Interview zur Kriminalität „Mit Cyber-Angriffen wird mehr verdient als mit Drogen“

Von Wolfgang Koch 

Der Chef des Bundesamts für Sicherheit in der Informationstechnik, Arne Schönbohm, spricht über Hacker-Attacken auf die Regierung und die Kosten der Kriminalität im Reich des Digitalen.

Wie sicher ist das Internet? Das  Bundesamt für Sicherheit in der Informationstechnik hat den Auftrag, Regierung und Bürger vor Hacker-Angriffen zu schützen. Foto: Fotolia
Wie sicher ist das Internet? Das Bundesamt für Sicherheit in der Informationstechnik hat den Auftrag, Regierung und Bürger vor Hacker-Angriffen zu schützen. Foto: Fotolia

Stuttgart - Der Bund arbeitet an einem eigenen Rechenzentrum, einer sogenannten Bundescloud, durch das die Datensicherheit für Behörden, Unternehmen und Bürger steigen soll. Außerdem nimmt eine geplante schnelle Eingreiftruppe bei Cyberattacken Konturen an. Die mobile Spezialeinheit soll beim Bundesamt für Sicherheit in der Informationstechnologie (BSI) angesiedelt werden und zunächst 20 Leute umfassen. Das Team soll Teil einer neuen Cyber-Sicherheitsstrategie der Regierung werden, zu der Innenminister Thomas de Maiziere bei der Kabinettsklausur Ende Mai in Meseberg erste Vorschläge präsentierte. Der Hintergrund ist, dass es kaum institutionalisierte staatliche Strukturen gibt, die Betroffenen zeitnah vor Ort bei der Bewältigung eines Hackerangriffs helfen können. Im Kern gehe es um Vorfälle in den für das Gemeinwesen besonders bedeutenden Einrichtungen - den sogenannten kritischen Infrastrukturen wie der Wasser- und Energieversorgung - sowie um die Bundesverwaltung. Im Interview erklärt der Chef des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, wie sich Deutschland noch gegen Cyber-Kriminelle schützen kann.

