Die zunehmende Verbreitung von informationsverarbeitenden Systemen, die umfangreichen und günstigen Möglichkeiten der massenhaften Speicherung von Daten und die allgegenwärtigen intelligenten Gegenstände des IoT machen klar, dass die IT-Sicherheit eine zunehmend wichtige Rolle spielt. Es liegt somit auf der Hand, dass im Interesse unserer Gesellschaft ein freier, sicherer und souveräner Zugang zu den der IT-Sicherheit zugrundeliegenden Technologien ermöglicht werden muss.

These 1: Für erfolgreiche Maßnahmen müssen Methoden für alle Schritte der Wertschöpfungskette erarbeitet werden

Eine Kette bricht immer am schwächsten Glied. In diesem Sinne müssen alle Schritte der Wertschöpfung von IT-Systemen abgesichert werden. Derzeit wird überwiegend die Softwareseite betrachtet, d.h. Anwendungsprogramme und Betriebssysteme werden oft mit fehlerbereinigten Updates versorgt - im IoT sieht das allerdings nicht so günstig aus. Open-Source Software liefert damit schon heute einen hervorragenden Beitrag zu mehr IT-Sicherheit.

Auch die Hardwareseite unterliegt Bedrohungen, die wesentlich stärkere Auswirkungen haben können, da diese im Feld oft nicht einfach und kostengünstig ausgetauscht werden kann. Deshalb sind auch hier Methoden zur verbesseren Absicherung von Hardware und den dazu notwendigen Entwicklungswerkzeugen zu erarbeiten.

These 2: Der Open-Source Ansatz ist ein wichtiger Grundbaustein zur Erlangung von mehr Sicherheit

Einer der Grundprinzipen der IT-Sicherheit ist die prinzipielle Offenlegbarkeit der getroffenen Maßnahmen und Methoden. Dieses Prinzip wird durch den Open-Source Ansatz gestärkt, aber nicht garantiert. Dies ist sicherlich einer der Gründe für den Erfolg von Linux und BSD-Unix, die heute einen Grundpfeiler des Internets bilden. Deshalb ist es wünschenswert alle Schritte der Wertschöpfungskette - soweit wie nur möglich - mit Hilfe von Open-Source transparent und überprüfbar zu machen.

These 3: Open-Source Hardware kann schon jetzt helfen mehr Souveränität zu erreichen

Wogegen der Open-Source Ansatz in weiten Bereichen der Softwareentwicklung hervorragende Ergebnisse liefert ist auf dem Gebiet der Hardwareentwicklung noch kein solcher spektakulärer Erfolg zu verbuchen. Die aktuellen Entwicklungen zeigen aber schon jetzt, dass einfachere Hardwareentwicklungen mit offenen Werkzeugen und offenen Fertigungsmethoden möglich werden. Obwohl diese Fertigungstechnologien in ihren Strukturgrößen mit den modernsten Produkten sicherlich nicht mithalten können (7ns vs. 130nm) sind sie gleichwohl sehr interessant. Solche scheinbar veralteten Techniken finden ihren Einsatz im IoT und für eingebettete Systeme in vielen Gebieten der Industrie (z.B. Maschinenbau, Chemie oder Medizintechnik). Damit können sie wichtige Beiträge für die Kernkompetenzen der deutschen Industrie leisten und gleichzeitig die IT-Sicherheit zu stärken!

Ein möglicher Weg die bestehenden Defizite der deutschen Halbleiterbranche zu verringern wäre es gezielt Geschäftsmodelle für solche scheinbar veralteten Techniken zu identifizieren, diese aufzubauen (Startups) und mit den dort erzielten Gewinnen die nächsten Schritte zur Verbesserung zu finanzieren.

These 4: Der Invest in die Bildung von Menschen ist von zentraler Bedeutung

Technologien werden von Menschen entwickelt. Aus diesem Grund ist der Invest in Menschen von großer Wichtigkeit, denn die Industrie muss schlussendlich gut ausgebildeten Menschen folgen. Scheinbar wurde dies - auch bedingt durch den in der Industrie verbreiteten geschlossenen Ansatz - versäumt. Deutschlands Schlüsselindustrien leiden unter Nachwuchsmangel.

Hingegen können finanzielle Zuwendungen für die Stärkung der Industrie den gewünschen Zweck evtl. verfehlen. Ein gutes Beispiel ist die britische Firma ARM, die massiv durch die EU gefördert wurde und die heute auseuropäischen Investoren gehört. Auch hier kann Open-Source helfen, denn Wissen und Technik können offen geteilt werden. Der Invest in (junge) Menschen in Verbindung mit Open-Source ist also ein vielversprechender Ansatz. Erfahrungsgemäß wechseln Menschen deutlich langsamer den Standort als die Industrie, wodurch die Investitonen auch langfristig vor Ort bleiben, wenn (auch) kluge Köpfe gefördert werden.

Massive klassische Subventionen können in der Industrie auch zu Ineffizienz führen. Ein aktuelles Beispiel findet sich in China. China hat erkannt, dass es in der kompletten Wertschöpfungskette unabhängig werden muss (vgl. Handelskriege mit den USA / Huawei). Dazu wurden bisher 30 Milliarden Dollar (geplant 100 Milliarden, vgl https://heise.de/-7206164) ausgegeben. Dieses Invest ist nun scheinbar durch einen massiven Korruptionsskandal erschüttert worden, d.h. massive Geldbeträge wurden im wesentlichen nicht mit der gebotenen Effizienz eingesetzt.

These 5: Die Lage ist ernst aber nicht hoffnungslos

Deutschland und die EU haben den Ernst der Lage erkannt. Die digitale Souveränität und die IT-Sicherheit ist durch die großen Abhängigkeiten gefährdet und Deutschland muss dringend aufholen (https://heise.de/-6457760). Interessante Ansätze werden in den Niederlanden (NLnet foundation, https://nlnet.nl/) verfolgt, die beeindruckende Erfolge mit der gezielten Förderungen von Open-Source Projekten (vgl. https://nlnet.nl/project/current.html und https://nlnet.nl/project/SaxonSoc/) mit vergleichsweise kleinen Beträgen erzielen (z.B. VexRISC-V und KiCad). Hier wird gezielt in Köpfe und Open-Source investiert. Ähnliche Effekte könnten durch Road-Shows und zwanglose Vermittlung von Wissen erzielt werden, weshalb sich auch dafür eine gezielte und langfristige Förderung anbietet.