Wie sicher sind unsere Daten?

Karl-Otto Feger vom Sächsischen Staatsministerium des Innern sensibilisiert über die Gefahren im Netz

„Schätzen Sie mal: Ab wie vielen Toten sitzt man auf einer KRITIS, einer kritischen Infrastruktur? Ab 2, ab 200, ab 2000?  Ich garantiere Ihnen, wenn es die Großen in ihren Netzwerken erwischt, dann sind die kleinen Versorger erst recht zu knacken. Jede Kommune, die eigene Stadtwerke oder Wasserversorger hat, ist besonders gefährdet. Sie werden nicht einmal merken, wie ein Schädling in ihrem Netzwerk die chemische Substanz des Trinkwassers für Zehntausende verändert ...“

Karl-Otto Feger nimmt kein Blatt vor den Mund. Der Referatsleiter des Sächsischen Staatsministers des Innern und CISO* des Freistaats Sachsen sorgt im KITU-Arbeitskreis „Strategie & Steuerung“ nicht nur für Erleuchtung. Einigen steht das Entsetzen ins Gesicht geschrieben. Karl-Otto Feger berichtet über das Sächsische Verwaltungsnetz SVN und das im Jahr 2015 verabschiedete E-Government-Gesetz. Beides hat dem Freistaat und seinen Kommunen ein vergleichsweise sicheres Datennetz und eine gesetzliche Grundlage für die weitere Entwicklung der IT in den öffentlichen Verwaltungen Sachsens beschert. Beides fehlt Sachsen-Anhalt. Ein Umstand, der verheerende Folgen für die Datensicherheit zwischen Arendsee und Halle haben könnte, wie Feger aus eigener leidvoller Erfahrung weiß.

In seinem Vortrag (Thema „Wie unsicher sind Ihre Daten?“) schlägt er im KITU-Arbeitskreis „Strategie & Steuerung“ den Bogen von der Historie über die Gegenwart und listet am Ende mögliche Auswege auf.

Je länger Feger redet und eine Folie nach der anderen an die Wand projiziert, desto stiller wird es im Raum. Zwischendurch ist manchem Kommunalverwalter das pure Entsetzen ins Gesicht geschrieben. Unausgesprochen wabert die Frage durch den Raum: „Mein Gott, was können wir tun, um uns zu schützen?“ Gott wird viel bemüht, von Feger und den beiden anderen Vortragenden. „Gott kann Ihnen da nicht helfen“, sagt Feger und zeichnet bildhaft die Entwicklung der letzten 50 Jah-
re nach: „Von 1968 bis heute ist die von Menschen produzierte Datenmenge gigantisch gestiegen.“ Die Menschheit erzeuge heute an einem Tag mehr Daten als in den 5.000 Jahren bis 2003 insgesamt entstanden sind. Und immer, wenn ein Mensch etwas aufschreibt, dann macht er auch Fehler. Software, so Feger, bilde da keine Ausnahme: „0,5 bis 3 Fehler pro 1000 ausgelieferter Codezeilen sind guter Schnitt. Das bedeutet: Windows XP hat mit ca. 40 Millionen Codezeilen rund 20.000 Fehler, Mac OS X bringt es bei 86 Millionen Codezeilen auf 43.000 Fehler und Debian 5.0 bei 320 Millionen Codezeilen auf 160.000 Fehler. Und jeder Fehler bietet Möglichkeiten zum Andocken von Schadsoftware.“

Jetzt kommt Karl-Otto Feger so richtig in Fahrt, jetzt kann er aus dem Nähkästchen plaudern:

Besonders alarmierend: „Allein im Februar 2016 wurden rund 5.000 professionelle Crypto-Trojaner wie Tesla-Crypt, Locky und andere abgewehrt.“ Immer häufiger werden Daten von den Servern öffentlicher Verwaltungen abgesaugt, es gibt Erpressungsversuche durch das Verschlüsseln wichtiger Daten und die permanente Gefahr, dass durch Manipulationen von außen Menschenleben in Gefahr geraten. Feger: „Vernünftige Schutzsysteme kosten sehr viel Geld. Ein aktuelles System zum Schutz vor hochentwickelter Schadsoftware kostet zwischen 800.000 und 1,2 Millionen Euro. Das kann sich keine Kommune leisten. Deshalb haben wir in Sachsen ein Landesnetz geschaffen und dies auch den Kommunen angeboten.“ Das Sächsische E-Government-Gesetz verpflichte die Kommunen und Gebietskörperschaften zu besonderer Sorgfalt.

Feger aber wollte seine Zuhörer am Ende nicht hoffnungslos zurücklassen: „Für jedes Problem gibt es eine Lösung.“ Und so schilderte er, wie sich Sachsen mit eigenen Sicherheitsprojekten schützt. Dazu gehören unter anderem APT**-Erkennung, die im E-Mail- und Internetverkehr hochspezialisierte Cyberangriffe aufspürt, Weiterbildungsveranstaltungen, um Mitarbeiter für die IT-Gefahren zu sensibilisieren, oder Forschungsprojekte wie „HoneySens“ mit der TU Dresden, durch das mit „Honigtöpfen“ Hacker aufgespürt werden sollen: „Das Wichtigste aber ist und bleibt der Mensch, denn 93 Prozent aller erfolgreichen Infektionen gehen auf menschliche Fehler zurück. Hier unvorsichtig einen Mailanhang geöffnet, dort naiv einen Stick in den PC gesteckt – und schon geschieht es. Still, leise, unbemerkt. Bis nichts mehr geht."