"Da gibt es die Forderung, selbst von US-Stellen, dass man das komplette Schwachstellen-Business eigentlich austrocknen müsste, indem man so viel wie möglich Schwachstellen von staatlicher Seite aufkauft und dann diese entsprechenden Schwachstellen als freie Information unter einer Open-Source-Lizenz oder unter einer freien Lizenz der Community und der Welt zur Verfügung stellt", ...

Manfred Kloiber: ... berichtete Lukas Grunwald, Cheftechniker bei Greenbone Networks aus Osnabrück, auf der Sicherheitsmesse it-sa in dieser Woche in Nürnberg. Vor einem Jahr beherrschten noch Themen wie Einbruchsicherung in Systeme oder lernende Algorithmen zur Abwehr von Hacking-Attacken die Diskussion auf den begleitenden Konferenzen der it-sa. Das war in diesem Jahr anders. Diesmal beherrschten Sicherheitslücken die Diskussion auf dem Nürnberger Messegelände. Worum ging es da genau, Peter Welchering?

Peter Welchering: Jeder Hackingangriff, jede Virenattacke, jede Datenspionage beruht immer auf einer Sicherheitslücke, die ausgenutzt wird. Das ist in der bisherigen Diskussion über Angriffsvektoren und IT-Sicherheit zu kurz gekommen. Solche Schwachstellen oder Sicherheitslücken gibt es, weil Programmierer einen Fehler gemacht haben. Pro 1.000 lines of Codes 30, 40 Fehler oder weil bewusst - etwa auf Wunsch eines Nachrichtendienstes - Hintertüren in Programme eingebaut wurden, um hier nachträglich manipulieren zu können. it-sa ist gekennzeichnet von drei Forderungen: Wir brauchen ein besseres Schwachstellen-Management und zweitens: Wir brauchen Sicherheitsprodukte aus hiesiger Produktion, um die implementierten Schwachstellen von ausländischen Geheimdiensten ausschließen zu können. Drittens: Die eigenen Nachrichtendienste müssen besser kontrolliert werden, damit die nicht einfach Hintertüren und damit Schwachstellen wild einbauen lassen.

Kloiber: Es war also eine spannende Kongressmesse, die da von Dienstag bis Donnerstag in Nürnberg stattgefunden hat. Und dabei ist herausgekommen: Der Sicherheitsstandort Deutschland hat mit zahlreichen Problemen zu kämpfen. Ein effizientes Schwachstellenmanagement, um Sicherheitslücken in IT-Systemen schnell zu finden, und zu schließen, ist dabei nur eine der Herausforderungen, vor denen Unternehmen und Politik stehen.

"Früher war es so, dass Zero-Day-Exploits schnell veröffentlicht worden sind bei Universitäten, in öffentlichen Bereichen, um Firmen die Möglichkeit zu geben, dagegen entsprechende Gegensoftware dann auch zu bauen. Heutzutage sieht die Lage ein bisschen anders aus, da werden die Zero-Day-Exploits nicht notwendigerweise veröffentlicht, sondern sie werden verkauft an Geheimdienste, an Firmen, die damit sich einen Vorsprung sichern wollen in der Abwehr von Gefahren etc. Dahinter ist durchaus auch ein Markt, das heißt, es gibt Forschergruppen, die dort ihr Business-Modell so aufgesetzt haben, die solange forschen, bis sie ein Zero-Day-Exploit gefunden haben und das meistbietend auch verkaufen", ...

... sagt Gerd Rademann, der Chef der Sicherheitssparte von IBM in Deutschland. Und genau dieser Markt für Sicherheitslücken, der sich da seit gut zehn Jahren explosionsartig entwickelt hat, stellt eines der größten Sicherheitsrisiken für IT-Systeme dar. Hier wird nämlich nicht nur mit gezielt gesuchten und gefundenen Schwachstellen und Programmierfehlern gehandelt, die für Angriffe ausgenutzt werden können. Rasant zugenommen hat das Geschäft mit der Dienstleistung, Sicherheitslücken ganz bewusst in Software einzubauen. Je nach Aufwand bewegen sich solche Dienstleistungsprojekte über einzubauende Sicherheitslücken in Bereichen zwischen 800.000 und 1,5 Millionen US-Dollar. Aber diese Marktentwicklung hat auch einen Vorteil, und den bringt Lukas Grunwald so auf den Punkt.

"Nach der NSA-Affäre haben wir gesehen, dass selbst Schwachstellen mit eigenen Namen benannt werden, ich sage nur: Heartbleed oder Shell Shock, das heißt, diese Schwachstellen, die vorher nur von wenigen Diensten ausgenutzt worden sind, sind jetzt plötzlich in die breite Öffentlichkeit gerückt, und neue Geschäftsmodelle, ich sage nur: Kevin Mitnick, der plötzlich mit Schwachstellen für Geheimdienste anfängt zu handeln, treten ins Licht der Öffentlichkeit."

