Die letzten Monate verlaufen für IT-Verantwortliche in Anwenderhäusern ausgesprochen turbulent: Eine Sicherheitslücke jagte die andere und Heartbleed, der Sicherheits-Gau schlechthin, setzt dem Ganzen die Krone auf. Ist das der Preis, den die IuK-Anwendervertreter für das ständige Höher, Schneller, Weiter der IuK-Industrie zahlen müssen? Welche Rolle spielt dabei die Legislative?

Jürgen Renfer, Head of IT bei einem Anwenderunternehmen und Mitglied des deutschen CIONET Advisory Boards, hat sich diesen Fragen gestellt und erinnert sich: “ In Folge von DigiNotar war plötzlich eine komplette nationale PKI im Eimer, Hard- wie Software-Hersteller flicken massenhaft offene Scheunentore in ihren Produkten, von Snowden’s NSA-Enthüllungen und vielen anderen Episoden sowie dem Aufwand fürs Ausrollen andauernder Sicherheitskorrekturen ganz zu schweigen.” Für ihn sind das keine „Bugs“ mehr, sondern schlicht kardinale Fragen zum Verständnis der IuK-Industrie hinsichtlich Qualitätsmanagement ihrer Produkte. Gibt es eine andere Branche, die sich so etwas leisten darf? Vielleicht ein Automobilhersteller, dessen Zweikreis-Bremsanlagen in Serienfahrzeugen plötzlich massenhaft total ausfallen? Und wie wäre dann die Reaktion der zuständigen Behörden, bspw. des Kraftfahrtbundesamts?
Scharnier oder Sandwich?
“Als CIOs sitzen wir an der Scharnierstelle zwischen Herstellern und Anwendern – und damit derzeit im Sandwich! Wer soll und will die CIOs verstehen, die jetzt konkrete Folgen der Heartbleed-Botschaft in die Unternehmen tragen mussten? Solange es “nur” um Kosten geht, ist das noch zu “managen”. Aber bei der grundlegenden (Unternehmens-)Sicherheit ist die rote Linie jetzt wohl endgültig überschritten. Hier geht es um die Reputation – von betroffenen Unternehmen, die das fehlerhafte Produkt oder damit verbundene Services nutzten einerseits und der IuK-Branche, die ebensolche anbieten andererseits.” stellt Jürgen Renfer klar. “Der herkömmliche Umgang mit QS-Methoden stößt an harte (Haftungs-) Grenzen. Was können wir CIOs als Anwender(-Unternehmensvertreter) tun? Aus meiner Sicht hat die große CIONET-Community genügend Potential, ihre Stimme jetzt kräftig zu erheben. Gegen zugelieferte IT-Produkte und -Services unzureichender Qualität. Für einen Dialog zu ausgewogenen und partnerschaftlichen Wegen mit den Herstellern in das digitale Zeitalter.“

Für mehr Informationssicherheit – Play IT fair
Es kann und darf nicht länger sein, dass selbst namhafte Hersteller Warnmeldungen aufgrund beachtlicher Sicherheitslücken nach eigenem Ermessen herausgeben, um Problemlösungen – falls überhaupt – zu beliebigen Konditionen oder Zeitpunkten anbieten zu können. Wo bleibt die Produkthaftung des Verursachers? Wie ist die Beweislast verteilt? Leidtragende sind derzeit CIOs und IT-Entscheider. Sie sind verpflichtet, ihre Unternehmen vor Schaden zu bewahren und eklatante Sicherheitslücken zu vermeiden oder zumindest schnellstmöglich nach Bekanntwerden zu schließen. Mit oder ohne Hilfe des Verursachers, notfalls bis hin zum folgenreichen Produktwechsel. Schon aus Haftungsgründen. “Wir können nicht einfach immer auf den nächsten Dienstag hoffen, einmal pro Monat.“ spielt er die gängige Praxis an. „Deshalb sind alle Hersteller gefordert: Play IT fair.” fordert Jürgen Renfer und fügt hinzu: “Gefordert sind natürlich auch wir, die IT-Verantwortlichen der Unternehmen, um Schaden und Kosten für die Behebung der ständigen Sicherheitsvorfälle abzuwenden. Dabei kann die gebündelte Stimme eines breiten Netzwerks wie CIONET helfen. Im Dialog mit den Herstellern. Auf europäischer Ebene. Die Zeit scheint dafür jetzt reif.”
Legislative, Hersteller und Anwender müssen an einen Tisch
Die globalen Produktströme der IuK-Branche führen zu vielfältigen Verflechtungen und hoher Produktkomplexität. Die Geschichte lehrt, dass selbst einvernehmlich akzeptierte „Spielregeln“ spätestens zur Durchsetzung supranational anerkannte Regulative bedürfen. Für Jürgen Renfer ist es deshalb höchste Zeit, nicht nur den Dialog zwischen Herstellern und Anwendern zu suchen, sondern unter Einbeziehung der Legislative einen Trialog zu entwickeln. Nur so besteht in seinen Augen eine Chance, die Situation bald in den Griff zu bekommen. “Als großer europäischer Verband von CIOs aus Anwenderhäusern, die wiederum breite Anwenderinteressen repräsentieren, können wir als CIONET gemeinsam genügend Wirksamkeit entfalten, anwenderfreundliche Entscheidungen bei der IuK-Branche und bei Regierungen zu platzieren: Ein runder Tisch wäre zum Start gut geeignet.” empfiehlt er.
Dabei sieht er im Einstieg auf EU-Ebene den richtigen Weg, Dort können allgemein anerkannte Grundwerte aus der analogen Welt wie das Post- und Telegrafengeheimnis (digitale Kommunikation), die Unverletzlichkeit der Wohnung (digitale Daten) und der Schutz des Eigentums (digitale Sicherheit) verlässlich und dauerhaft in die digitale Welt übertragen werden. Anwender(häuser) benötigen letztlich geeignete Werkzeuge zur wirksamen Durchsetzung ihrer digitalen Souveränität. “Beispielsweise will gut überlegt sein, wie eine EU-weit geplante Meldepflicht bei Sicherheitsvorfällen zu gestalten ist. Nehmen wir den Heartbleed-Gau: wer müsste was melden? Das Beispiel zeigt, dass ein ausbalanciertes Verursacherprinzip von Nöten ist. „Nicht nur beim letzten, sondern bei allen Beteiligten bis zum ersten Glied der Kette ist das Maß der Verantwortung zu klären” stellt Renfer klar.
Eine aktive Platzierung der Anwenderinteressen lassen passende Initiativen zur Digitalen Agenda der Europäischen Kommission zu, so bspw.:
– Netzwerk- und Informationssicherheit
– Web-/Cyber-Sicherheit
– Informationsplattform zu Sicherheitsempfehlungen
Damit es nicht nur bei Worten bleibt, sondern auch Taten folgen, treffen sich auf Initiative von Jürgen Renfer und Tobias Frydman (Gründer CIONET in Deutschland) Vertreter des deutschen CIONET Advisory Boards anlässlich CIO CITY 2014 in Brüssel mit der Verantwortlichen für die europäische Cybersecurity Strategie und für die Direktive für Netzwerk- und Informationssicherheit der europäischen Kommission zu einem ersten Austausch.
Sind Sie bereit zur Mitwirkung am Trialog?
Dann nehmen Sie Kontakt zu uns auf: tobias.frydman@cionet.com