Andreas Liefeith: „Durch unbemerkte Manipulation kann erheblicher Schaden entstehen“

Andreas Liefeith ist Leiter für Marketing und Kommunikation der procilon GmbH. Das Unternehmen entwickelt kryptographische Software.

Onpulson: Herr Liefeith, Sie sind Leiter für Marketing und Kommunikation der procilon GmbH. Ihre Unternehmensgruppe hat sich seit über 20 Jahren auf die Entwicklung kryptographischer Software spezialisiert. Bitte stellen Sie Ihr Unternehmen unseren Lesern kurz vor.

Andreas Liefeith: Die Geschichte von procilon begann vor zwanzig Jahren in Leipzig. Von Anfang an war unser Ziel, unseren Kunden ein zuverlässiger und innovativer Partner zu sein, ihnen die möglichst optimalen Lösungen für ihre Herausforderungen zu bieten und, wenn möglich, gemeinsam mit ihnen zu wachsen. So ist es uns gelungen uns zu einem führenden Komplettanbieter von kryptografischer Softwaretechnologie auf höchstem Sicherheitsniveau zu entwickeln.

Heute sind wir in der Gruppe über 90 Mitarbeiter an vier Standorten und die procilon-Lösungen sichern digitale Identitäten und schützen gespeicherter Daten bei mehr als 1500 Unternehmen und Organisationen. Besonders stolz sind wir zum einen auf Projekte bei Vertrauensdiensteanbietern wie der Bundesnotarkammer und dem Deutschen Gesundheitsnetz. Zum anderen sind einige Produkte nach sehr hohen Kriterien unter anderem durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) evaluiert und zertifiziert.

Onpulson: Wie ist Ihrer Meinung nach der Status Quo im deutschen Mittelstand in Sachen Digitalisierung?

Andreas Liefeith: Diese Frage kann ich pauschal gar nicht beantworten, denn einen homogenen deutschen Mittelstand gibt es bekanntlich nicht. Durch die Mitarbeit in unterschiedlichen Gremien haben wir als Unternehmen und auch ich in Person die Erkenntnis gewonnen, dass im Mittelstand in punkto Digitalisierung von ‚Verweigerern‘ bis zu ‚First Moovern‘ das komplette Spektrum abgebildet ist. Der Digitalisierungsgrad ist dabei durchaus von der Branche aber auch vom Kommunikationsverhalten abhängig.

Wenn ich z. B. als mittelständisches Inkassounternehmen Mahnprozesse digital abbilden möchte, komme ich am sog. Elektronischen Rechtsverkehr nicht vorbei. Hier ist verschlüsselter Datenaustausch gesetzlich vorgeschrieben. Ebenso sind Bildungsunternehmen, die sich um die Wiedereingliederung von Menschen in den Arbeitsprozess kümmern, bei digitaler Kommunikation mit der Bundesagentur für Arbeit auf eine passende E-Mail-Verschlüsselung angewiesen. Weitere Beispiele finden sich bei Betreibern alternativer Energieerzeugungsanlagen. Mit anderen Worten: Digitalisierung im Mittelstand hat auch viel mit Datenaustausch zu tun und diesen gilt es sicher zu gestalten.

Onpulson: Mit welchen grundlegenden IT-Gefährdungen können Unternehmen dabei konfrontiert werden?

Andreas Liefeith: Das ist ein weites Feld. Wir beschäftigen uns primär mit Gefährdungen und den Risiken, die sich aus einem großen Vorteil der digitalen Datenverarbeitung ergeben, nämlich der Möglichkeit der leichten Veränderbarkeit und des schnellen elektronischen Transports. Wenn diese Eigenschaften zur unbemerkten Manipulation benutzt werden, kann erheblicher Schaden entstehen. Das bezieht sich nicht nur auf inhaltliche Manipulationen, was bei Verträgen oder Rechnungen fatal ist, sondern auch die Herkunft von Daten kann vorgetäuscht werden. Das eröffnet wiederum vielfältigen Aktivitäten von Cyber-Kriminellen die Tür.

Und last but not least, sind Daten, die z. B. in E-Mails unverschlüsselt versandt werden, leichte Beute für Angreifer, um die enthaltenen Informationen zu stehlen. Gerade bei diesem Risiko ist nach wie vor Sensibilisierung der Unternehmen nötig, denn noch nicht alle haben verinnerlicht, dass eine ungeschützte E-Mail de facto eine Postkarte darstellt – sensible Daten gehören da nicht drauf.

Onpulson: Bitte nennen Sie uns typische Beispiele, wie digitale Daten manipuliert und vertrauenswürdige Identitäten vorgetäuscht werden können.

