IT-Security

Digitale Souveränität ist unverzichtbar

GIT SICHERHEIT im Gespräch mit Dr. André Kudra, TeleTrusT

31.08.2021 - Dr. André Kudra ist Vorstandsmitglied des Bundesverbands IT-Sicherheit (TeleTrusT) – und als solcher u. a. zuständig für den Arbeitskreise „Secure Platform“. Letzterer hat kürzlich eine Handreichung herausgegeben, die sich mit Fragen der digitalen Souveränität Europas und der Schaffung eines europäischen IT-Ökosystems befasst. Matthias Erler von GIT SICHERHEIT befragte Dr. Kudra zu den Positionen und Handlungsempfehlungen seines Verbands

GIT SICHERHEIT: Herr Dr. Kudra, lassen Sie uns erst einmal ein wenig über Sie persönlich und Ihre Tätigkeit für TeleTrusT sprechen: Sie sind als Vorstandsmitglied zuständig für die Themenkomplexe Blockchain und „Secure Platform“ – geben Sie uns einen Eindruck von Ihrer Arbeit für den Verband?

André Kudra: Richtig, über die TeleTrusT-internen Workshops können alle Mitglieder Themen vorstellen, die bei entsprechendem Interesse weiter in Arbeitsgremien bearbeitet werden. „Blockchain“ habe ich 2016 vorgestellt, und „Secure Platform“ in 2019. Da haben sofort viele mitmachen wollen, wir haben für beide Themen schnell eine hochkarätige Truppe zusammenbekommen. Ich habe mich sehr gefreut, dass ich damit den richtigen Nerv getroffen habe. Das hat natürlich ungemein motiviert, sich stark im Verband zu engagieren. Damals war ich noch nicht im Vorstand, diese Ehre wurde mir dann Ende 2020 zuteil, als ich auf der Hauptversammlung gewählt wurde. Den Mitgliedern hat mein Engagement über die Jahre offenbar zugesagt. Heute ist mein Aufgabenbereich durch die Vorstandstätigkeit natürlich breiter, da sollte man mit allen IT-Security-Themen etwas anfangen können. Wir wollen als TeleTrusT relevante Impulse geben, damit das IT-Sicherheitsniveau deutlich besser wird.

Lassen Sie uns einmal mit der Secure Platform anfangen. Ihr Arbeitskreis hat kürzlich in einem Arbeitspapier auf den Punkt gebracht, dass digitale Souveränität in Deutschland derzeit „nicht gegeben“ sei. Diese Diagnose wird sicher kaum jemanden wundern – was sind die wichtigsten Gründe dafür?

André Kudra: In der Tat, von digitaler Souveränität kann man derzeit in Deutschland und Europa allgemein nicht ausgehen. Im Positionspapier haben wir speziell den Aspekt der Plattformsicherheit inklusive der untersten technischen Ebenen beleuchtet. Da wird einem schnell klar, dass wir in weiten Teilen sehr starke Abhängigkeiten zu nicht-europäischen westlichen und östlichen Technologieherstellern haben. Das gilt sowohl für technische Gerätschaften des täglichen Gebrauchs als auch Komponenten im Einflussbereich kritischer Infrastrukturen. Chipdesign und -fertigung passieren einfach nicht bei uns, zumindest nicht im Volumenbereich. Dabei wäre das Know-how dafür ja vorhanden. Chipfertigungsanlagen können wir bauen, sie stehen nur überwiegend nicht in Deutschland.

Funktionalität, Preis, Verfügbarkeit – letztlich Bequemlichkeit – schlagen in der Praxis des Nutzers und Kunden offenbar jedes Sicherheitsbedenken. Sehen Sie eine Sicherheitsspirale nach unten...?

André Kudra: Der angebliche Widerspruch hält sich hartnäckig, aber Bequemlichkeit und Sicherheit sind nicht wirklich so konträr, wie es oft scheint. Wir könnten aus Deutschland und Europa heraus genauso komfortable, skalierbare und sichere, weil souveräne IT-Stacks zur Verfügung stellen wie die Hyperscaler der ausländischen Big Techs. Aber die sind eben derzeit einfach da und leicht verfügbar. Bei einer echten Vollkostenrechnung und realistischen Risikobewertung sind sie nur vermeintlich kostengünstiger. Aber wenn man erstmal am Fliegenfänger hängt, dann ist die Wechselwilligkeit nur sehr begrenzt vorhanden. Allerdings gibt es inzwischen einige ernstzunehmende Bemühungen, deutsche bzw. europäische Alternativen zu schaffen. Man kann immer etwas tun, der technologische Wandel hält ja kontinuierlich an.

Geistiges Eigentum, also Geschäftsgeheimnisse, sind bedroht, China ist eine starke Gefährdung. Andererseits pflegen wir bedenkenlos digitale Kommunikation und generell gehören Digitalisierung und Offenheit von Systemen und Standards ja zusammen. Aber das ist kein unlösbarer Konflikt?

