Secunet-Chef Rainer Baumgart "Wie früher im Wilden Westen"

Rainer Baumgart beliefert mit dem IT-Dienstleister Secunet die Bundesregierung. Im Interview fordert er strengere Vorschriften gegen Cyberangriffe und erklärt, warum die Maßnahmen der Digitalen Agenda nicht ausreichen.

  • Teilen per:
  • Teilen per:
Rainer Baumgart Quelle: Ingo Rappers für WirtschaftsWoche

WirtschaftsWoche: Herr Baumgart, das Bundeskabinett will am Mittwoch mit der Digitalen Agenda so etwas wie einen Masterplan beschließen, um den Rückstand von Deutschland im Internet aufzuholen. Reichen die geplanten Maßnahmen auch, um Unternehmen vor Cyberattacken zu schützen?

Baumgart: Die Maßnahmen können nur ein Anfang sein. Noch gibt es in Deutschland eine starke IT-Sicherheitsindustrie. Die Digitale Agenda der Bundesregierung muss aber dazu führen, dass diese Technologien auch eingesetzt werden. Und zwar nicht nur bei Behörden, sondern besonders auch in den Unternehmen bis hin zu Privathaushalten.

Fast täglich werden inzwischen Attacken von Geheimdiensten und Cyberkriminellen bekannt, die Unternehmen ausspionieren. Woran fehlt es konkret?

Viele Angriffe ließen sich abwehren, wenn die Betroffenen die vorhandenen Sicherheitstechniken konsequent installieren würden. Es gibt Unternehmen, die einen hohen Sicherheitsstandard erreicht haben. Aber die Mehrheit setzt IT-Sicherheitsprodukte, wenn überhaupt, nur als Feigenblatt ein. Die Verantwortlichen kaufen Firewalls und Virenschutzprogramme und meinen dann, ihre Aufgabe erfüllt zu haben.

Haben die Enthüllungen des ehemaligen NSA-Agenten Edward Snowden die Verantwortlichen in den Firmen nicht wachgerüttelt?

Das sehe ich bisher nur in Einzelfällen. Ein Sicherheitsverantwortlicher gibt ja kaum zu, dass er in der Vergangenheit schlechte Arbeit abgeliefert hat. Deshalb wird keiner ankündigen: Jetzt muss ich etwas tun. Die meisten sagen, sie hätten schon alles getan, und werden in Zukunft so weitermachen wie bisher. Aber das ist definitiv zu wenig. Auch in den Unternehmen gibt es nachweislich noch viele Sicherheitslücken, die schnell geschlossen werden müssen.

Zur Person

Das klingt doch sehr nach Eigenwerbung. Warum kaufen so wenig Unternehmen Ihre IT-Sicherheitslösungen, obwohl Sie mit der Bundesregierung eine hervorragende Referenz vorweisen können?

Ganz einfach, weil hohe Sicherheit immer etwas Mehraufwand bedeutet. Das fängt beim profanen Feuermelder und bei der Sicherheit der Aufzüge an und gilt erst recht für die IT-Systeme. Die Unternehmen müssen Regeln aufstellen und durchsetzen und gelegentlich auch hinterfragen, ob sie überhaupt noch vernünftig sind. Bei der IT-Sicherheit spielt nach wie vor die Funktionalität und der Komfort eine ganz wichtige Rolle.

Das heißt?

Jeder will mobil überall unter allen Umständen erreichbar sein. Natürlich soll es auch sicher sein. Aber schon bei den geringsten Einschränkungen – dass ich mich zum Beispiel ausweisen oder eine Chipkarte einlegen muss – heißt es sofort: Das geht ja gar nicht. Dann bin ich ja nicht mehr so schnell und flexibel wie vorher. Manager und Mitarbeiter gehen dann zu ihren IT-Verantwortlichen und weigern sich, das sichere Gerät zu nutzen. Die IT-Verantwortlichen sitzen dann zwischen Baum und Borke.

Welche Sicherheitsmaßnahmen die Unternehmen verstärken

Wollen Sie damit sagen, die deutschen Manager sind nicht auf der Höhe der Zeit?

Sagen wir’s mal so: Wir sind in Deutschland noch immer in der Phase des Missionierens. Und die wird so lange andauern, wie Unternehmen IT-Sicherheit auf freiwilliger Basis einrichten. Bei der IT-Sicherheit gelten heute so wenig Regeln wie früher im Wilden Westen. Sobald man etwas in die Sicherheit investiert, glauben manche Verantwortliche, es sei schon ausreichend, auch wenn sie ahnen, dass sie Sicherheit oft nur vorgaukeln und an der falschen Stelle sparen.

Die Bundesregierung hält in ihrer Digitalen Agenda am Selbstschutz als oberste Maxime für die Unternehmen fest. Auch künftig soll es nur ganz wenige Vorschriften geben. Und selbst die stoßen – wie die Meldepflicht bei Cyberangriffen – auf laute Proteste aus der Industrie. Kämpfen Sie gegen Windmühlen?

Ich bin davon überzeugt: Ohne Regulierung mit strengen Vorschriften und ihrer konsequenten Überwachung, dass sie auch eingehalten werden, wird es keinen Schutz vor Cyberangriffen geben. Schauen Sie sich andere gesellschaftliche Bereiche wie zum Beispiel das Gesundheitswesen an. Hält sich niemand an die Hygienevorschriften, würden sich sofort gefährliche Erreger ausbreiten. Bricht doch eine Epidemie aus wie jetzt bei Ebola, gibt es exakte Notfallpläne. Für das Internet und die IT-Techniken gibt es das alles nicht. Jeder kann machen, was er will. Der Anwender wird lediglich aufgerufen, Vorsicht walten zu lassen. Das ist so, als würden Sie ein Auto ohne Bremsen verkaufen und den Fahrer ermahnen, gut aufzupassen.

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%