Interview mit Michael Hange, BSI-Präsident

Anfang 2011 wurde noch darüber gelacht: „Pausenlos gibt es in Deutschland eine Form von Angriff auf das Internet“. Doch die Bundesregierung meinte es tatsächlich ernst und das Bundeskabinett beschloss eine Cybersicherheitsstrategie für Deutschland. Was ist die Cybersicherheitsstrategie drei Jahre danach? 

Cyberangriffe finden täglich statt. Betroffen sind nicht nur Unternehmen, sondern auch die Verwaltung und Privatanwender. Die Angriffe werden professioneller und zielgerichteter. Bereits 1991 wurde die zunehmende Bedeutung der Informationssicherheit durch die Gründung des BSI institutionell aufgegriffen. Selbstverständlich hat sich die Lage durch die zunehmende IT-Durchdringung und Vernetzung seit 1991 drastisch verändert, so ist die Zahl attraktiver Angriffsziele stark gestiegen und Angreifer nutzen die Anonymität des Internets aus. Die Cybersicherheitsstrategie der Bundesregierung von 2011 hat weiterhin Bestand, so entwickeln wir beispielsweise derzeit das auf Prävention ausgerichtete Cyberabwehrzentrum fort.

Wie bedroht ist die Sicherheit unseres Landes?

Cyberattacken finden täglich statt, betroffen sind alle Zielgruppen: Staat und Verwaltung ebenso wie Wirtschaft und Privatanwender. Die Angriffe werden professioneller und zielgerichteter. Eine Bedrohung für den Bürger ist beispielsweise der Identitätsdiebstahl, der zu einem täglichen Phänomen geworden ist. Was Unternehmen betrifft, so entsteht Gefährdung immer dort, wo Werte vorhanden sind. Gerade in Deutschland gelten sehr viele kleine und mittlere Unternehmen als besonders innovativ. Sie verfügen über umfangreiches, spezialisiertes Know-how, viele unter ihnen sind Hidden Champions, zahlreiche Firmen verfügen über Patente und wichtiges geistiges Eigentum. Das weckt Begehrlichkeiten. Es ist daher ein Trugschluss, wenn sich ein Unternehmen aufgrund seiner überschaubaren Größe in Sicherheit wähnt oder einen geringen allgemeinen Bekanntheitsgrad mit geringer Gefahr für Cyberangriffe gleichsetzt. Die Patente und Forschungsergebnisse eines kleineren Unternehmens können für Angreifer ebenso lukrativ sein wie die Vorstandsentscheidungen eines Großkonzerns.

Bei den Unternehmen: Netzangriffe können erhebliche Auswirkungen auf unseren wirtschaftlichen Wohlstand und Technologievorsprung haben. Was tun Sie dagegen? 

Für den Schutz der Unternehmen vor Cyberangriffen sind die Unternehmen grundsätzlich eigenverantwortlich. Wenn es jedoch darum geht, im Bereich der „kritischen Infrastrukturen“ Geschäftsprozesse und Dienstleistungen aufrecht zu erhalten, die für das Gemeinwohl in Deutschland von großer Bedeutung sind, dann muss auch der Staat in seiner Schutzfunktion tätig werden. Daher hat das Bundesinnenministerium einen Entwurf für ein IT-Sicherheitsgesetz vorgelegt, das diese Aspekte adressiert.

Der Rechnungshof zweifelte an der Effizienz des Nationalen Cyberabwehrzentrums. Für die Bündelung der Abwehr von Online-Angriffen sei es ungeeignet, es gebe nur eine tägliche Lagebesprechung. Das Abwehrzentrum sei „nicht geeignet, die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln“. Was denken Sie darüber?

Da die Prüfung des Bundesrechnungshofes zum Cyberabwehrzentrum noch nicht abgeschlossen ist, möchte ich mich hierzu nicht näher äußern.

Was bieten Sie an Sicherheit für Anwender?