Und das verändert die Situation erheblich. Der Handel mit Sicherheitslücken ist kein abgeschotteter Bereich mehr. Es entsteht ein offener Markt, der das Darknet, die dunklen Bezirke im Internet verlässt. Die Konsequenzen schildert der Tübinger Sicherheitsberater Sebastian Schreiber so.

"Unsere Kunden werden durch die Sicherheitslücken, die wir finden, auch unter Druck gesetzt, die Sicherheitslücken zeitnah zu beheben, das heißt, die IT-Abteilungen insbesondere in deutschen Unternehmen sind gerade unter erheblichem Druck."

Dieser Druck führt dazu, dass Unternehmen immer stärker auf Prävention setzen. Sie wollen Sicherheitslücken von vornherein vermeiden und nicht erst nachträglich schließen. Danach suchen sie ihre Lieferanten aus. Marc Fliehe vom Branchenverband Bitkom beschreibt die daraus entstandene Situation.

"Es ist jetzt nicht so, dass sich da große Geschäftsmodelle entwickelt haben. Umgekehrt ist es so, dass wir eine gewisse Sensibilität für die Sicherheitsthemen bei den Unternehmen wahrnehmen, und diese Awareness auch jetzt nutzen möchten, um eben eine nachwirkende Verbesserung der IT-Sicherheit eben auch zu etablieren dort."

Das Sicherheitsthema ist also aktuell wie nie. Dennoch entwickeln deutsche Unternehmen im Sicherheitsbereich so gut wie keine Geschäftsmodelle oder ziehen sich sogar aus diesem Bereich zurück. Wie lange es zum Beispiel noch ein Kryptohandy für die Kanzlerin und ihre Regierungsmannschaft aus deutscher Produktion geben wird, kann man im Augenblick nicht so genau sagen. Denn nach der Auflösung der Telekom-Unternehmenstochter Trust2Core ist die Weiterentwicklung der Simko-Kryptohandys akut gefährdet.

Kloiber: Die Zukunft des Kryptohandys Simko 3 hat ja am Mittwoch die Republik beschäftigt, nachdem NDR und "Süddeutsche Zeitung" gemeldet hatte, die Telekom würde die Produktion des Kanzlerinnen-Handys einstellen. Wie ist diese Nachricht denn von den Sicherheitsexperten auf der it-sa in Nürnberg aufgenommen worden, Peter Welchering?

Welchering: Sie hat regelrecht eingeschlagen, aber schon am Mittag drehte sich da die Diskussion etwas, weil Telekom-Unternehmenssprecher Rainer Knirsch ziemlich rasch reagiert hat, und die Meldung dementierte. Wobei das so ein halbes Dementi war. Denn die Telekom-Tochter Trust2Core wird tatsächlich aufgelöst. Und das Simko-Betriebssystem namens Mikrokern, das ist eben ganz wesentlich von den Entwicklern dieser Berliner Softwareschmiede mitentwickelt worden. Das Kryptohandy des Telekom-Konkurrenten Secusmart, das basiert ja auf einem Blackberry Z10, das ist keine Alternative mehr für die Bundesregierung. Denn Secusmart soll ja an Blackberry verkauft werden. Und ein Kryptohandy für die Kanzlerin aus kanadischer Produktion, einem Mitglied des Geheimdienstverbundes Five Eyes, das kann sich die Regierung nicht leisten. Insgesamt ist die Situation bei den Kryptohandys als so eine Art Modellfall für die Situation der Sicherheitsindustrie hierzulande gewertet worden auf der it-sa. So nach dem Motto: Wir kaufen ausländische Produkte zu und wolle die dann härten, also sicher machen.

Kloiber: Läuft dieses Geschäftsmodell denn aus?

Welchering: Das kann sich Deutschland gar nicht leisten. Router: entweder aus US-Produktion oder aus chinesischer Fertigung. Und da sagte mir der Sicherheitschef eines großen Konzerns auf der it-sa, er kaufe lieber Router aus China als aus den USA, weil er dann nicht befürchten müsse, dass aufgrund gezielter Überwachung ein schwarzer Wagen vorfährt und ihn mitnimmt. So etwas könnten die Amerikaner hierzulande machen, aber eben nicht die Chinesen. Aber dieses Geschäftsmodell mit dem nachträglichen Härten, das ändert sich.

Kloiber: Wie sehen diese Änderungen genau aus?

Welchering: Zwei wesentlich Trends: Erstens: Zweiklassengesellschaft - hohe Sicherheit, sprich viel nachträgliches Härten, sehr teuer, deshalb Nischenmarkt. Geringe Sicherheit, günstiger, Massenprodukt, aber eben anfällig. Massenmarkt subventioniert den Hochsicherheitsmarkt dabei. Zweitens: Trend - Kombination von Methoden wie Codeanalyse, Penetrationstest und Fuzzing, um Sicherheitslücken bei zugekauften Produkten vor dem Einsatz zu erkennen. Da sind die Beratungs- und Sicherheitsunternehmen in Deutschland gar nicht so schlecht. Aber sie auch: Das ist eben eine Hilfslösung. Deshalb die Forderung nach mehr Forschungsförderung in diesem Bereich und nach gezielterer Start-up-Förderung.