– ­gemeinsam Handeln für mehr Vertrauen –

Vieles hängt heute vom Internet und den angeschlossenen IT-Systemen ab: Weltweite Kommunikation, geschäftskritische Prozesse von Wirtschaft und Verwaltung oder die Aufrechterhaltung notwendiger Grundversorgungseinrichtungen des öffentlichen Lebens. Die zunehmende Durchdringung des geschäftlichen, gesellschaftlichen und privaten Lebens mit Informations- und Kommunikationstechnologien erfordert eine kontinuierliche Auseinandersetzung einerseits mit dem unbestreitbar großen innovativen Potenzial, das IT und Internet bieten können – andererseits aber auch mit den Sicherheitsmaßnahmen, die notwendig sind, um Informationstechnik sicher und zuverlässig betreiben und nutzen zu können.

Als nationale Sicherheitsbehörde ist es das Ziel des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die IT- und Cyber-Sicherheit in Deutschland zu fördern. Dabei agiert das BSI in erster Linie als zentraler IT-Sicherheitsdienstleister des Bundes. Mit unserem Angebot wenden wir uns aber auch an die Hersteller sowie die privaten und institutionellen Nutzer und Anbieter von Informationstechnik. Eine enge Zusammenarbeit mit allen Akteuren der IT- und Internetbranche auf dem Gebiet der IT-Sicherheit ist unser Anliegen. Aus unserer täglichen Arbeit, beispielsweise zum Schutz der Regierungsnetze, wissen wir, dass in Deutschland permanent Cyber-Attacken stattfinden, die die Leistungsfähigkeit des Standortes massiv beeinträchtigen können. Die Art der Angriffe stellt sich dabei sehr unterschiedlich dar. Es lassen sich Massenangriffe, gezielte sowie skalpellartige Angriffe verzeichnen. Den Angreifern geht es einerseits um Informationsgewinnung, um mit den Daten und digitalen Identitäten von Bürgern Geld zu erbeuten. Auf der anderen Seite erfolgen Angriffe auf Wirtschaftsunternehmen, um vertrauliche Informationen auszuspionieren und um einen Know-how-Abfluss zu erreichen. Zudem gibt es grundsätzlich auch ein Angriffspotenzial auf Wirtschaft und Verwaltung, das darauf abzielt, Infrastrukturen außer Betrieb zu setzen oder zu sabotieren. Auch gesellschaftspolitisch motivierte Akteure, so genannte Hacktivisten, bedienen sich der Möglichkeiten, die ihnen der Cyber-Raum für die Verbreitung und Durchsetzung ihrer Anliegen bietet.

Die Zahl der Angriffe, die über den Cyber-Raum auf digitale Identitäten, vertrauliche Daten und die Verfügbarkeit elektronischer Prozesse zielen, nimmt nach wie vor zu, wie ein Blick auf die Statistiken zeigt: Täglich verzeichnet das Nationale IT-Lagezentrum des BSI 13 Schwachstellen in Standardprogrammen und rund 60 000 neue Schadprogramme und Varianten. Im Rahmen der Arbeit zum Schutz der Regierungsnetze beobachtet das BSI zudem pro Tag 2 500 ungezielte Angriffe auf das Regierungsnetz sowie fünf bis zehn gezielte Angriffe auf das Regierungsnetz und pro Monat 35 000 Zugriffsversuche aus dem Regierungsnetz auf kompromittierte Webseiten. In einem Vierteljahr haben wir darüber hinaus 250 000 Identitätsdiebstähle registriert. Betroffen ist nicht nur das Online-Banking, sondern auch der E-Commerce und soziale Netze.

Neue Technologien wie Smartphones oder Tablets bieten zudem weniger Sicherheitsmechanismen als die klassischen PCs oder Notebooks. Sie stellen damit ein größeres Risiko dar und sind leichter angreifbar. Ebenso kann Vertrauen in den Megatrend Cloud Computing, das heißt die Verlagerung von Daten zur Verarbeitung und Speicherung in großen Rechenzentren über das Internet, nur durch die Berücksichtigung transparenter Sicherheitsstandards entstehen. Eine weitere große Herausforderung in Bezug auf die IT-Sicherheit werden die Smart Grids als künftige intelligente Stromnetze sein, da der Verbrauch über Kommunikationsnetze gesteuert wird, die prinzipiell auch angreifbar sein können.

