Die Gesellschaft für Informatik e.V. (GI) weist auf sicherheitskritische Versäumnisse bei Betreibern kritischer Infrastrukturen hin. Darüber hinaus fordert sie eine Abkehr vom digitalen Wettrüsten und eine auf das verantwortungsvolle und schnelle Schließen von Sicherheitslücken ausgerichtete Politik der Bundesrepublik Deutschland.

Berlin, 21. Dezember 2018 - Die Gesellschaft für Informatik nimmt die aktuelle Berichterstattung rund um schlecht gesicherte Wasser- und Kläranlagen zum Anlass, um auf die Notwendigkeit der Informationssicherheit bei Versorgungsunternehmen aufmerksam zu machen. Das seit 2015 gültige und von der GI ausdrücklich begrüßte "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" (IT-Sicherheitsgesetz) betrifft derzeit eine absolute Minderheit von Versorgungsanlagen in Deutschland, da in der "Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz" (BSI-Kritisverordnung) ein Schwellwert von 500.000 versorgten Einwohnern vorgesehen ist.

GI Junior-Fellow Tim Philipp Schäfers, der die Sicherheitsmängel mit aufgedeckt hat, sieht darin eine Schwachstelle der aktuellen Gesetzgebung: "Anlagen, die weniger als eine halbe Millionen Menschen versorgen, gelten nicht als kritische Infrastrukturen und müssen insoweit nicht die gesetzlichen Auflagen des IT-Sicherheitsgesetzes umsetzen, obwohl diese mitunter ebenfalls essenzielle Leistungen für die Gesellschaft erbringen. Da es bei kleineren Anbietern bisher in der Regel keine staatlich auferlegten Kontrollen gibt, haben manche Betreiber nicht einmal absolut grundlegende Sicherheitsmaßnahmen ergriffen."

Die GI fordert aus diesem Grund eine Senkung der Schwellwerte und stärkere Kontrollen in Bezug auf die Einhaltung gesetzlicher Vorgaben durch Behörden.

Prof. Dr. Hannes Federrath, Präsident der Gesellschaft für Informatik und IT-Sicherheitsexperte kritisiert in diesem Zusammenhang auch die allgemeine Ausrichtung der aktuellen Cybersicherheitspolitik Deutschlands: "Mit seiner aktuellen Cybersicherheitspolitik - etwa dem Aufstellen des Kommando Cyber- und Informationsraum der Bundeswehr, dem Ankauf von IT-Sicherheitslücken für Nachrichtendienste und der Schaffung der Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) - betreibt die Bundesregierung eine überwiegend offensive Cybersicherheitspolitik. Diese Maßnahmen und insbesondere das Offenhalten von IT-Sicherheitslücken, etwa in weitverbreiteten Betriebssystemen, schwächen die IT-Sicherheit massiv. Während einzelne Behörden, wie etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI), zu einer Stärkung der IT-Sicherheit beitragen, wird diese Leistung durch die Arbeit anderer Behörden untergraben."

Die GI fordert eine Abkehr von der derzeitig überwiegend offensiven Cybersicherheitspolitik und der Teilnahme am "digitalem Wettrüsten". Stattdessen ist eine Hinwendung zu einer verantwortlich-defensiven Cybersicherheitspolitik notwendig.

Bausteine einer neuen IT-Sicherheitsstrategie sollten der Aufbau eines unabhängigen Computer Emergency Response Teams (CERT), die Etablierung eines behördenübergreifenden Prozesses zum Umgang mit IT-Sicherheitslücken und das Vorantreiben internationaler Standards sein. Durch entsprechende Maßnahmen könnte letztlich eine Verschwendung von Ressourcen vermieden und eine nachhaltige Basis für den sicheren Betrieb von kritischen Infrastrukturen geschaffen werde

Über die Gesellschaft für Informatik e.V.
Die Gesellschaft für Informatik e.V. (GI) ist mit rund 20.000 persönlichen und 250 korporativen Mitgliedern die größte und wichtigste Fachgesellschaft für Informatik im deutschsprachigen Raum und vertritt seit 1969 die Interessen der Informatikerinnen und Informatiker in Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Gesellschaft und Politik. Mit 14 Fachbereichen, über 30 aktiven Regionalgruppen und unzähligen Fachgruppen ist die GI Plattform und Sprachrohr für alle Disziplinen in der Informatik. Weitere Informationen finden Sie unter www.gi.de.

Die GI-Mitglieder binden sich an die Ethischen Leitlinien für Informatikerinnen und Informatiker der Gesellschaft für Informatik e.V.:
https://gi.de/ethische-leitlinien

*