Datensicherheit in Unternehmen: "Wir brauchen einen Airbus für die IT-Industrie"

Europa kann sich nur mit vereinten Kräften wirksam gegen Cyberattacken und Datenspionage schützen. Davon ist IT-Sicherheitsexperte Udo Helmbrecht überzeugt. „Wir brauchen in der IT-Industrie so ein erfolgreiches Projekt wie es Airbus in der Luftfahrt ist“, fordert er. Helmbrecht war viele Jahre Präsident des Bundesamtes für die Sicherheit in der Informationstechnik in Bonn. Seit 2009 leitet er die europäische Behörde Enisa. Helmbrecht glaubt nicht, dass nationale Strategien wie eine deutsche Cloud oder „E-Mail made in Germany“ eine sinnvolle Lösung sein können. „Deutschland hat eine starke Position auf den internationalen Märkten, aber am Ende brauchen wir europäische Dienste.“

Enisa ist die europäische Behörde für IT- und Netzwerksicherheit. Sie berät die EU-Kommission, die Mitgliedstaaten aber auch Unternehmen in Sachen Datensicherheit und Prävention. Die Behörde hat 70 Mitarbeiter und sitzt in Athen und Heraklion.

Helmbrecht ist selbst überrascht von dem Ausmaß der NSA-Affäre. „Dass andere Nationen Spionage betreiben, ist ja nichts Neues“, sagt Helmbrecht. „Aber in diesem Umfang hat das sicher niemand vermutet.“ Zwar habe bereits im Jahr 2007 Staatssekretär August Hanning gewarnt, dass deutschen Unternehmen durch Industriespionage jährlich ein Schaden von 20 Milliarden Euro entstehe. „Allerdings hat man damals vor allem Russland und China als Ursprungsländer in Verdacht gehabt“, sagt Helmbrecht. Problematisch sei zudem, dass nur die Fälle bekannt seien, die auch zur Anzeige gebracht werden. „Die Dunkelziffer ist sehr hoch.“

Die Politik muss handeln

Wenn es um Spionage geht, ist Enisa zwar außen vor. „Geheimdiensttätigkeit ist eine Frage der nationalen Souveränität, da dürfen wir uns als europäische Behörde nicht einmischen“, erklärt Helmbrecht. Innerhalb der Europäischen Union seien jedoch Länder wie Deutschland, Frankreich oder Großbritannien in Sachen IT-Sicherheit bereits ganz gut aufgestellt. Dass die NSA in Deutschland dennoch so erfolgreich spionieren konnte, sei kein Widerspruch, meint der Sicherheitsexperte. Das Problem sei das gleiche wie bei der klassischen Computerkriminalität. „Die Technik, sich zu schützen, ist vorhanden, sie wird aber nicht eingesetzt.“ Als Beispiel nennt er abhörsichere Handys. „Nur wenige geben 1700 oder 2000 Euro für ein abhörsicheres Gerät aus.“

Viele Beobachter beklagen, dass Europa sich in eine gefährliche Abhängigkeit begeben hat, weil es nur noch wenige IT-Konzerne gibt, die im internationalen Wettbewerb mitspielen. In Deutschland etwa werden schon lange keine Computer oder Mobiltelefone mehr hergestellt. Helmbrecht hält es jedoch für falsch, den Versuch zu unternehmen, diese Industrien hier wieder aufzubauen. „Wir müssen schauen, wo wir im zukünftigen Wettbewerb Boden gut machen können“, sagt er. „Unsere Stärke kann es sein, sichere Anwendungen und Dienste auf unsicheren Infrastrukturen anzubieten. Damit kann man viel erreichen.“ Als Beispiel nennt er die Autoindustrie: „Die Straßen mögen unsicher sein, aber wir haben Antiblockier- und Fahrerassistenzsysteme entwickelt, die das Fahren viel sicherer machen als noch vor zehn Jahren. So müssen wir das auch in der IT tun.“ Das Problem sei dabei oft nicht, die richtige Technologie zu entwickeln, sondern sie auch erfolgreich auf den Markt zu bringen. „Der neue Personalausweis ist ein wunderbares Beispiel dafür.“

Dabei könne auch die Politik mehr tun. „Wenn die Politik das gleiche Engagement, das sie in der Automobilbranche zeigt, in der IT-Sicherheitbranche entwickeln würde, dann wären wir erfolgreicher“, meint Helmbrecht. Oft würde gejammert, dass alle namhaften Internetkonzerne wie Google oder Facebook im Silicon Valley sitzen. „Aber da muss sich Europa an die eigene Nase fassen“, sagt er. „Warum machen wir es Start-ups in Europa so schwer, an Kapital zu kommen? Wir investieren große Summen in Forschung und Entwicklung, aber dann machen wir nicht den nächsten Schritt, daraus erfolgreiche Unternehmen zu machen.“

Das Internet wird nicht ernst genommen

Allerdings sei in den vergangenen Jahren auch auf europäischer Ebene schon einiges erreicht worden. Auch das Thema Datenschutz sei längst im Bewusstsein der Politiker angekommen. „Die Initiativen sind da, aber leider dauern die politischen Prozesse sehr lang“, konstatiert Helmbrecht. Schließlich sei es auch nicht einfach, die Verbraucher für das Thema Datensicherheit zu begeistern. „Denken Sie nur daran, was passiert, wenn ein Auto in einem Crashtest durchfällt. Dann hat der Hersteller ein Problem“, erläutert Helmbrecht. Aber niemand interessiere sich auch nur annähernd so sehr für Sicherheitstests von Smartphones. „Wir haben das Problem, dass wir die unsichtbare Technologie Internet nicht so ernst nehmen, wie wir das vielleicht sollten.“

Derzeit werde im Zuge der Network Information Security Directive gerade europaweit ein Meldesystem ähnlich wie im Gesundheitsbereich aufgebaut, wo Ärzte zum Beispiel Grippefälle melden, um erkennen zu können, ob es eine Epidemie gibt. „Wir wollen Daten sammeln über Sicherheitsvorfälle im Bereich kritischer Infrastrukturen, im Finanzwesen und in Kommunikationsnetzen“, sagt Helmbrecht. „Nur so bekommen wir endlich ein genaues Bild der Lage, um überhaupt politische Entscheidungen treffen zu können.“

Die Befürchtung, dass die Amerikaner womöglich ihre Macht nutzen und Teile des Internets lahmlegen könnten, hält der Sicherheitsexperte für Horrorszenarien, die wenig wahrscheinlich seien. „Wir leben in einem weltweit vernetzten Wirtschaftssystem, in dem wir alle voneinander abhängig sind.“ Am Ende hätten auch die Amerikaner mehr Schaden als Nutzen von so einer Aktion. „Schließlich verdienen Amazon, Google oder Facebook ja viel Geld mit den Europäern.“