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 1. Januar 1991 gegründet und gehört zum Geschäftsbereich des Bundesministeriums des Innern. Das BSI ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Als Behörde ist sie damit im Vergleich zu sonstigen europäischen Einrichtungen einzigartig. Derzeit sind dort ca. 550 Informatiker, Physiker, Mathematiker und andere Mitarbeiter beschäftigt. Seinen Hauptsitz hat das BSI in Bonn.

Mit der rasanten Fortentwicklung der Informationstechnik entstehen in fast allen Bereichen des Alltags neue IT-Anwendungen – und damit auch immer neue Sicherheitslücken. Je abhängiger der Mensch von der Informationstechnik wird, desto mehr stellt sich die Frage nach deren Sicherheit. Unsere Gesellschaft ist stärker als zuvor durch Computerversagen, -missbrauch oder -sabotage bedroht. Bisher kann nicht ausreichend sichergestellt werden, dass die Informationstechnik das tut, was sie soll, und nichts tut, was sie nicht soll. Weil die Probleme in der Informationstechnik so vielschichtig sind, ist auch das Aufgabenspektrum des BSI sehr komplex.

Cyber-Angriffen begegnen

Die zunehmende Professionalisierung von Angreifern und Angriffsmethoden führt zu einer dynamischen Gefährdungslage. Mehr als 80 Prozent der bekannten Angriffe lassen sich jedoch mit Standard-Schutzmaßnahmen abwehren, beispielsweise im Rahmen von IT-Grundschutz. Oft mangelt es jedoch an der Umsetzung dieser Standardmaßnahmen. Beispielsweise ist das Patchmanagement nicht aktuell, es werden Passwörter schlecht gewählt oder sind gar nicht vorhanden. Unternehmen setzen auch oftmals veraltete und nicht aktualisierte Software ein. Das hängt häufig mit Investitionen und Finanzierbarkeit zusammen, oft aber auch schlicht mit Nachlässigkeit.

Die restlichen Prozent betreffen gezielte hochprofessionelle Angriffe, gegen die es sehr schwierig ist, vorbeugende Maßnahmen zu ergreifen. Grundsätzlich sollten sich Unternehmen und Organisationen der Risiken bewusst sein, die sich durch die Möglichkeit eines Cyber-Angriffs ergeben. Dazu gehört auch, die vorhandenen Daten, Infrastrukturen und Prozesse kontinuierlich auf ihren Schutzbedarf hin zu analysieren. Bei Informationen mit hohem Schutzbedarf ist zu überlegen, ob und wie die Zugriffswege sicher gestaltet werden können. Zudem sind solche Vorkommnisse in entsprechende Krisen-Reaktionspläne einzuplanen.

Ein wichtiger Bestandteil eines effektiven Schutzes vor Cyber-Angriffen ist die Analyse der Angriffsmethoden und -techniken. Das BSI wertet daher eine Vielzahl von Quellen aus, um technische Informationen über diese Methoden zu sammeln, Trends und Vorfälle in der IT-Sicherheit zu analysieren und daraus entsprechende Gegenmaßnahmen zu entwickeln, die sowohl präventiv als auch im Falle eines akuten Angriffs einsetzbar sind. Operativ zuständig ist das BSI dabei für die Sicherheit der Regierungsnetze, in denen das BSI eigene Sensoren betreibt, um Anomalien und Angriffe erkennen zu können. Über diese rein technischen Daten hinaus wird der Überblick über die Sicherheitslage in den Regierungsnetzen auch durch die Funktion des BSI als zentrale Meldestelle für IT-Sicherheitsvorfälle unterstützt: Bundesbehörden sind verpflichtet, IT-Sicherheitsvorfälle umgehend an das Lagezentrum des BSI zu melden. So kann abgeschätzt werden, welche Ausmaße ein Vorfall hat, ob andere Institutionen ebenfalls gefährdet oder sogar betroffen sind. Unter Umständen werden dann Warnungen ausgesprochen und adäquate Gegenmaßnahmen entwickelt.

