Selbstbestimmt und sicher in der digitalen Welt

Rede der Bundesministerin für Bildung und Forschung, Johanna Wanka, anlässlich der
Nationalen Konferenz IT-Sicherheitsforschung 2017 in Berlin

Bundesforschungsministerin Johanna Wanka eröffnet die Konferenz
Bundesforschungsministerin Johanna Wanka eröffnet die Konferenz © BMBF/Hans-Joachim Rickel

Es gilt das gesprochene Wort.

Sehr geehrte Damen und Herren!

IT-Sicherheit ist ein Thema, bei dem es sich lohnt, zu diskutieren und fortlaufend zu prüfen: Wo stehen wir und wo geht es hin? Das was Sie heute und morgen beraten, gibt für uns als Politik sehr wichtige Anregungen.

2016 war ein überaus erfolgreiches Jahr für Hacker und Cyberkriminelle – leider! Es gab berühmte Angriffe auf das Netzwerk der US-Demokraten oder hier in Deutschland auf die Deutsche Telekom. Weltweit aber auch national ist die Zahl der Angriffe enorm gestiegen. Das, was das Bundesamt für Sicherheit in der Informationstechnik feststellt, erreicht erschreckende Größenordnungen. Dabei geht es nicht nur um die Zahl der Angriffe. Große Unternehmen und kritische Infrastrukturen sind davon betroffen und Angriffe können sich auch gegen kleine Unternehmen oder etwa kommunale Krankenhäuser richten.

Der Schaden kann enorm sein und nachhaltig. Sechs Monate dauerte es beispielsweise, bis Ende letzten Jahres ein Cyberangriff auf Thyssenkrupp abgewehrt werden konnte. Ein infizierter Rechner hatte ausgereicht, um weit in sensible Systeme vorzudringen.

Geschätzt wird, dass der deutschen Wirtschaft jährlich etwa 50 Milliarden Euro Schaden durch Datendiebstahl, Wirtschaftsspionage oder Sabotage entstehen. Immerhin: Dank funktionierender Schutzmaßnahmen und IT-Experten bleiben zahlreiche Angriffe folgenlos. Jeder entdeckte und veröffentlichte Vorfall macht IT-Experten, Betreiber und Nutzer schlauer und sensibler – aber leider professionalisieren sich auch die Angreifer zunehmend. Jede Privatperson, jedes Unternehmen und Institution kann betroffen sein.

Die Bedrohungslage verschärft sich, je abhängiger wir von digitaler Technik werden. Deswegen müssen wir entschlossen handeln und potentielle Gefahren stetig reflektieren – ohne aber den Fortschritt zu hemmen.

Ein Schlüssel dafür: Forschung und Kompetenzbündelung. Denn die Prozesse sind schnelllebig: Immer neue Rechnerstrukturen, immer neue Formen der Angriffe – das, was heute als Schutz ausreicht, ist in zwei Jahren vielleicht völlig wirkungslos. Ein Beispiel von unserem Kompetenzzentrum CISPA: Forschern von der Universität Saarland ist es zusammen mit dem FBI und Europol gelungen, das bekannte Botnetzwerk „Zeus" final abzuschalten – durch eine abgestimmte, konzertierte Aktion zwischen Kriminalbeamten und Cybersicherheitsforschern.

In dieser Legislaturperiode haben wir drei strategische Meilensteine zur IT-Sicherheit in Deutschland gesetzt:

Der erste Meilenstein ist das IT-Sicherheitsgesetz, das wir im Juli 2015 verabschiedet haben. Das Bundesministerium des Innern hat mit dem IT-Sicherheitsgesetz zunächst bei großen Betreibern von kritischen Infrastrukturen Mindeststandards und Meldepflichten festgelegt. Aktuell werden circa 2.000 Unternehmen direkt dem Bereich der kritischen Infrastruktur zugeordnet. Hierzu zählen unter anderem Energieversorger, Banken oder Flughäfen. Diese Unternehmen müssen nun ihre Sicherheit fortlaufend überprüfen und Cyber-Attacken melden.

Das hilft dabei, ein viel aussagekräftigeres, belastbareres Bild von den tatsächlichen Vorfällen zu erhalten und auch gemeinsame Verteidigungsstrategien zu entwickeln. Aber: Auch Unternehmen, die nicht unter das Gesetz fallen, müssen sich wirksam schützen. Wir müssen die vielen kleinen und mittelständischen Unternehmen erreichen, die für IT-Sicherheit noch nicht genügend sensibilisiert sind.

Der zweite Meilenstein ist die Cyber-Sicherheitsstrategie für Deutschland, die wir im November 2016 veröffentlicht haben. Hiermit hat die Bundesregierung einen umfassenden Maßnahmenkatalog für IT-Sicherheit entwickelt und diesen mit Forschern, Bundesländern, Verbänden und Wirtschaft abgestimmt. Sie werden uns sicherlich auf dieser Tagung auch Kritisches dazu ins Stammbuch schreiben. IT-Sicherheit ist nunmal ein fortlaufender Prozess.