André Kudra: Die Situation von Plagiaten in allen Lebensbereichen ist wohl hinreichend bekannt. Man muss klar unterscheiden, wo Offenheit hingehört und wo wir unser geistiges Eigentum für internationale Wettbewerbsfähigkeit stark schützen müssen. Wir brauchen einen gesunden Wettbewerb, der zu Effizienz und Nutzerfreundlichkeit führt. Standardisierung schafft dafür die notwendigen Voraussetzungen. Wettbewerber kommen erst zusammen, um technische Normen zu schaffen. Dann konkurrieren sie in einem offenen, interoperablen Ökosystem mit ihren Angeboten. Der Anwender entscheidet sich für das passende, günstigste, oder beste. Und er kann jederzeit wechseln. So zumindest die Idealvorstellung.

Was sehen Sie die stärksten Gefahren mangelnder digitalen Souveränität? Sie ist ja in unser aller Interesse – gefährlich wird es ja, wenn Kritische Infrastrukturen, Krankenhäuser, etc. betroffen sind?

André Kudra: Ich halte die Erlangung von digitaler Souveränität für unverzichtbar! In der IT-Security haben wir ja die berühmte CIA-Triade, Confidentiality, Integrity, Availability, also Vertraulichkeit, Integrität, Verfügbarkeit. Bisher haben die ganzen gehackten Systeme meist „nur“ zu Datenabflüssen geführt oder die Verfügbarkeit von Daten oder unkritischen Funktionalitäten war zeitweise eingeschränkt. Spannend und unter Umständen lebensgefährlich wird es, wenn wir von der Sphäre „Security“ zur „Safety“ übergehen. In letzterer geht es um physische Unversehrtheit. Unerwünschte Wechselwirkungen können fatal sein, ein Beispiel: Security wird zu Safety, wenn ein Fahrzeug mit Autopilot-Funktion gehackt und ferngesteuert auf den Fußgängerweg gelenkt wird. Im Gesundheitswesen oder der Energie- und Wasserversorgung gibt es noch plakativere, beängstigendere Beispiele mit Massenwirkung. Im Risikomanagement gibt es die geflügelte Betrachtung von „Blood, Money, Name“. Bisher haben wir es überwiegend mit finanziellen oder Reputationsverlusten zu tun, mit Leib und Leben wollen wir definitiv nicht spielen.

Nun stellt sich die Frage, wie wir da wirklich rauskommen wollen – Sie halten zunächst einmal eine Stärkung der deutschen, oder jedenfalls der europäischen Rolle für wünschenswert?

André Kudra: Meine ganz bewusste Position: Ich wünsche mir schlichtweg einen „Airbus-artigen“ Willen. Man muss die notwendigen politischen und erforderlichenfalls auch regulatorischen Impulse setzen. Gezielt investieren und gewisse grundlegende Kapazitäten einfach wieder aufbauen. Die Käuferseite entsprechend incentivieren, oder sogar mandatieren. Gerade staatlichen Abnehmern kommt eine besondere Vorbildfunktion zu.

Es gibt ja die Gaia-X-Initiative, die genau dies anstrebt? Wie ist hier der Stand der Dinge – und welche Rolle nehmen Sie als TeleTrusT hier ein?

André Kudra: Gaia-X ist eine beherzte Initiative, ein europäisches IT-Ökosystem zu designen und zu kreieren. Zahlreiche TeleTrusT-Mitglieder sind daran aktiv beteiligt, wie auch diverse weltbekannte Unternehmen aus dem fernen Westen und Osten. Das Vorhaben ist überwiegend konzeptionell gestartet und geht jetzt sukzessive in die Umsetzung von Open-Source-Komponenten. Die tatsächliche Wirksamkeit bleibt noch abzuwarten und die echte Unabhängigkeit ist aufgrund der beteiligten ausländischen Player eher fragwürdig.

Das Fernziel „sicheres IT-Ökosystem“ kann offenbar nur durch erhebliche Kraftakte erreicht werden. Hier sind ja neben Politik und Behörden genauso auch die Industrie sowie IT-Dienstleister und -Hersteller angesprochen. Welche Handlungsempfehlungen haben Sie hier?

André Kudra: Zum Glück wurde der Kraftakt ernsthaft begonnen! Die Umsetzung von wichtigen Projekten von gemeinsamem europäischem Interesse, englisch Important Projects of Common European Interest, abgekürzt als IPCEI, ist vielversprechend. Tatsächlich wird in höchsten politischen Kreisen jetzt davon gesprochen, dass Halbleiter das neue Erdöl sind. Das ist sehr erfreulich, und noch mehr die Ankündigung, dafür Unterstützung in Milliardenhöhe zur Verfügung zu stellen. Vielleicht erleben wir jetzt tatsächlich Industriepolitik à la Airbus, mit den richtigen Auswirkungen für alle Stakeholder.

Auch das Verhalten und die Awareness der Nutzer-, Käufer, Unternehmen ist entscheidend...- wobei Sie hier auch einen verbesserten Zugang gerade von KMU zu Förderprogrammen anmahnen?