Andreas Liefeith: Relativ einfach ist die Annahme einer fremden Identität unter Zuhilfenahme einer Fake-E-Mail-Adresse. Damit werden dann vertrauenswürdige Personen oder Organisationen vorgegaukelt. Inzwischen gibt es auch eine Reihe von juristischen Streitfällen, bei denen die Echtheit von digital vorgelegten Daten nicht anerkannt wurde, weil eine Manipulation nicht zweifelsfrei ausgeschlossen werden konnte. Wenn es sich dabei um Verträge oder Urkunden mit erheblichem Wert handelt, ist das sehr ärgerlich. Dies wird noch wichtiger, wenn Originale zukünftig nur noch digital existieren. Dabei geht es folglich nicht direkt um eine Manipulation, sondern um einen Beweis der Echtheit von Daten.

Onpulson: Welche generellen Möglichkeiten gibt es, wie sich Unternehmen davor schützen können?

Andreas Liefeith: Generell bietet der Einsatz von Kryptografie in Form von elektronischen Zertifikaten mit zugehörigem Schlüsselmaterial ausreichend Schutzmöglichkeiten. Damit kann z. B. eine E-Mail verschlüsselt und über eine Signatur der Absender eindeutig identifiziert werden. Die elektronische Signatur ist auch das beste Mittel, die Echtheit und die Herkunft digitaler Dokumente nachzuweisen. Das funktioniert sogar besser als in der analogen Papierwelt, denn hier ist die Anerkennung einer Unterschrift eine subjektive Entscheidung. Im Gegensatz dazu kann bei einer qualifizierten elektronischen Signatur an einem Dokument der Unterzeichner oder Autor zweifelsfrei ermittelt werden. Der Preis, der für diese Sicherheit in der Vergangenheit gezahlt werden musste, war eine ‚sperrige‘ Anwendung.

Heute stehen dafür moderne Cloud-Lösungen zur Verfügung. So wird für die elektronische Signatur mit unserer Lösung proTECTr.com nur ein internetfähiges Endgerät mit einem Standardbrowser benötigt, mehr nicht. Dabei verbleiben die Daten vollständig auf dem Gerät und können aber für den eigenen Bedarf oder den E-Mail-Versand gleich mitverschlüsselt werden.

Onpulson: Wann lohnt sich eine elektronische Signatur für ein mittelständisches Unternehmen?

Andreas Liefeith: Da es viele Anwendungsmöglichkeiten für Signaturen gibt, hängt dies eindeutig davon ab, was erreicht werden soll. Eine kryptographische Signatur zur Absenderidentifikation in der E-Mail-Kommunikation sollte Standard sein. Für den Schutz wichtiger Geschäftsunterlagen raten wir im Minimum zu einer Absicherung durch fortgeschrittene Signatur. Hier gilt der Grundsatz, je wichtiger der Inhalt, desto hochwertiger muss die Signatur sein. Alles, was unterschrieben werden soll oder muss, muss qualifiziert signiert werden.

Onpulson: Ist die elektronische Signatur für jedes Rechtsgeschäft, das ein Unternehmen abschließt, gültig?

Andreas Liefeith: Im Fall einer qualifizierten Signatur gilt das auf jeden Fall. Sie hat den gleichen Wert wie eine eigenhändige Unterschrift. Damit wäre man bei allen Rechtsgeschäften auf der sicheren Seite. Fairerweise möchte ich aber anmerken, dass das qualifizierte Niveau nicht immer nötig ist. Notwendig ist es bei sog. Schriftformerfordernis oder auch einer eigenen Compliance-Regel. Generell bleibt hier auch ein individueller Spielraum, denn nicht alles ist gesetzlich geregelt.

Onpulson: Welche technischen Voraussetzungen muss ein Unternehmen erfüllen? Ist eine besondere Hard- oder Software erforderlich?

Andreas Liefeith: Das hängt von der gewählten Lösung ab. Bei uns reicht ein internetfähiges Endgerät, denn unsere Applikation kommt aus der Cloud. Damit ist keine Zusatzhardware oder eine Softwareinstallation nötig.

Onpulson: Was sind zukünftig die größten Herausforderungen im Bereich der IT-Sicherheit?

Andreas Liefeith: Wir befinden uns auf der Schwelle zum Zeitalter des Quantencomputing. Hier kommen immense Rechenleistungen auf uns zu, die herkömmliche kryptographische Methoden angreifbar machen. Das ist insbesondere für einen Hersteller solcher Lösungen von existentieller Bedeutung. Das ist aber nicht nur für uns als Unternehmen eine Herausforderung, sondern auch für die vielen Anwender von IT-Sicherheitstechnologie.

Onpulson: Kommt es im Zuge der Ukraine-Russland-Krise zu einer verstärkten Bedrohungslage? Wenn ja, durch welche Aktivitäten sind zusätzliche Risiken zu erwarten?

Andreas Liefeith: Die Risiken sind bereits sehr real. Als Partner der Allianz für Cybersicherheit (ACS) möchten wir an dieser Stelle auf die fortwährenden Bewertungen der Lage mit Bezug zur Informationssicherheit durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinweisen. Als wichtige Informationsquelle empfehlen wir darüber hinaus die von der ACS speziell dafür eingerichtete Website mit einer Reihe konkreter Maßnahmen und Handreichungen.

^{Bildnachweis: ©istockphoto.com/ArtHead-}

(cf)