21.10.2014
IT-Gipfel

De Maizière fordert Ausbau von Branchenstandards

Bundesinnenminister Thomas de Maizière (CDU) hat die Wirtschaft dazu aufgerufen, branchenweite Standards im Rahmen des IT-Sicherheitsgesetzes zu entwickeln. „Weil die das besser können, als wenn der Staat das macht“, sagte de Maizière bei einer Vorabenddiskussion zum IT-Gipfel am Montag in Hamburg. Die Verantwortung für die Sicherheit im Internet liege bei allen Beteiligten. Eine hundertprozentige Sicherheit könne es aber nicht geben. Für die Wirtschaft könnten höhere Sicherheitsstandards auch ein Wettbewerbsvorteil sein – wie die Werbung für besonders sichere Autos bereits zeige.

Die Bundesregierung hat angesichts der wachsenden Gefahr durch Cyberkriminalität die IT-Sicherheit zu einem Schwerpunkt ihrer Arbeit gemacht. So will sie mit dem geplanten IT-Sicherheitsgesetz Mindeststandards zum Schutz elektronischer Geschäftsprozesse für sensible Branchen etablieren. Das Gesetz, das laut de Maizière im Dezember im Kabinett verabschiedet werden soll, konzentriert sich auf den Schutz kritischer Infrastrukturen. Zu diesen gehören neben der Energiewirtschaft sowie Medien- und Telekommunikationsdienstleistern auch Banken und Versicherungen.

„Rund eine Million Angriffe täglich“

Wie stark die Bedrohung im Netz angewachsen ist, verdeutlichte Thomas Kremer, Vorstandsmitglied der Deutschen Telekom. Sein Unternehmen hat ein Frühwarnsystem implementiert, das auf 180 sogenannten Honeypots basiert. Diese Geräte simulieren IT-Schwachstellen und ziehen so Angriffe auf sich. „Wir liegen bei rund einer Million Angriffen täglich, die wir über unsere Honeypot-Systeme erkennen“, sagte Kremer. Noch vor zwei Jahren habe die Zahl der Angriffe bei rund 15.000 im Monat gelegen. Der Zuwachs ginge vor allem auf das Konto der organisierten Kriminalität, die versuche, an Informationen aus den Unternehmen zu kommen.

Für die Versicherungswirtschaft genießt der Schutz der elektronischen Infrastruktur seit Langem höchste Priorität. Werner Schmidt, Mitglied des Vorstands der LVM Versicherung, erklärte IT-Sicherheit zur existentiellen Vertrauenssache: „Es geht um unsere Kundendaten“, sagte Schmidt. Die Versicherungswirtschaft gebe jedes Jahr vier Milliarden Euro für ihre IT und damit auch für die Sicherheit der Systeme aus. Bereits jeder zehnte Mitarbeiter arbeite im Bereich Informationstechnologie. Auch deshalb trieben die Versicherer die Entwicklung sicherer Technologien voran.

So habe der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) eine Lösung für eine sichere Cloud entwickelt, sagte Schmidt, der ebenfalls Vorsitzender des GDV-Zentralausschusses für Betriebswirtschaft und Informationstechnologie ist. Seit zwei Jahren arbeite der Verband daran, gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) eine Cloud zu zertifizieren. Die Trusted German Insurance Cloud (TGIC) hatte im März 2014 als erste das BSI-Zertifikat IT-Grundschutz der Cloud erhalten. Im Frühjahr 2015 soll auch die sogenannte Produktzertifizierung folgen.

Frühwarnsystem für IT-Sicherheitsvorfälle

Mit seinem Lage- und Krisenreaktionszentrum für IT-Sicherheit in der Versicherungswirtschaft (LKRZV) unterhält die Branche zudem seit 2010 eine etablierte Meldestelle, die als Frühwarnsystem für IT-Sicherheitsvorfälle fungiert. Es soll dabei helfen, Warnungen schnell weiterzugeben und Gefährdungen abzuwehren. Dabei arbeitet das LKRZV eng mit dem BSI zusammen. Ein ähnliches Meldewesen strebt de Maizière auch für andere Bereiche kritischer Infrastrukturen an. Dabei unterstrich er am Montag erneut, dass die Meldungen zumeist anonym für die Öffentlichkeit erfolgen sollen. „Uns kommt es ja nicht auf Bloßstellung an, sondern auf das Lagebild“, sagte de Maizière. Offene Meldungen solle es nur geben, wenn ein offener Schaden entstehe.

BSI-Präsident Michael Hange sprach sich unterdessen für eine weitere Verbreitung sicherer Kommunikation aus. „Was ich für wichtig halte, ist, die Verschlüsselung in die Fläche zu bringen.“ Mittlerweile seien 250 Millionen Schadprogramme im Umlauf. In Deutschland seien zudem mehr als eine Millionen Rechner infiziert und Teil von sogenannten Bot-Netzen. Dabei werden Computer von zumeist Privatpersonen mit Schadsoftware infiziert und ohne das Wissen der Besitzer für Cyber-Angriffe genutzt. Der Identitätsdiebstahl habe eine neue Qualität erreicht. Zudem gebe es immer mehr Wirtschaftsspionage. „Im Gegensatz zur Sabotage ist Spionage nicht so leicht feststellbar“, betonte Hange.

Was ist die Trusted German Insurance Cloud (TGIC)?

Die „Versicherungs-Cloud“ ermöglicht eine sichere elektronische Kommunikation zwischen Versicherungsunternehmen und Behörden sowie Geschäftspartnern über das Internet – unter Einhaltung höchster Sicherheitsstandards. Derzeit laufen die meisten Prozesse noch über das abgeschirmte GDV-Branchennetz, für das jeder Teilnehmer einen festen Anschluss braucht. Versicherungsunternehmen nutzen das GDV-Netz unter anderem zur Beantragung von Riester-Zulagen, zur Kfz-Zulassung oder zur Abwicklung von Schadensfällen. Neben Versicherungen sind deshalb auch die Riester-Zulagenbehörde, das Kraftfahrtbundesamt, die Straßenverkehrsämter, Rechtsanwälte und Autowerkstätten verbunden. Jährlich werden rund 175 Millionen Transaktionen abgewickelt.
 
Die TGIC löst das GDV-Branchennetz vorerst nicht ab, sondern ergänzt es um neue Anwendungsmöglichkeiten. Als erste Anwendung wurde Ende März die Weiterbildungsdatenbank (WBD) der Initiative „Gut beraten“ in die TGIC eingebunden.


Text: Henning Engelage

Mehr zum Thema:
>> Digitale Agenda: “Digitalisierung ist wichtiger Innovationsmotor”
>> IT-Sicherheit: Versicherungscloud erhält erstes staatliches Prüfsiegel