André Kudra: Die Awareness ist bei vielen Entscheidungsträger inzwischen schon da, schließlich gibt es ja praktisch täglich medienwirksame „Einschläge“ in die Sicherheit der IT. Das tatsächliche Verhalten ist aber immer noch von einer gewissen Ohnmacht geprägt. Hier muss das Bewusstsein reifen, dass man tatsächlich etwas tun kann und die Abhängigkeit nicht unendlich ist. Die gezielte Förderung von KMU gehört für mich zu einem stimmigen Gesamtpaket dazu. Sie sollten souveräne Digitaltechnologie einfach beschaffen und nutzen können und dafür auch Unterstützung als Anschub erhalten. Bis zu einem gewissen Grad halte ich auch gesetzliche Verpflichtungen für die Verwendung „sicherer Technologien“ für angemessen. Das kann über die klare Definition erfolgen, was als „Stand der Technik“ gilt. TeleTrusT-Experten waren hier einmal mehr die Pioniere und haben eine Handreichung dazu erstellt. Diese wird kontinuierlich aktualisiert und genießt über die Landesgrenzen hinaus hohes Renommee.

Sie wünschen sich, dass Unternehmen ihre Bewertungskompetenz stärken – was muss hier aus Ihrer Sicht anders werden?

André Kudra: Bei der heutigen Komplexität ist schwer zu durchschauen, ob im System etwas nicht stimmt und kompromittierende Faktoren enthalten sind. Das gilt gleichermaßen für Hardware und Software. Von Anwendern und Entscheidungsträgern kann man keinesfalls erwarten, dass sie komplexe Systeme verstehen oder die Sicherheitsaspekte genau bewerten können. Das fällt sogar auch Spezialisten manchmal schwer. Ein Käufer muss zudem genau wissen, welches Problem er lösen will. Er kann nicht einfach „IT-Security“ kaufen. Wer als Branchenvertreter seine Kunden auf den alljährlichen Szenetreff, die weltbekannte Fachmesse it-sa, mitnimmt, der muss ihnen ein guter Reiseführer sein. Die Angebote sind so vielfältig, dass es versierter Experten mit echtem Durchblick bedarf. Die haben wir bei TeleTrusT, und sie stellen ihre Expertise gerne zur Verfügung. Ansonsten steht noch aus, dass unsichere Produkte einfach hierzulande gar nicht verkauft werden dürften. Dazu bedarf es vergleichbarer Kriterien und Standards oder auch Zertifizierungen.

Herr Dr. Kudra, Sie befassen sich ja auch, wir erwähnten es eingangs, mit der Blockchain-Technologie. Sehen Sie hier im Bereich der digitalen Identität einen wichtigen Anwendungsbereich?

André Kudra: Der ganze Themenkomplex „Blockchain“ hat für eine gewisse Zeit ungesunde, stellenweise quasi-religiöse Züge angenommen, von denen ich mich eindeutig distanziere. Auch viele der radikalsten Blockchain-Jünger haben zwischenzeitlich erkannt, dass Blockchain nicht die Lösung für alle Probleme ist. TeleTrusT ist insgesamt ein klarer Gegenpol zu dem „Blockchain ohne Sinn und Verstand“-Paradigma. In der Arbeitsgruppe haben wir von Anfang an die Identitäts-Perspektive eingenommen. Dieses Thema ist global inzwischen als Self-Sovereign Identity, kurz SSI, bekannt. Der Nutzer steht im Mittelpunkt und hat die Kontrolle über „seine“ Daten. SSI ist ein immenser Digitalisierungs-Beschleuniger und stärkt drastisch die Position der Nutzer bzw. Bürger. Gute Gründe für das ungeahnte SSI-Momentum, das wir aktuell erleben, besonders in Deutschland. Als Beispiele sind das vom BMWi geförderte Projekt IDunion oder die vom Bundeskanzleramt initiierte SSI-Pilotreihe zu nennen. Bei SSI muss man ins Detail schauen, woher der Blockchain-Gedanke rührt. Es beruht auf einem verteilten System, dem Distributed Ledger, mit einem hochgradig effizienten Synchronisationsmechanismus. Das hat nichts mit energievernichtenden Blockchains zu tun, die man aus der Kryptowährungswelt kennt. Bei denen kann man, zumindest ich, nicht guten Gewissens von Zukunftsfähigkeit reden. Heute gängige SSI-Verfahren benutzen ihr verteiltes Knotennetzwerk als hochverfügbaren und performanten Datenspeicher für die Bereitstellung vertrauensstiftender Daten, alle ohne jeglichen Personenbezug.

Welche Projekte und Aktivitäten gibt es hier bei TeleTrusT? Sie haben ja eine ­eigene Arbeitsgruppe dafür?

André Kudra: Wir führen gerade einen Reboot der Arbeitsgruppe durch. Das initiale Positionspapier ist immer noch inhaltlich relevant aber in Anbetracht der rasanten Entwicklungen ist ein Update angemessen. Der SSI-Fokus bleibt. Das ist ein expliziter Beteiligungsaufruf! TeleTrusT und alle Arbeitsgremien freuen sich über neue, aktive Mitstreiter.

Kontakt

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Chausseestr. 17
10115 Berlin
Deutschland

+49 30 40 05 43 10