Herr Schönbohm, wie oft wird das BSI über das Internet angegriffen?
Es gibt im Durchschnitt 15 gezielte und tausende ungezielte Angriffe am Tag auf Regierungsnetze im Informationsverbund Bonn-Berlin.
Warum konnten Sie den Bundestag nicht schützen, der im vergangenen Jahr von Russland aus angegriffen worden ist?
Der Bundestag ist nicht Bestandteil des Regierungsnetzes und hat aus eigener Entscheidung die zentralen Sicherheitskomponenten des BSI nicht in Anspruch genommen. Wir haben das Parlament unterstützt, nachdem der Angriff entdeckt worden ist und wir haben angeboten, Teile des Datenverkehrs des Bundestags über das Regierungsnetz laufen zu lassen. Temporär ist dies erfolgt, langfristig war dies aber nicht gewünscht.
Ist der Bundestag jetzt sicher?
Er ist sicherer als vorher. Er hat eigene Sicherheitsmaßnahmen eingeführt und die Sicherheitsarchitektur teilweise verändert.
Sind die Bundesbehörden sicher?
Bisher konnten wir alle gezielten Angriffe abwehren. Aber wir müssen weiter investieren und die Sicherheitsmaßnahmen stetig modifizieren, damit das auch so bleibt.
Wie schützen Sie die Behörden des Bundes vor Cyber-Angriffen?
Wir setzen ein mehrstufiges Sicherheitsmodell ein, das hauptsächlich auf selbstentwickelten Schutzmaßnahmen basiert. Auf Details möchte ich an dieser Stelle nicht eingehen.
Wie schätzen Sie die Sicherheitslage in der Informationstechnologie ein?
Die Gefährdung ist groß. Die organisierten Kriminellen verdienen mit Cyber-Angriffen mehr Geld als mit Drogen. Das geht weltweit in die Hunderte von Milliarden. In Deutschland werden die Schadenspotenziale auf bis zu 50 Milliarden Euro pro Jahr geschätzt.
Die meisten personenbezogenen Daten werden nicht vom Bund, sondern von Ländern und Kommunen bearbeitet. Schützen Sie die auch?
Als Bundesbehörde liegen Länder und Kommunen nicht in unserer unmittelbaren Zuständigkeit. Wir unterstützen aber gern, auf Anforderung.
Was ist Schwerpunkt Ihrer Arbeit?
Das BSI hat eine große Bandbreite. Das reicht von der Verschlüsselung über Beratung bis zur Zertifizierung von Produkten und Dienstleistungen. Das BSI ist Weltmarktführer im Bereich der Zertifizierung. Schwerpunkt ist derzeit, das IT-Sicherheitsgesetz umzusetzen und die Kooperation mit der Wirtschaft zu verbessern. Das Brot- und Buttergeschäft ist der Schutz des Bundesnetzes. Für die Bürger haben wir eine eigene Website und eine Hotline, wo praktische Tipps gegeben werden, was man gegen Cyber-Angriffe tun kann. Wir bekommen jeden Tag Dutzende von Anfragen. Auf der Homepage www.bsi-fuer-buerger.de haben wir rund 80 000 Nutzer pro Monat.
Aufgrund des IT-Sicherheitsgesetzes bekommen Sie jetzt Meldungen über Cyber-Angriffe von Unternehmen, die zur kritischen Infrastruktur gehören, wie Telekommunikation und Energieversorgung. Wie viele haben Sie schon erhalten?
Die Kritis-Verordnung ist kürzlich in Kraft getreten, die Prozesse laufen an. Informationen dazu werden wir im Lagebericht zur Cyber-Sicherheit aufbereiten, den wir im Herbst veröffentlichen.
Sie wollen die Zusammenarbeit mit der Wirtschaft verbessern. Wie geht das?
Wir wenden uns stärker an die Anwender von IT, führen Gespräche und gründen Arbeitskreise mit ihnen. Um mehr IT-Sicherheit in Deutschland zu erreichen, brauchen wir die Entscheider in den Unternehmen. IT-Sicherheit findet nicht nur auf der Fachebene statt. Wir diskutieren darüber intensiv mit Vorständen und Aufsichtsräten. Ich habe beispielsweise die DAX-Unternehmen für September eingeladen, um die Cyber-Gefahrenlage zu diskutieren, die M-DAX-Unternehmen eine Woche später.
Zögern Unternehmen, Cyber-Angriffe zu melden, weil das ihrem Image schadet?
Das war so. Wir erleben aber gerade, dass sehr viele Unternehmen interessiert sind, in einen konstruktiven Dialog mit uns einzutreten und Informationen auszutauschen.
Ist Online-Banking sicher?
Für den Kunden, ja. Wir stufen das als sicher ein, wenn sie es – wie beim Mobile-TAN-Verfahren - mit zwei Geräten machen. Wir raten aber davon ab, Online-Banking nur auf einem Smartphone zu machen, denn dann ist die Zwei-Wege-Sicherung nicht mehr gewährleistet. Ein Problem kann auch der eigene Rechner sein, wenn durch Schadsoftware die Zugangsdaten von Fremden mitgelesen werden können.
Hat das BSI genügend Personal?
Wir haben im vergangenen Jahr einen deutlichen Sprung nach oben gemacht und werden bis Ende des Jahres rund 700 Stellen haben. In Zukunft erwarte ich wegen der steigenden Herausforderungen in der Digitalisierung weitere Stellen. Ohne Cyber-Sicherheit wird es keine erfolgreiche Digitalisierung geben. Das muss aber organisch wachsen.
Finden Sie genügend gute Leute? Können Sie ihnen genug bezahlen?
