Zukunft der IT-Sicherheit
Digitale Souveränität erfordert Offenheit
Wenige Themen beschäftigen Unternehmen derzeit so sehr wie die IT-Security. Allerdings ist auch klar, dass IT-Sicherheit gesamtgesellschaftlich immer mehr an Relevanz gewinnt. Doch IT wird immer komplexer – wie also kann sich die digitale Souveränität überhaupt noch gewährleisten lassen?
Ob Automobil-, Energie- oder Finanzsektor: Informationstechnik durchdringt zunehmend alle Bereiche des Lebens. Gleichzeitig werden Sicherheitslücken, die sich durch globalisierte Produktionsketten von geschlossenen Hard- und Softwarekomponenten ergeben, immer schlechter kalkulierbar. Zu diesem Ergebnis kommen IT-Sicherheitsexperten des Karlsruher Instituts für Technologie (KIT), des Fraunhofer Instituts für Sichere Informationstechnologie, von Fraunhofer Singapur, der Hochschule Rhein-Main und der Technischen Universität Berlin. Doch die Experten bieten auch eine Lösung: In einem jetzt vorgelegten Arbeitspapier zur digitalen Souveränität schlagen die Autoren vor, alle Produktionsschritte in der Lieferkette von IT-Produkten transparent zu machen – von der Software bis hin zu den Werkzeugen in Chip-Fabriken.
„Informationstechnik ist allgegenwärtig. Aber es besteht die Gefahr, dass diese Systeme von außen abgeschaltet oder manipuliert werden können und dass Daten unbemerkt ausgelesen oder gegen die Nutzer verwendet werden“, sagt Arnd Weber, Experte für IT-Sicherheit vom Institut für Technikfolgenabschätzung und Systemanalyse (ITAS) des KIT und Koautor des Papiers. Wie fragil die Sicherheit digitaler Infrastrukturen ist, führen uns immer wieder Cyberangriffe wie WannaCry, gravierende Sicherheitslücken wie Meltdown und Spectre in Prozessoren, spähende „Trojanische Pferde“ oder Blockaden von Servern wie Mirai und der vor einiger Zeit bekannt gewordene Angriff auf die IT-Infrastruktur der deutschen Bundesregierung eindrucksvoll vor Augen.
Dabei ist mangelnde Transparenz laut den Autoren ein zentraler Grund für die zunehmende Anfälligkeit von IT. „Viele Software- und Hardwareprodukte haben den Charakter einer Blackbox“, so Jean-Pierre Seifert, Mitautor und Leiter des Instituts für Softwaretechnik und Theoretische Informatik an der TU Berlin. Dies sei eine Bedrohung für die Sicherheit jedes Einzelnen wie auch für ganze Wirtschaftszweige, die auf zugelieferte IT-Technik angewiesen sind. Auch Nationalstaaten müssten um die Sicherheit ihrer zunehmend digitalisierten Infrastruktur fürchten. Es geht auch nicht mehr nur um den Schutz sensibler Unternehmensdaten: Security-Probleme können direkte Auswirkungen auf Leib und Leben haben, etwa bei IT in der Energieversorgung oder in Automobilen. Nicht zuletzt begrenzt die Konzentration der Herstellung von Informationstechnik in den USA und in China die Wertschöpfung in Europa.
Öffnung der gesamten Wertschöpfungskette
Theoretisch gäbe es die Möglichkeit, Sicherheitseigenschaften von Komponenten und Systemen zu zertifizieren. „Angesichts ihrer Komplexität, der schweren Analysierbarkeit von Hardware und der Patentrechte ist dies aber ein schwieriger Weg“, sagt Koautor Michael Kasper von der Fraunhofer-Gesellschaft. Jeglicher Versuch, alle Stufen der Wertschöpfung im IT-Bereich unter nationale Kontrolle bekommen zu wollen, wie dies etwa von China oder Indien angestrebt wird, würde am Kern des weltweiten Problems vorbeigehen, das sich Handelsnationen stellt. „Weit vielversprechender im Sinne digitaler Souveränität ist der Ansatz, nach Open-Source-Software, wie Linux und Android, auch Open-Source-Hardware zu bauen“, so Kasper. Dabei müssten auch alle verwendeten Werkzeuge zur Platzierung von Schaltkreisen auf Chips einen öffentlichen Quellcode haben.
- Digitale Souveränität erfordert Offenheit
- Open Hardware Communities
- Expertenkommentar: Sichere, offene IT-Wertschöpfungskette
- Hintergrund: Zum Projekt
Lesen Sie mehr zum Thema
