Am 8. September des vergangenen Jahres wurde von der mittlerweile aus dem Amt geschiedenen Regierung Merkel die Cybersicherheitsstrategie für Deutschland 2021 verabschiedet. Im Anschluss hagelte es heftige Kritik – von Seiten der Experten, der Verbände und der Opposition. Zu unklar seien das Konzept, seine Vorhaben und Vorgaben umrissen. Berechtigte Kritikpunkte, die sich durchaus auch auf den Umgang der Strategie mit der Sicherheit digitaler Identitäten anwenden lassen.
Jedoch: betrachtet man die Vorhaben und Vorgaben zu digitalen Identitäten noch etwas genauer, so kommt noch ein weiteres, weit gravierenderes Problem zum Vorschein. Es fehlt noch mehr, weit mehr. Nämlich: der gesamte Aspekt der Authentifizierung. Digitale Identitäten werden im Strategiepapier allein unter dem Gesichtspunkt der Authentisierung betrachtet. Der Aspekt der Authentifizierung dagegen, bleibt ausgespart. Selbst grundlegende Einschätzungen zur Rolle und Bedeutung von Identity Governance und Identity Administration – kurz: zur Identity Security – sucht man im Strategiepapier vergebens.
Ganze zwei Abschnitte haben digitale Identitäten zum Gegenstand:
- 8.1.5 Sichere elektronische Identitäten gewährleisten und
- 8.1.6 Elektronische Identitäten (von Personen und Dingen) im weiteren Sinne und Authentizität und Integrität von Algorithmen, Daten und Dokumenten absichern.
Jedoch: in 8.1.5 werden nur staatlich kontrollierte elektronische Identitäten, wie die deutsche Online-Ausweisfunktion, besprochen. Und in 8.1.6 geht es vornehmlich um biometrische und hardwarebasierte Identifikationsmerkmale und Methoden zu ihrer Absicherung. Das Papier sieht Optimierungen der Authentisierungsverfahren vor, will, dass bestehende Standards „wo möglich und sinnvoll“ Berücksichtigung finden. Gedanken zur Authentifizierung jedoch, sucht man in den Erklärungen zur deutschen Cybersicherheitsstrategie vergebens.
Dabei stehen deutsche Unternehmen und Institutionen gerade hier schon seit Jahren erheblich unter Druck. Die Zahl kompromittierter Identitäten, die von Cyberkriminellen für einen erfolgreichen Angriff auf ein Netzwerk missbraucht werden, sie wächst von Jahr zu Jahr. 85 Prozent aller erfolgreichen Cyberangriffe lassen sich mittlerweile auf den Missbrauch kompromittierter Identitäten zurückführen. Identity Security-Lösungen könnten hier helfen. Doch Empfehlungen, dass und wie sie implementiert werden sollen, Angaben, über welche Features sie verfügen sollten, bleiben im Strategiepapier ausgespart. Man könnte auch sagen: Folgt man den Vorgaben der Cybersicherheitsstrategie der deutschen Bundesregierung, läuft man Gefahr, auf einem Auge blind zu werden.
Um Netzwerksysteme effektiv vor Angreifern abzusichern, genügt es eben nicht, die Anmeldung für eine digitale Identität möglichst sicher zu gestalten. Einmal angemeldet, muss der ordnungsgemäße Gebrauch der Identität auch überwacht werden. Und dies gelingt nur mittels effektiver Identity Security-Lösungen. Sie liefern den erforderlichen Überblick über alle registrierten Identitäten, mit dem typisches von untypischem Verhalten unterschieden werden kann. Wird die Identity Security dann noch mit einem SIEM-System, Firewalls, und einem Endpunkt-Schutz verknüpft, steht einer effektiven Cybersicherheit, mit deren Hilfe Angriffe auf das Netzwerk frühzeitig erkannt und abgewehrt werden können, nichts mehr im Wege.
Die deutsche Cybersicherheitsstrategie, auch im Hinblick auf digitale Identitäten bedarf sie deshalb dringend einer Überarbeitung und Erweiterung. Ohne Identity Security wird sich eine wirklich umfassende Cybersicherheit für Deutschland nicht verwirklichen lassen. Man kann dem Bundesinnenministerium nur raten, den Mangel so rasch wie möglich abzustellen. Bevor ein Großteil der deutschen IT-Infrastruktur tatsächlich Gefahr läuft, auf einem Auge blind zu werden.
Noch ist die deutsche Cybersicherheitsstrategie nicht lang in Kraft. Noch können Nachjustierungen vorgenommen werden – ohne dass der IT-Standort Deutschland deshalb größere, bereits getätigte Investitionen verloren geben muss. Die Ampelkoalition sollte die begrenzte, ihr noch verbliebene Zeitspanne nutzen und das Bundesinnenministerium anweisen, die zahlreichen, mittlerweile bekannten großen und kleinen Schwachstellen in den Sicherheitsvorgaben des Strategiepapiers nachträglich zu schließen – bevor es zu spät ist.