Das BSI bietet als Arbeitgeber eine Reihe von Vorteilen. Mitarbeiter haben eine andere Balance von Arbeit und Leben als in der Wirtschaft. Das BSI gehört zu den beliebtesten Arbeitgebern Deutschlands. Zurecht, denn während man als IT-Spezialist in der Wirtschaft oft nur Datenbanken pflegt, kann man im BSI spannende und gesellschaftlich relevante Themen mitgestalten. Es gibt zudem eine BSI-Zulage und eine zeitlich befristete IT-Gewinnungszulage zusätzlich zu den Entgelten des öffentlichen Dienstes.
Sind zusätzliche Gesetze nötig, um die IT-Sicherheit zu verbessern?
Das IT-Sicherheitsgesetz ist gerade erst in Kraft getreten, wir setzen zunächst die neuen Bestimmungen und Verordnungen um. Ob weitere Gesetze nötig sind, muss der Gesetzgeber entscheiden.
Die Digitalisierung nimmt zu - in der Industrie, in der Medizin, bei den Autos. Müssen Sie das aus Sicherheitsgründen bremsen?
Die Chancen der Digitalisierung für den Industriestandort Deutschland sind groß. Daher sollte der Staat nicht bremsen, aber dazu beitragen, dass die Digitalisierung erfolgreich ist. Wir warnen vor Anwendungen mit großen Unsicherheiten und geben Empfehlungen für Sicherheitsmaßnahmen. IT-Sicherheit muss schon bei der Entwicklung neuer Produkte und Services mitbedacht werden. Wir sagen aber nicht, dass bestimmte Funktionen nicht digitalisiert werden dürfen.
Beraten Sie die Bundeswehr beim Aufbau der geplanten Cyber-Teilstreitkraft?
Wir tauschen uns diesbezüglich aus. Die Gespräche darüber führen die Minister und Staatssekretäre des Verteidigungs- und des Innenministeriums. Wir werden zu Fachfragen hinzugezogen, wenn es notwendig ist. Die Bundeswehr arbeitet auch im Nationalen Cyber-Abwehrzentrum mit.
Warum muss es außer dem BSI noch ein Cyber-Abwehrzentrum geben?
Das Cyber-Abwehrzentrum hat sich seit der Gründung vor fünf Jahren als Kooperationsplattform der beteiligten Behörden etabliert. Wir tauschen uns dort aus, besprechen Angriffe und überlegen, wie darauf reagiert werden muss. Eine Behörde alleine kann das nicht, ein unabgestimmtes Vorgehen ist im Cyber-Raum nicht zielführend. Man muss die Informationen zusammenführen und die operativen Maßnahmen koordinieren. Es läuft immer besser.
Kann eine Behörde schnell genug arbeiten, um der Wirtschaft gegen Cyber-Angriffe zu helfen?
Es gibt viele Vorurteile über die Arbeitsweise auf beiden Seiten. Ich versuche, das Beste aus beiden Welten zusammenzubringen und die Kooperation mit der Wirtschaft auszubauen. Dabei stehen nicht die Cyber-Sicherheitsfirmen im Mittelpunkt, sondern die Anwender von IT, die eine zentrale Rolle spielen bei der Digitalisierung unseres Landes. Wir müssen das Thema Informationssicherheit aus der reinen Fachebene herausholen und die Entscheider überzeugen. Die wissen oft nicht, was sie tun sollen.
Also ist die Wirtschaft nicht genug geschützt?
Die mittelständischen Unternehmen tun noch nicht genug. Ein IT-Beauftragter reicht dafür nicht. Der Chef muss verstehen und hinterfragen, was dort gemacht wird. Cyber-Sicherheit wird bei der Digitalisierung ein Wettbewerbsfaktor sein. Jedes Unternehmen muss künftig einen Digitalisierungs-Vorstand haben.
Immer mehr Unternehmen lagern ihre Daten in die Cloud aus, also auf Server von externen IT-Unternehmen. Ist das sicher?
Die Cloud ist sicher, wenn der Cloud-Anbieter entsprechende Sicherheitsmaßnahmen umsetzt und Sicherheitslücken schnell geschlossen werden. Die Verantwortung für die Sicherheit ihrer Daten liegt aber bei den Cloud-Kunden. Sie müssen Sicherheitsmaßnahmen von Cloud-Anbietern einfordern, ebenso Nachweise der Sicherheit. Firmenkunden sollten sich insbesondere Prüfberichte auf Basis des Anforderungskatalogs Cloud Computing des BSI vorlegen lassen.
Geben die Bundesbehörden ihre Daten auch in die Cloud?
Die Bundesverwaltung baut zurzeit die Bundescloud auf. Behörden sollen künftig vorrangig Dienste aus dieser Bundescloud nutzen. Bei der Nutzung externer Cloud-Dienste muss nach einem Beschluss des IT-Rats besondere Vorsicht herrschen. Insbesondere müssen die Sicherheitsmaßnahmen sehr genau geprüft werden.
Darf die Telekom mit ausländischen IT-Unternehmen, wie mit der chinesischen Firma Huawei zusammenarbeiten? Ist das nicht ein Einfallstor in deutsche IT-Systeme?
Zu unternehmerischen Entscheidungen der Wirtschaft möchte ich mich nicht äußern. Was die Bundesverwaltung betrifft, so würden etwaige Bedenken im Rahmen von Ausschreibungen berücksichtigt.
Arbeitet die Bundesregierung mit Huawei zusammen?
Meines Wissens nach nicht.
Soll man die Finger von Sicherheitssoftware lassen, die in Russland hergestellt wird? Hat der Bund Sicherheitsprogramme von Kaspersky auf den Computern?
Es gibt für die Bundesverwaltung einen Rahmenvertrag über die Ausstattung mit Antiviren-Software, der aktuell neu ausgeschrieben wird. Im Regierungsnetz setzen wir hauptsächlich eigene Entwicklungen ein.