Zentrales Element der Strategie ist: Fehlende Technologien durch Forschung zu entwickeln und notwendige Expertise durch Aus- und Weiterbildung aufzubauen. Die Maßnahmen liegen auf dem Tisch und müssen schnell umgesetzt werden.

Der dritte Meilenstein ist das Forschungsrahmenprogramm zur IT-Sicherheit, für das mein Haus die Federführung hat. Es bündelt, koordiniert und fördert die Erforschung und Entwicklung neuer Lösungen und Ansätze für Cyber-Sicherheit. Vor knapp zwei Jahren wurde dieses Programm vom Kabinett verabschiedet und läuft erfolgreich. Als Beispiele möchte ich nennen: Die drei Kompetenzzentren zur IT-Sicherheitsforschung in Darmstadt, Karlsruhe und Saarbrücken, das Nationale Referenzprojekt zur IT-Sicherheit in Industrie 4.0 „IUNO“ und die Schwerpunkte zur Forensik und zur sicheren Hardware. Auf diese guten Grundlagen bauen wir jetzt auf.

Lassen Sie mich die wichtigsten Schritte nennen, die wir jetzt einleiten:

Ein wichtiger Punkt ist die Stärkung der digitalen Souveränität. IT-Sicherheit ist eine globale Herausforderung und wir beobachten, dass einerseits die internationalen Kooperationen auch von IT-Sicherheitsforschern zunehmen, andererseits nationale Interessen an den unterschiedlichsten Stellen der Welt in den Vordergrund rücken – bis hin zu Protektionismus. In dieser Situation stellt sich die Frage nach der digitalen Souveränität Deutschlands neu. Dürfen wir uns noch länger damit zufriedengeben, dass wir von amerikanischen Firewalls, chinesischen Routern und anderem abhängig sind? Wie können wir Kernkompetenzen und Kerntechnologien der IT-Sicherheit bestmöglich in Deutschland und Europa bündeln?

Heute Morgen haben mir die Leiter der drei Kompetenzzentren für IT-Sicherheitsforschung ein Positionspapier zur Cyber-Sicherheit in Deutschland überreicht, das auch gleich auf der Konferenz von Herrn Waidner näher erläutert wird. Gleich an erster Stelle steht das strategische Ziel der „Digitalen Souveränität“ – mit einem „ja“ zu internationaler Kooperation und einem parallelen Ausbau eigener Kompetenzen und Technologien. Beides muss ineinander greifen. Das heißt: Forschung auf Augenhöhe.

Wir haben vor kurzem die Weiterentwicklung der Internationalisierungsstrategie der Bundesregierung vorgestellt. Hier wird deutlich, dass unsere Innovationsfähigkeit auf zwei Faktoren basiert: Erstens auf der Stärke unseres eigenen, sehr besonderen Bildungs-, Ausbildungs- und Wissenschaftssystems und zweitens auf unserer internationalen Aufgeschlossenheit und Kooperationsfähigkeit. Diese Eckpfeiler gelten auch für den IT-Sicherheitsbereich.

Ich möchte Ihnen dafür zwei Beispiele nennen:

Mit Frankreich, Finnland und Schweden haben wir uns zusammengeschlossen, um im Rahmen eines EUREKA-Projektes vernetzte, dezentrale Datenzentren in Europa zu ermöglichen. So können wir sichere und schnelle Dienste bereitstellen, wie sie für Industrie 4.0 oder das autonome Fahren benötigt werden. Bei Industrie 4.0 haben wir im Moment einen Wettbewerbsvorteil gegenüber dem Rest der Welt, dazu gehört aber, dass wir diese Fragen lösen. Und da reicht es nicht, wenn wir nur Deutschlands Stärke sehen, sondern wir müssen uns als Europa gegenüber USA oder China behaupten. Mein Haus fördert die deutschen Partner und auch die Partnerländer investieren. Damit kann Europa in diesem technologisch wichtigen Feld auf höchstem Niveau arbeiten und – was wir anstreben – eine international führende Rolle einnehmen.

Ein anderes Beispiel ist die Quantenkommunikation. Ein Zukunftsthema, bei dem andere Länder Ressourcen in der Forschung konzentrieren, zum Beispiel China. Auch wir wollen durch ein nationales Programm punkten und unsere Kompetenzen in der Quantenkommunikation weiter stärken. Mein Haus wird im Frühsommer eine neue Initiative zur Quantenkommunikation starten.

Zurückkommend zu den weiteren Vorhaben:

Wichtig ist die Forcierung von Unternehmensgründungen im IT-Sicherheitsbereich. Wir haben hier in den letzten Jahren einiges erreicht, aber es ist noch nicht genug. Wir müssen das Thema Startups generell weiter unterstützen – das liegt originär in der Federführung des Bundeswirtschaftsministeriums. Aus Sicht des BMBF ist an dieser Stelle der Bereich IT-Sicherheitstechnologie besonders wichtig. Deshalb wird mein Haus dafür ein eigenes Programm starten, um die Gründeraktivitäten an den Standorten der drei Kompetenzzentren zu stärken. Dazu gehören vor allem: eine passende Infrastruktur und eine noch bessere Vernetzung zwischen Universitäten, Forschungseinrichtungen und Unternehmen.

