Hadmut Danisch
Ansichten eines Informatikers

Murmeltiertag der IT-Sicherheit – „Die Hütte brennt“

Hadmut
27.9.2024 15:28
Uncategorized

Zwei Meldungen vom Tage.

Dieselbe Gesellschaft für Informatik, die vor 25 Jahren fett mit drin war, die Kryptoforschung in Deutschland plattzumachen, und seither mit hohem Druck dafür gesorgt hat, Lehrstühle mit Frauen zu besetzen, egal wie inkompetent, und aus der Informatik ein Tralala gemacht hat, beklagt sich nun darüber, dass in der Cybersicherheit „Die Hütte brennt“:

Was irgendwie auf den Schweinezyklus hinausläuft, den ich schon beschrieben habe, wonach aufgrund der Ignoranz und Fluktuation in der Politik dieselben Themen alle 10 Jahre von Neuem besprochen werden. Heise 2014: IT-Sicherheitsdialog im Bundestag: “Die Hütte brennt”.

Für mich ist IT-Sicherheit so ähnlich wie der Murmeltiertag: Es wird in einer Endlosschleife immer wieder dasselbe gesagt – nur eben von wechselnden Leuten. Was ein Konstantin von Notz da zu suchen hat, ist mir nicht klar, aber vielleicht wollte der auch mal sagen, was seit Jahrzehnten alle sagen. Oder wie man so schön sagt: Es wurde schon alles gesagt, nur noch nicht von jedem. Und die „jeder“ wachsen kontinuierlich nach.

Ein Beispiel-Zitat:

Im Bundestagsausschuss Digitale Agenda waren sich die Experten einig, dass in Sachen Netzsicherheit dringend Handlungsbedarf besteht. Nicht alle wollen dabei aber den Staat stärker in die Pflicht nehmen.

In der Diagnose waren sich die Fachleute bei einer Anhörung zur IT-Sicherheit (PDF-Datei) im neuen Bundestagsausschuss Digitale Agenda am Mittwoch überwiegend einig.

2004, 2014 oder 2024?

Ich sag’s mal so: Auf der Bundestagsanhörung 1997 wurde etwas in der Art auch schon geäußert.

Ich bin ja mal gespannt, wie lange diese „Die Hütte brennt“-Schlagzeilen noch dauern und wann sie sich mal zur Erkenntnis „Die Hütte ist jetzt abgebrannt“ durchringen. Harren wir also der Schlagzeilen von 2034.

Zurück zum Jahr 2024: Heise schreibt Kommentar: Schallende Ohrfeige für desolate NIS-2-Umsetzung​

Nancy Faeser ist gut darin, in den Bankkonten anderer Leute herumzuschnüffeln und sie abzuschießen, aber ihre eigenen Aufgaben erfüllt sie nicht:

Für die Umsetzung der EU-IT-Securityrichtlinie NIS2 haben Bundesregierung und Innenministerium eine Klatsche kassiert. Mehr als berechtigt, findet Manuel Atug.​

[…]

Das lernunwillige und bockige Verhalten des Ministeriums wird an allen Ecken und Enden zu Recht bemängelt.

Denn das BMI und auch die Bundesregierung hören kaum zu und wollen kaum Verbesserungsvorschläge annehmen. Der BRH hat glücklicherweise aber nicht locker gelassen und nach mehreren weitestgehend ignorierten Stellungnahmen mit ungefähr 42 Hinweisen an das BMI schließlich Mitte September 2024 die Prüfergebnisse eskaliert. In seinem Bericht an den Haushaltsausschuss und den Innenausschuss des Bundestags stellt der BRH klar, dass der Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) weder angemessene Cybersicherheit schafft noch einen sinnvollen Umgang mit Steuergeldern erwarten lässt.

Dass das BMI bei seiner Kabinettsvorlage des Entwurfs auch gegen die Gemeinsame Geschäftsordnung der Bundesministerien (GGO) verstößt, ist noch der kleinste Punkt in der Mängelliste des BRH. Das BMI hätte demnach auf die abweichende Meinung und die Kritikpunkte des BRH hinweisen müssen, erwähnt sie aber mit keinem Wort.

Der schlechte Stil in den Formalien findet sich dann auch in dem, was das NIS2UmsuCG inhaltlich leisten soll. Der BRH ist dabei nicht um klare Worte verlegen, die glatt aus dem Maschinenraum der AG KRITIS stammen könnten. So laufe die Bundesregierung Gefahr, “ihr Ziel zu verfehlen, die Informations- und Cybersicherheit zu verbessern.”

Auf deutsch: Der letzte Saftladen.

Falls Sie da gerade ein saftiges Klatschen vernommen haben: Das war die schallende und offenbar dringend benötigte Ohrfeige. Gehen wir ein wenig in die Details.

Da empfehle ich jetzt einfach, den Heise-Artikel zu lesen. Genüsslich.

Der BRH stellt dazu fest – und ich zitiere genüsslich: “In einer vernetzten Bundesverwaltung ist dies weder sachgerecht noch im Vergleich zu den strikten gesetzlichen Verpflichtungen der Wirtschaftsunternehmen angemessen.”

Vereinfach gesagt: Den kleinen Unternehmen schreibt man alles vor und bürdet ihnen endlos Pflichten und Bürokratie auf. Und die Regierung die und Behörden müssen gar nichts machen.

Im Klartext: Sie bekommen in IT-Sicherheit praktisch gar nichts hin. Kleine Flicken, die aber nichts bringen, weil IT-Sicherheit ein Verteidigerspiel ist: Dem Angreifer reicht eine Lücke, der Verteidiger muss alles dicht halten.

Und, das Blog sei mein Zeuge, den Zustand beschreibe ich seit etwa 1999, dass man in der Politik und den Informatikbonzereien auf IT-Sicherheit schlichtweg scheißt, und das alles nur als Vorwand für politischen Einfluss, Frauenquote und so weiter verwendet. Ich hatte ja genug IT-Sicherheitsprofessorinnen beschrieben, die schon an elementaren Themen scheitern, nicht wissen, was in ihrem „eigenen“ Buch steht oder sich die Vorlesungen vom Dienstleister halten lassen müssen, weil sie es selbst nicht können.

Alles wurde auf „Quality is a myth“ gebügelt, damit es frauengängig und quotenflutschig wurde, man hat die Informatik enttechnisiert und auf Sozialquatsch gezogen, und nun hat man das Ergebnis: Einen großen Haufen Mist, und sie schreien, dass die Hütte brennt.

Soll die Hütte einfach abbrennen.

Das Thema Deutschland ist eh durch.

Hieß es nicht die Tage irgendwo, dass man allein für die Sanierung unserer maroden Verkehrsinfrastruktur (Brücken, Bahn, Autobahnen) mehr Kosten veranschlagt als für den gesamten Wiederaufbau der Ukraine?

Man könnte ja, weil die immer so Angst davor haben, dass die Russen kommen, die Frage stellen, was mehr Schaden verursacht: Ein Angriffskrieg der Russen oder die Frauenförderung.

Ich will’s mal so sagen: Gegen die Russen gibt es Gegenwehr.