Im Exklusiv-Interview verrät Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), welche Bedrohungen auf die IT-Industrie zukommen und wie jeder einzelne Anwender dabei mithelfen kann, das Internet etwas sicherer zu machen.
Lieber Herr Schönbohm, laut einer aktuellen Statistik ist in Deutschland in diesem Jahr mit einem starken Anstieg an Cyberkriminalität zu rechnen. Was sind Ihrer Meinung nach dafür die Gründe?
Schönbohm: Nach den Informationen und Auswertungen des BSI ist die Gefährdungslage insgesamt vielfältiger geworden und quantitativ weiterhin auf hohem Niveau angespannt, weist aber eine neue Qualität auf. Ziele der Angriffe sind die Grundpfeiler einer sicheren IT und IT-Architektur: Update-Mechanismen, Prozessoren und Verschlüsselungstechnologien. Hardware-Sicherheitslücken wie Spectre/Meltdown und Spectre NG haben das Potenzial, aktuelle Geschäftsmodelle und grundlegende IT-Sicherheitskonzepte obsolet zu machen. Die betroffenen Chips sind millionenfach verbaut und bilden eine Grundlage des modernen Computers. Das ist eine neuartige Problemlage.
Die Polizeibehörden der Länder und des Bundes beobachten, dass sich das ganz „normale“ Verbrechen immer weiter ins Internet verschiebt. Straftaten wie Betrug, Erpressung, Raub, Drogenhandel verlagern sich dorthin und ergänzen die klassische Cyberkriminalität wie gestohlene Kontodaten, Identitätsdiebstahl oder Hacking. Täter nutzen extensiv die Möglichkeiten der Digitalisierung, und wir machen es ihnen immer noch viel zu einfach. IT-Produkte und ihre Software weisen erhebliche Qualitätsmängel in Bezug auf IT-Sicherheit auf, Nutzer sind noch nicht ausreichend achtsam – allen negativen Erfahrungen zum Trotz.
Bislang klären nur wenige Firmen ihre Mitarbeiter vor Gefahren wie z.B. Phishing auf, in der Schule ist das Thema Cybersecurity gar kein Thema. Und im Urlaub herrscht eine „Mir wird schon nichts passieren“-Einstellung. Hauptsache ein freies WLAN. Was muss denn passieren, damit ein „Cyber-Ruck“ durch Deutschland geht.
Schönbohm: Ich hoffe sehr, dass nicht eine massive negative Erfahrung erforderlich ist. Beispiele dafür aus dem Ausland gibt es genug, ob man nun an Manipulationen im US-amerikanischen Wahlkampf, Angriffe auf die Stromversorgung in der Ukraine, mehrtägige Produktionsausfälle und lahmgelegte Fabriken in zahlreichen europäischen Ländern und in den USA durch die Ransomware „WannaCry“ denkt. Die Schadensschätzungen reichen weltweit von einigen Hundert Millionen Dollar bis zu vier Milliarden Dollar. Insgesamt hat Ransomware Unternehmen im Jahr 2017 nach veröffentlichten Schätzungen weltweit mehr als 8 Milliarden Dollar gekostet.
Ich setze weiter auf Aufklärung der Bürgerinnen und Bürger, ich setzt auf ein wachsendes Sicherheitsverständnis in den Unternehmen, ich setze auf verstärkte Anstrengungen des Staates, einen gleichermaßen robusten wie flexiblen gesetzlichen Rahmen konsequent weiterzuentwickeln.
Jetzt hatten wir es bislang vor allem mit Angriffen auf Windows-Computer und Android-Smartphones zu tun, aber die nächste Welle könnte alles bisher Dagewesene in den Schatten stellen. In einem durchschnittlichen Smart Home sind die meisten IoT-Geräte gar nicht oder nur zu unzureichend geschützt, für Cybergangster die perfekte Spielwiese. Graut es Ihnen vor dieser Entwicklung oder sagt das BSI „Jetzt erst recht!“?
