„Safe Computing“ wie vor 30 Jahren

ZDNet: Microsoft-Chef Bill Gates hatte ja schon Anfang des letzten Jahres auf dem „Ersten Gipfel zur Sicherheit in der Informationsgesellschaft“ in München offiziellen Kontakt zur deutschen Politelite geknüpft.

Brunnstein: Wissen Sie, diese Veranstaltung war eine Farce. Ja, Betrug an der Öffentlichkeit. Ausgerechnet derjenige, der die Unsicherheit der Microsoft-dominierten IT-Welt verbockt hat, soll nun Gärtner für „sichere IT-Systeme“ werden. Darauf müssen natürlich Politiker, die ja von IT kaum etwas verstehen, hereinfallen. Und später am Abend in der TV-Sendung „Christiansen“ werden die fragwürdigen und unsicheren Thesen des Billie Gates von der Medienvertreterin nicht einmal hinterfragt. Ein Skandal!

ZDNet: Für solche wichtigen Fragen gibt es in Deutschland doch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Ansprechpartner.

Brunnstein: Der Anspruch des BSI, für die IT-Sicherheit insgesamt in Deutschland zuständig zu sein, ist lediglich eine gezielte Marketingaktion und nicht auf faktische Kompetenz – also Fachkompetenz wie Zuständigkeit – gestützt. Das BSI geht von seiner eigentlichen Aufgabe – die IT-Beratung für das Behördenwesen – ab und täuscht die Öffentlichkeit, weil es nämlich den Eindruck erweckt, es könnte alle anderen Bereiche des Wirtschaftslebens auch begreifen. Dem ist aber nicht so! Das Problem: BSI-Mitarbeiter sind Amtsräte. Beamte. Sicherlich sind auch Wissenschaftler darunter, exzellente Kryptographen sogar. Und weil sich das BSI auch für kritische Infrastrukturen und sensible wirtschaftliche Bereiche der Unternehmen interessiert, mutiert es zu einem trojanischen Pferd des Innenministeriums, um so an wichtige Informationen der Unternehmen heranzukommen.

ZDNet: Das klingt aber arg nach Verschwörungstheorie…

Brunnstein: Zugegeben, aber das BSI ist eine Einrichtung, die an Weisungen des Innenministeriums gebunden ist. Wenn das BSI seine Dienste nun Unternehmen oder nicht-staatlichen Organisationen andient, deren anders geartete Geschäftsprozesse aber nicht versteht, wirkt es quasi als Trojanisches Pferd. So ist das bekannte Grundschutz-Handbuch des BSI zwar durchaus geeignet, Sicherheitsdefizite von staatlich-bürokratischen Organisationen abzubilden. Jedoch ist diese Aufzählung von Schwachstellen in umfänglichen Aktenwerken – von Kritikern zutreffend als „Schrankware“ bezeichnet – für stark veränderliche Unternehmensorganisationen ungeeignet, zumal bessere – an Prozessen orientierte – Rahmenmodelle existieren.

ZDNet: Wissen denn die involvierten Unternehmen um die Funktion des „Trojanischen Pferdes“?

Brunnstein: Ich gehe davon aus. Dort ist genügend Kompetenz vorhanden, um das Spiel zu durchschauen. Obwohl die Kontakte zwischen Vorstandsvorsitzenden oder Geschäftsführern mit dem BSI, Ministerium und Staatssekretären nicht unbedingt auf IT-Wissen basieren. Mit dem BSI versucht man jetzt noch, wenigsten mit zahlreichen Veranstaltungen und Sicherheits-Initiativen ein deutsches Dach über die wirtschaftliche Globalisierung zu spannen.

ZDNet: Schlechte Chancen für sichere Systeme?

Brunnstein: Die sind ganz minimal, weil an diesem Konzept ein Komitee von über 50 Firmen mitwirkt. In der Praxis weiß man schon ziemlich lange, dass das nicht funktionieren kann. Bei den Informatikern ist diese Einsicht allerdings noch nicht angekommen. Komitees entwickeln Dromedare mit 20 Höckern.