Mieter.
Problematisch sind außerdem Monokulturen, nicht nur in der Landwirtschaft, sondern auch in der IT. Kurzfristige Effizienzgewinne gehen mit langfristig erhöhten Ausfallrisiken einher. Für eine nachhaltige IT-Sicherheitsstrategie benötigen wir stattdessen diverse und interoperable Systeme, um flexibler zu werden und auch die Abhängigkeit von US-Hyperscalern zu minimieren. Der aktuelle Trend, Quasimonopole bei Infrastruktur und Dienstleistungen immer weiter auszubauen, ist falsch und das Gegenteil von dem, was wir eigentlich brauchen, nämlich kleinere Einheiten. Wir müssen eine bessere Balance finden zwischen dem Risiko, „alle Eier in einen Korb zu legen“ und des ineffizienten oder unprofessionellen Betriebs bei zu kleinen Einheiten.
Technologie wird für Unternehmen, Behörden aber auch Privatleute immer mehr zur intransparenten Black Box. Welche Rolle spielt für Sie digitale Bildung? Welchen Beitrag kann die Telekom hier leisten?
Digitalkompetenz ist ein ganz wichtiges Thema, auch um Gefahren einzuschätzen und die Notwendigkeit von IT-Security zu erkennen. Die Basis für digitale Bildung und Souveränität müssen wir in der Schule legen – und verstehen, dass zu einer guten Bildung nicht nur Goethe und Schiller, sondern auch Informatik und Technik gehören. Und auch Lehrkräfte müssen wir dahingehend ausbilden. Die Deutsche Telekom Stiftung unterstützt Schulen in diesem Bereich schon sehr stark. Aber der Bedarf ist gewaltig und erstreckt sich ja auch auf den Rest der Gesellschaft, z.B. in Verwaltungen oder KMUs ist eine Versorgungslücke entstanden, die wir irgendwie überbrücken müssen. Am besten, indem wir uns alle gegenseitig helfen und sich jeder mit seinen Kompetenzen einbringt.
Braucht Deutschland ein neues Narrativ, um Cybersicherheit mehr in den Blickpunkt zu rücken?
Um die Vision einer sicheren, digitalen Zukunft, die uns Menschen nützt, anstatt uns zu schaden, zu realisieren, braucht es noch viel. So haben wir in Deutschland mit dem sogenannten „Hacker-Paragrafen“ immer noch ein Framing, das der Beseitigung von Schwachstellen im Weg steht. Denn das Aufdecken von Software-Lücken zum Wohle der Gesellschaft ist in Deutschland nach wie vor illegal. Das Ethical Hacking oder White-Hat-Hacking muss unbedingt entkriminalisiert werden, damit wir in der Sicherheitsforschung in Deutschland vorankommen. Außerdem muss Prävention für mehr IT-Sicherheit so selbstverständlich sein, wie das Händewaschen nach dem WC-Besuch – und zwar in der Breite der Gesellschaft, bei allen Menschen, die IT nutzen und insbesondere bei allen, die Entscheidungen über IT treffen, also auch im Top Management. Zu oft wird an der falschen Stelle gespart, weil der Nutzen guter Cybercrime-Prävention leider vielen Managern immer noch weniger einleuchtend erscheint als der Nutzen von Werbemaßnahmen zur Neukundengewinnung.
Bei all den offenen Baustellen: Glauben Sie an eine positive, digitale Zukunft?
Bei all den Krisen unserer Welt muss man ja Optimist sein, um nicht verrückt zu werden. Ich bin Optimist und will konstruktiv dazu beitragen, dass die vielen Weichen, die gestellt werden können, und die den Unterschied zwischen einer guten oder einer gefährlichen Zukunft machen, klug gestellt werden. Man darf dabei natürlich auch keinem Tech-Solutionismus verfallen und glauben, dass soziale Probleme in der Gesellschaft etwa mit Einsatz von KI auf magische Weise gelöst werden können. Aber Digitalisierung kann zur Lösung vieler – auch sehr großer – Probleme signifikant beitragen, von mangelnder gesellschaftlicher Teilhabe bis zur Klimakrise. Klar ist jedenfalls, dass eine gute IT-Sicherheit dafür sorgt, das gigantische Potenzial der digitalen Transformation auch zu realisieren, statt das glatte Gegenteil zu bewirken.