Frank Rieger weiß, wie man abstrakte und schwierige Dinge so erklärt, dass jeder sie versteht. Bei der IT-Sicherheit, sagt der Hacker und Sprecher des Chaos Computer Clubs (CCC), ist es, als würde man die Schlote der Industrie ungefiltert rauchen lassen wie früher und dazu Atemmasken an die Bevölkerung verteilen. Will also heißen: Man kuriert das Symptom, nicht aber die Ursache. Was natürlich sofort zu zwei Fragen führt: Was denn die eigentliche Ursache ist. Und wie sie sich beseitigen ließe.
Wie sich vermuten lässt, ist das alles andere als eine leichte Aufgabe, denn es geht darum, schlechte Software abzulösen durch bessere, bei der das Thema Sicherheit von Anfang an mitgedacht wurde und sozusagen schon im Programmcode steckt. Doch es dauert nicht bloß lange, all die gebräuchlichen Programme auszutauschen, die heute weltweit verwendet werden. Dazu braucht es auch Informatiker, die wissen, wie man sicher programmiert. Doch das, klagt Rieger, spiele an vielen Universitäten noch immer kaum eine Rolle.
Also müssen vorerst die Atemschutzmasken helfen. Und der Smog - um im Bild zu bleiben - ist dicht: Fünf Millionen Angriffe pro Tag zählt zum Beispiel der amerikanische Netzwerkausrüster Cisco auf die IT seiner weltweit etwa 150 000 Mitarbeiter. "Bei jedem hier im Raum passiert gerade etwas Ähnliches", sagt Uwe Peter, Geschäftsführer von Cisco Deutschland. Das Schlimme daran sei, dass die Zeit zu reagieren extrem kurz ist. Manuell lässt sich die Flut an Attacken längst nicht mehr bewältigen. Intelligente Schutzprogramme erkennen die Muster bösartiger Programme und filtern sie aus dem Datenverkehr heraus.
Nach dieser Methode arbeitet auch das Münchner Sicherheitsunternehmen Myra. Die Kunden des Unternehmens leiten ihren gesamten Internetverkehr zunächst auf die Server von Myra um. Dort werden alle Daten analysiert und die mutmaßlich schädlichen herausgefiltert, erzählt Firmenchef Paul Kaffsack. Die Kunden erwarteten schließlich, dass ihre kritische Infrastruktur permanent online ist.
400 000 neue Schadprogramme fluten das Netz jeden Tag, weiß auch Arne Schönbohm, der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Bisher mache man es den Angreifern zu leicht, glaubt er. So dürften Elektronikmärkte Handys verkaufen, die keine Sicherheitsupdates bekommen. Ja, auf einigen Geräten fand das BSI sogar vorinstallierte Schadsoftware. Das geplante neue IT-Sicherheitsgesetz soll dem BSI mehr Handhabe geben, dagegen vorzugehen.
Kaffsack wünscht sich darüber hinaus auch klare Regeln. "Für Häuser oder Brücken gibt es auch Sicherheitsnormen", sagt er, "dass bei uns eine Brücke eingestürzt ist, davon hat man schon lange nicht mehr gehört." Mit einer solchen DIN IT-Sicherheit könne dann Software mit Security by Design entwickelt werden. Immerhin, so hat er festgestellt, wächst mittlerweile das Bewusstsein für IT-Sicherheit. Budgets werden freigegeben.
Das liegt nicht zuletzt an den zahlreichen Angriffen auch auf deutsche Mittelständler mit Erpressungs-Software. Die Angreifer legen die IT eines Unternehmens lahm und geben sie nur gegen Zahlung eines Lösegelds wieder frei. "Das Risiko für eine Firma kann existenziell sein", sagt Cisco-Manager Peter. Nach Meinung von CCC-Sprecher Rieger ist dafür schlechte Software verantwortlich, die das zulasse.
Als Ausweg sieht Rieger den Umstieg auf Open-Source-Programme. Das werde zwar zehn Jahre dauern, "aber wir müssen endlich damit anfangen", denn: "Momentan bauen wir die Industrie 4.0 auf dem Treibsand alter Software." Aber kann das funktionieren? Ja, sagt Rieger. Der Internetkonzern Google habe kaum Sicherheitsprobleme, weil er darauf achte, von Grund auf sichere Software einzusetzen und weil er das Bewusstsein der Mitarbeiter dafür schärft.