Als nationale Sicherheitsbehörde ist es das Ziel des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die IT-Sicherheit in Deutschland voran zu bringen. Dabei sind wir in erster Linie der zentrale IT-Sicherheitsdienstleister des Bundes. Mit unserem Angebot wenden wir uns aber auch an die Hersteller sowie die privaten und gewerblichen Nutzer und Anbieter von Informationstechnik, denn nur gemeinsames Handeln kann wirkungsvoll sein. 

Cybersicherheitsstrategie – unbemerkt wird Schadsoftware installiert in Unternehmen, in Haushalte. Was können Sie ausrichten gegen seriöse Internetseiten, die plötzlich manipuliert wurden – ein Fall für das Bundeskriminalamt – und wie gehen Sie vor?

Für die Sicherheit von Webseiten sind die jeweiligen Betreiber verantwortlich. Wenn das BSI Erkenntnisse zu Webseiten erhält, die Schadsoftware verteilen, dann informiert das BSI in der Regel die Betreiber, die sich dann um die Bereinigung kümmern sollten.

Inwiefern unterstützen Sie die Bundeswehr bei der Cyberabwehr?

Das BSI ist eine zivile und präventive Behörde, die insbesondere eine Schutzfunktion für die zentralen Regierungsnetze inne hat. So detektiert das BSI gezielte und ungezielte Angriffe auf die zentralen Regierungsnetze und wehrt diese – im Sinne eines IT-Sicherheitsdienstleisters – ab. Auch die Zulassung von IT-Sicherheitsprodukten und -Dienstleistungen, die in der Bundesverwaltung zum Einsatz kommen, liegt im Verantwortungsbereich des BSI und führt zur Zusammenarbeit zwischen dem Verteidigungsministerium und dem BSI. Für die Cyberabwehr im militärischen Sinne ist die Bundeswehr eigenverantwortlich.

Auch die Bedrohung durch Botnetze, die in der Regel aus infizierten PCs von Privatnutzern bestehen, hat zugenommen. Botnetze werden mittlerweile professionell vermietet und für IT-Angriffe genutzt. Das Motiv dafür ist oft ein finanzielles Interesse. Hinzugekommen ist der “Hacktivismus“, um zum Beispiel politische Ansichten mittelhilfe von IT-Angriffen auszudrücken. In Anbetracht der raschen Verbreitung von Smartphones, Tablet PCs und Netbooks stellen Angriffe und Abhören durch mobile Endgeräte eine zunehmende Gefahr dar. Selbst Bundestagsabgeordnete kommen auf Sie zu. Was hilft gegen diese Bedrohung?

Hier muss man zwischen den einzelnen Phänomenen differenzieren. Botnetze sind in der Tat eine Bedrohung für die IT-Sicherheit in Deutschland. Um zu verhindern, dass sein Rechner Teil eines Botnetzes wird, sollte der jeweilige Anwender die Sicherheitshinweise des BSI beherzigen, die wir beispielsweise auf www.bsi-fuer-buerger.de geben. Was die mobile Kommunikation betrifft, so gibt es auch hier in der Tat neue Herausforderungen. Immer mehr Menschen nutzen Smartphones und profitieren von deren Vorzügen. Man sollte dabei jedoch auch die Risiken im Auge behalten und sich entsprechend verhalten, beispielsweise bei der Installation von Apps oder bei der Nutzung von Schnittstellen wie Bluetooth oder WLAN.

Die Webseite www.bsi-fuer-buerger.de und der Warndienst www.buerger-cert.de bieten aktuelle Informationen und Handlungsempfehlungen für Unternehmen. Darüber hinaus unterstützt das BSI Initiativen gesellschaftlicher Gruppen, um mehr IT-Sicherheit bei Bürgern und Unternehmen zu erreichen. Elektronische Identitätsnachweise oder De-Mail sind weitere Ansatzpunkte des BSI, das IT-Sicherheitsniveau zu steigern. Wie viele Abrufzahlen haben Sie täglich?

Die „BSI-Empfehlungen zur Cybersicherheit“ richten sich an Unternehmen und professionelle Anwender und nicht an die Bürgerinnen und Bürger. Die Empfehlungen, die wir im Rahmen der Allianz für Cybersicherheit veröffentlichen, werden sehr gut angenommen. Die Allianz konnte erst kürzlich den 1000. Teilnehmer begrüßen. Innerhalb von nur zwei Jahren hat sich die Allianz für Cybersicherheit als Plattform für den Austausch zu Fragen der Cybersicherheit etabliert.