Grundsätzlich sollten sich Unternehmen und Organisationen der Risiken bewusst sein, die sich durch die Möglichkeit eines Cyber-Angriffs ergeben. Dazu gehört auch, die vorhandenen Daten, Infrastrukturen und Prozesse kontinuierlich auf ihren Schutzbedarf hin zu analysieren. Bei Informationen mit hohem Schutzbedarf ist zu überlegen, ob und wie die Zugriffswege sicher gestaltet werden können. Zudem sind solche Vorkommnisse in entsprechende Krisen-Reaktionspläne einzuplanen.

Allianz für Cyber-Sicherheit

Angesichts der dynamischen Bedrohungslage ist insbesondere Hilfe zur Selbsthilfe von besonderer Bedeutung. In der Tradition des Grundschutzhandbuches, das gemeinsam mit der Wirtschaft entwickelt wurde, hat das BSI 2012 gemeinsam mit dem Industrieverband BITKOM die Allianz für Cyber-Sicherheit initiiert. Kerngedanke ist es, in einem partnerschaftlichen Ansatz von BSI und Wirtschaft, aus der Analyse von Schwachstellen und Schadensfällen sehr schnell Lösungen zum Schutz vor Cyber-Angriffen aufzuzeigen.

Die Allianz besteht aus Partnern als Anbieter von Lösungen und Teilnehmer als Nutzer und Multiplikatoren, um möglichst breit die Wirtschaft und Verwaltung zu erreichen. Bislang haben sich 290 Partner und Teilnehmer zusammengefunden. Durch die Gründung des Beirates der Allianz für Cyber-Sicherheit im Mai 2013 hoffen wir auf eine noch größere Verbreitung, da sich der Beirat aus Vertretern großer Wirtschaftsverbände zusammensetzt. Seit ihrem Bestehen wurden über 60 Sicherheitsempfehlungen  herausgegeben.  Damit ergänzt die Allianz im Rahmen der Cyber-Sicherheitsstrategie für Deutschland die Maßnahmen des Umsetzungsplans KRITIS, die für die kritischen Informationsinfrastrukturen unternommen werden.

Unternehmen müssen sich der Gefahr und möglichen Schäden durch IT-Angriffe bewusst werden und handeln. Je abhängiger ein Unternehmen von einem funktionierenden IT-System ist, desto höher sollten auch die Investitionen für ein IT-Sicherheitsmanagement sein. Die andere Seite betrifft alle Akteure aus Staat, Wirtschaft und Gesellschaft: Nur wenn sie gemeinsam agieren, lässt sich Cyber-Sicherheit gewinnen. Der Staat kann die Sicherheitsprobleme im Internet und des Internets nicht alleine lösen, er kann Rahmenbedingungen schaffen, um in einer engen Zusammenarbeit mit Wirtschaft, Wissenschaft und Gesellschaft das IT-Sicherheitsniveau zu erhöhen. Deswegen setzt auch das BSI auf eine enge Zusammenarbeit mit den verschiedenen Beteiligten. Langfristig hängt der positive Mehrwert der IT – im gesellschaftlichen und wirtschaftlichen Sinne – davon ab, ob Anwender und Nutzer ­Vertrauen in die Infrastrukturen haben. Eine wesent­liche Grundlage für dieses Vertrauen bildet die Sicher­heit.

Anschrift des Verfassers:

Foto_Hr_Hange_groß_webMichael Hange
Präsident
Bundesamt für Sicherheit in der Informationstechnik
Godesberger Allee 185-189
53175 Bonn

 

Dipl.-Mathematiker
Michael Hange

Seit 1977: Tätigkeit in der Bundesverwaltung auf dem Gebiet der IT-Sicherheit
1991: Leiter der Abteilung Beratung und Unterstützung im BSI; dabei Entwicklung des IT-Grundschutzhandbuches zum Aufbau eines wirksamen IT-Sicherheitsmanagements in Verwaltung und Wirtschaft
1994 – Januar 2009: Vizepräsident des BSI
Februar 2009: Ernennung zum ständigen Vertreter des IT-Direktors im Bundesministerium des Innern; Aufgaben in dieser Funktion: IT-Sicherheit und die internationale Zusammenarbeit
Oktober 2009: Präsident des BSI; wichtige Projekte: u. a. Einführung des neuen Personalausweises oder der De-Mail
Mitgliedschaft im Verwaltungsbeirat der European Network and Information Security Agency (ENISA)
Seit April 2011:  Sprecher des unter Federführung des BSI gegründeten Nationalen Cyber-Abwehrzentrums