Schönbohm: Natürlich sagen wir „Jetzt erst recht“. Wir können und wollen die Digitalisierung nicht stoppen oder zurückdrehen. Sie wird weiter alle Lebensbereiche tiefer durchdringen, sie wird die Produktionsabläufe in den Unternehmen revolutionieren, sie wird ein wichtiger Faktor für Verwaltung und staatliches Handeln sein. Denn sie bringt ja unzweifelhaft viele Vorteile und Erleichterungen für jeden von uns mit sich, aber auch Herausforderungen
Aber: Cyber-Sicherheit ist die Voraussetzung dafür. Wir müssen darum angesichts der hohen Innovationsgeschwindigkeit der Digitalisierung jetzt handeln. Wir müssen jetzt unsere Anstrengungen weiter verstärken, die Digitalisierung durch Informationssicherheit positiv zu gestalten. Es wird keine erfolgreiche Digitalisierung ohne Cyber-Sicherheit geben. Genauso, wie es politisch und gesellschaftlich akzeptiert ist, einen bestimmten Prozentsatz des Bruttoinlandproduktes für Verteidigungsausgaben bereitzustellen, muss auch ein bestimmter Prozentsatz der Aufwendungen für IT für die sichere Gestaltung der Digitalisierung bereitgestellt werden.
Im Internet können sich Nutzer in allen Ecken dieser Welt neue Produkte beschaffen und dann zuhause in Ihr Netz einbinden. Muss man nicht schon vor dem Verkauf auf die Anbieter einwirken und sie zu zertifizierten Schutzmaßnahmen verpflichten?
Schönbohm: Ja, das ist richtig und wichtig. Die Sicherheit der eingesetzten Produkte, IT-Dienstleistungen und Systeme in der staatlichen Verwaltung, in der Wirtschaft und beim Endanwender muss durch „Security by design“ und „Security by default“ von vornherein gewährleistet sein.
Deutschland muss in dieser Frage eine Vorreiterrolle einnehmen. Bereits in der 2016 veröffentlichten Cyber-Sicherheitsstrategie für Deutschland hat das Bundesinnenministerium die Einführung eines Gütesiegels für IT-Sicherheit angekündigt. Das Vorhaben wurde im Koalitionsvertrag 2018 bestätigt. Das BSI zertifiziert schon heute Produkte, die dann zumeist in Digitalisierungsprojekten des Bundes angewendet werden. Die bestehenden Verfahren müssen verbrauchergerecht fortentwickelt werden, um Produkte und Dienstleistungen für den Verbrauchermarkt zu berücksichtigen. Daran arbeitet das BSI derzeit. Wir messen dem digitalen Verbraucherschutz sehr hohe Priorität bei.
Das IT-Lage- und Analysezentrum des BSI beobachtet rund um die Uhr die Sicherheitslage und schlägt im Falle eines kritischen Vorfalls Alarm. Wie profitiert denn der normale Nutzer in Deutschland davon, bzw. kann jeder dabei mithelfen Deutschland ein Stück weit cybersicherer zu machen?
Schönbohm: Wenn es einen Cyber-Sicherheitsvorfall gibt, warnen wir die Betroffenen, zum Beispiel die Kritischen Infrastrukturen, direkt oder über unsere Netzwerke wie die Allianz für Cyber-Sicherheit. Wir informieren auch Provider und geben unsere Erkenntnisse weiter, damit diese ihre Kunden informieren können. Oder wir sind vor Ort mit einem „Mobile Incident Response Teams“ (MIRT), um konkrete Hilfestellungen zu geben und die IT-Infrastruktur nach einem Angriff wieder instand zu setzen. Davon profitieren staatliche Einrichtungen, die Kritischen Infrastrukturen, die Wirtschaft und die Bürgerinnen und Bürger.
Und die können auch alle mithelfen, Deutschland ein Stück weit cybersicherer zu machen. Indem sie nicht jede E-Mail öffnen und ihre Kontodaten in alle Welt schicken, indem sie Verschlüsselungstechnik anwenden, indem sie einfach schauen, ob sie nicht nur Fenster und Türen geschlossen und die Wertgegenstände sicher im Safe verschlossen haben, sondern auch die Sicherheits-Updates ihres Computers genutzt haben. Wenn wir lernen, mit unserem virtuellen Eigentum so sorgfältig umzugehen wie mit dem physischen, dann ist schon viel gewonnen.
Das Interview führte @AxelTelzerow
Nun muss ihn doch nur anschauen, dann spricht es doch Bände was für eine Pfeife, jedenfalls in meinen Augen, er ist.
So was stellt man in so eine gehobene Position.
Seehofer und er passen doch in einen Topf….
Der eine kriegt nicht einmal vernünftig zwei zusammenhängende Sätze hin, und der andere kommt daher als Präsentant eines Watteherstellers, wo sind wir eigentlich??