Wie können sich Unternehmen vor Wirtschafts- und Industriespionage schützen? Was ist dabei das wichtigste?

Das Bewusstsein für die Themen der IT-Sicherheit ist gestiegen, das stellen wir in vielen Gesprächen mit Unternehmensvertretern fest. Damit ist schon ein wichtiger erster Schritt gemacht. Nachholbedarf gibt es noch bei der Umsetzung von Sicherheitsmaßnahmen, auch im Bereich der Standardmaßnahmen. IT-Sicherheit ist ein vielschichtiges Thema, das neben technischen Maßnahmen auch organisatorische und personelle Aspekte beinhaltet. Als Konzept für Informationssicherheit hat sich das Vorgehen nach den IT-Grundschutz-Katalogen des BSI als Standard etabliert. IT-Grundschutz hilft beim Aufbau einer Sicherheitsorganisation und bietet zugleich eine umfassende Basis für die Risikobewertung, die Überprüfung des vorhandenen Sicherheitsniveaus und die Implementierung der angemessenen Informationssicherheit. Kleineren Firmen raten wir, sich über IT-Sicherheit zu informieren, beispielsweise auf den Webseiten der „Allianz für Cybersicherheit“. Die Allianz bietet eine umfangreiche und ständig wachsende Wissensbasis sowie die Möglichkeit, sich mit anderen Teilnehmern in vertraulichen Runden auszutauschen und so von den Erfahrungen anderer zu profitieren.

Experten wie Dr. Sandro Gaycken behaupten, dass Computer und Software, wie wir sie kennen, gar nicht sicher sein kann. Stimmen Sie dem zu?

Eine hundertprozentige Sicherheit kann es nicht geben, das ist richtig. Software ist in der Regel von Menschen gemacht, und Menschen machen Fehler. Nicht jeder Fehler ist jedoch automatisch ein Sicherheitsproblem. Die konsequente Umsetzung von Standardsicherheitsmaßnahmen schützt bereits vor mehr als 80 Prozent der bekannten Cyberangriffe.

Wie viele Angriffe finden derzeit täglich oder jährlich statt? 

Das deutsche Regierungsnetz wird jeden Tag tausendfach ungezielt angegriffen. Dies sind in erster Linie breitflächige Angriffe. Wir beobachten aber auch jeden Tag drei bis fünf gezielte Angriffe auf das Regierungsnetz.

Was bedeutet der Fall Snowden in der digitalen Aufrüstung?

Dass es eine Bedrohungslage durch ausländische Nachrichtendienste gibt, war Experten grundsätzlich bekannt, allerdings nicht der Umfang der Maßnahmen. Es ist wichtig und richtig, dass man sich damit befasst, jedoch sollten hierdurch nicht andere Bedrohungsszenarien wie etwa Cyberkriminalität in den Hintergrund der Betrachtung treten. 

Wie schätzen Sie die Möglichkeit von mehr oder minder integren europäischen Systemen ein, die starken Daten- und Rechtsschutzkriterien entsprechen?

Das Internet ist und bleibt global und bietet privaten wie wirtschaftlichen Nutzern enorme Möglichkeiten. Diese Möglichkeiten müssen wir erhalten, dürfen aber auch vor den Risiken nicht die Augen verschließen. 

Derzeit gibt es in der Internet-Infrastruktur eine deutliche Dominanz außereuropäischer Produkte. Diese Dominanz kurzfristig zu ersetzen, ist nicht realistisch. Zielführender ist es, die außereuropäischen Anbieter aufzufordern, für mehr Transparenz zu sorgen. Zudem sollte es möglich sein, außereuropäische Systemkomponenten wie Router durch nationale, vertrauenswürdige Kryptoalgorithmen abzusichern und so die Hoheit über die eigene Kommunikation zu erlangen.

Das Interview führte Gertrud Maria Vaske, Chefredakteurin von „Ethik und Militär“.