Weitere wichtige Fragen, die mich sehr beschäftigen, sind:

Wie kann der Transfer der Forschungsergebnisse in die Praxis noch besser gelingen? Wie kann man die Ideen und Lösungen aus dem IT-Sicherheitsbereich noch stärker in die Breite tragen, also gerade auch die mittelständischen Unternehmen noch besser erreichen? Wie können wir sicherstellen, dass es im IT-Sicherheitsbereich genügend Fachkräfte gibt?

Wir haben unsere Anstrengungen zur Aus- und Weiterbildung verstärkt: Die deutschen Universitäten und Hochschulen bilden inzwischen in großem Umfang aus. Außerdem wollen wir mit gezielter Aus- und Weiterbildung schnell diejenigen erreichen, die heute bereits in den Unternehmen und Verwaltungen arbeiten.

Aus diesem Grund fördert mein Haus die neue Initiative „Lernlabore Cybersicherheit“ der Fraunhofer Gesellschaft. An sechs Standorten in Deutschland bieten Fraunhofer-Institute gemeinsam mit Fachhochschulen praxisnahe Weiterbildung zu Themen wie Industrie 4.0, mobiler Sicherheit oder IT-Forensik an. Das erste Lernlabor haben wir vor kurzem in Görlitz eröffnet. Diese Lernlabore bieten Weiterbildung in ganz speziellen IT-Sicherheitsbereichen an, also zum Beispiel wird sich in Görlitz auf Cybersicherheit bei kritischen Infrastrukturen konzentriert und damit auf spezifisches Know-How für Chefs von Stadtwerken oder für beratende Ingenieure für Energieunternehmen. Also der Versuch, die neuesten Erkenntnisse aus der Forschung sehr schnell an eine große Zahl von Interessierten zu bringen.

Auf dieser Konferenz geht es nicht nur um den Schutz unserer Wirtschaft, sondern auch um das sichere und selbstbestimmte Agieren des Einzelnen bis hin zum Schutz unserer gesellschaftlichen Werte.

Die Forderung nach „Datensouveränität“ haben wir auf dem vergangenen IT-Gipfel bekräftigt. Hiermit wollen wir erreichen, dass Bürgerinnen und Bürger mehr Informationen und Transparenz bezüglich der Verwendung ihrer Daten bekommen und damit in die Lage versetzt werden, Entscheidungen über ihre Daten treffen zu können. Deshalb ist es auch notwendig, die Technik bereitzustellen, mit der diese Entscheidungen umgesetzt und der Verbleib der Daten dann kontrolliert werden können. Voraussetzungen, die wir mit Digitaler Bildung, der Umsetzung der EU-Datenschutzgrundverordnung und durchdachter IT-Sicherheitstechnologie erreichen wollen.

Wir brauchen einen sorgsamen Umgang mit Informationen und Daten. Denn wir wissen, dass im digitalen Zeitalter die mediale Kommunikation auch missbraucht werden kann, wie es zum Beispiel im US-Wahlkampf vermutet wird. Dies erfolgt auch automatisiert, mit intelligenten Maschinen wie den „Social-Bots“.

Damit dies nicht zur Bedrohung werden kann, müssen wir uns überlegen, wie wir damit umgehen und entsprechende Manipulationen frühzeitig erkennen können. Mein Haus fördert daher ein Projekt, in dem IT-Sicherheitsforscherinnen und -forscher gemeinsam mit Journalistinnen und Journalisten der Süddeutschen Zeitung und Spiegel Online untersuchen, wie verdeckte Propaganda im Internet aufgespürt und nachgewiesen werden kann. Im Fokus stehen neue Erkennungsmethoden auf technischer oder semantischer Ebene. Ich bin auf die Ergebnisse gespannt. Denn wenn wir solche Erkenntnisse haben, können wir auch einen Schritt weitergehen und funktionierende Abwehrmechanismen aufbauen. Dafür planen wir schon weitere Aktivitäten mit dem Fraunhofer Institut Darmstadt.

Wir brauchen gemeinsame Anstrengungen – von der Wissenschaft, Wirtschaft und Zivilgesellschaft –, um die Chancen der Digitalisierung zu nutzen, aber auch um die Risiken von Anfang an benennen zu können. Denn es führt auch zu Frust in der Bevölkerung, wenn immer nur die Chancen in den Vordergrund gerückt und die Risiken verschwiegen werden. Risikolos ist nichts im Leben – auch nicht im Netz, aber wir können die Risiken begrenzen.

Deshalb freue ich mich, dass so viele zur Konferenz gekommen sind, um sich über IT-Sicherheit auszutauschen. Ich freue mich auf Ihre Impulse, die wir in die Forschungsförderung aufnehmen können.

Ich wünsche Ihnen eine spannende Konferenz.