Crisis Prevention sprach mit dem Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik, Michael Hange, über Internetkriminalität, Gefährdungen der öffentlichen und privaten Systeme und Rechner sowie geeignete Schutzmaßnahmen. Peter Franz aus der Verlagsleitung und Hans-Herbert Schulz aus der Redaktion führten das Gespräch.

CP: Die Zahl der Angriffe, die über den Cyber-Raum auf digitale Identitäten, vertrauliche Daten und die Verfügbarkeit elektronischer Prozesse zielen, nimmt nach wie vor zu. Wird das Ausmaß des möglichen Problems in der Öffentlichkeit ausreichend wahrgenommen oder ist das nach wie vor eher eine Frage für ein Fachpublikum?

BSI: Die Zunahme von Cyber-Angriffen ist ein Thema, das über das Fachpublikum hinaus geht. Man muss zwei Ebenen unterscheiden: einmal eine Betroffenheit über die eigene Verwundbarkeit und den Verlust an Vertrauenswürdigkeit, zum anderen zunehmende Verbrechensformen wie Identitätsdiebstahl, Spionage oder Sabotage. Ein neuer Trend hierbei ist die Cyber-Erpressung, bei der Systeme gesperrt oder übernommen werden, um damit Lösegeld zu erpressen. Es trifft gleichermaßen die Wirtschaft wie Privatpersonen. Bekanntes Beispiel ist der sogenannte „BKA-Trojaner“, der seit einiger Zeit in immer neuen Varianten verbreitet wird und unter der Maskerade einer amtlichen Behörde vorgibt, den Rechner des Nutzers aufgrund angeblicher Straftaten gesperrt zu haben. Als Betroffener sollte man keinesfalls zahlen, sondern Maßnahmen ergreifen, den Rechner zu säubern. Im letzten Quartal 2012 waren auch 250 000 gestohlene Identitäten zu verzeichnen. Jeder kann Opfer sein, eine Privatperson wie auch ein Unternehmen. Leider ist vielerorts das Bewusstsein hierfür noch nicht sehr ausgeprägt. Als BSI sehen wir es deswegen als unsere Aufgabe an, die Aufklärung und Sensibilisierung voranzutreiben und Hilfestellungen zu geben. Wir haben es mit einer arbeitsteilig organisierten und hochprofessionellen kriminellen Untergrundindustrie zu tun. Angesichts der zunehmenden Vernetzung und Digitalisierung der Gesellschaft müssen wir uns fragen, wie wir die Infrastruktur besser absichern können, von der wir immer mehr abhängig sind und die auch für die Wertschöpfung künftig eine immer größere Rolle spielt.

CP: Neben Identitätsdiebstahl gibt es auch Cyber-Angriffe auf die Verfügbarkeit von Diensten oder Infrastrukturen, die „Denial of Service“ Angriffe…

IT-Sicherheit, ENISA, BSI, Bundesamt für Sicherheit in der Informationstechnologie

Michael Hange, Präsident des BSI, während des Interviews mit der CP-Redaktion.

BSI: Ja, dabei versucht man, möglichst viele infizierte Rechner zu einem Botnetz zu bündeln und mit diesem dann ein Ziel anzugreifen. Inzwischen ist auch das ein Geschäftsmodell einer kriminellen Untergrundindustrie geworden. Es gibt Vertriebsstrukturen im Internet, wo Angriffswerkzeuge oder ganze Botnetze gekauft oder auch gemietet werden können. Es gibt sogenannte Trojaner-Toolboxen oder -koffer, die man für 300 – bis 3 000 Euro kaufen kann. Für 3 000 Euro kann man einen Rund-um-die-Uhr-Service gleich mit bestellen, mit Erfolgsgarantie und einfacher Bedienbarkeit. Das ist eine dramatische Entwicklung, aber nur die untere Ebene der Angriffe. Es gibt auch Organisationen, die ganz gezielt angreifen, um in bestimmte Systeme einzudringen. Das ist eine Gefährdung, die für Unternehmen, aber auch für Einrichtungen der Verwaltung oder die Regierungsnetze gilt.

CP: Das Schlagwort „Bring Your Own Device“ ist in aller Munde. Ist das für sicherheitsbewusste Unternehmen und Behörden überhaupt eine Lösung für die Zukunft?

BSI: Mit Entwicklungen wie Bring Your Own Device (BYOD) löst sich die Grenze zwischen beruflicher und privater Nutzung von IT immer mehr auf. BYOD bringt für Unternehmen und deren Mitarbeiter natürlich eine Reihe von Vorteilen mit sich, führt jedoch auch zu großen Herausforderungen für die Informationssicherheit und den Datenschutz. Dies muss als strategische Herausforderung angesehen und von der Leitungsebene einer jeden Institution sinnvoll gestaltet werden. Technische Maßnahmen alleine reichen hier nicht aus, auch auf organisatorischer Seite sind Maßnahmen zu treffen. Grundsätzlich sollte immer im Blick behalten werden, ob die Geschäftsprozesse und deren Schutzbedarf es zulassen, dass sich die zugehörigen Informationen mit Consumer-Geräten sicher, rechtskonform und wirtschaftlich verarbeiten lassen. Je nach den vorhandenen Rahmenbedingungen kann dies dann auch bedeuten, dass in der Institution Consumer-Geräte nicht oder nur eingeschränkt eingesetzt werden können. Zu diesem Thema haben wir Empfehlungen zusammengestellt in Form eines Grundschutzüberblickpapiers mit konkreten Handlungsempfehlungen.

CP: Wie steht das BSI BOYD oder der Nutzung mobiler Endgeräte gegenüber?

BSI: Wir befassen uns mit diesen Trends und betrachten die Chancen und Risiken. Als Sicherheitsbehörde haben wir klare Regelungen, was die Nutzung privater Informationstechnologie innerhalb des BSI betrifft. Wenn wir für unsere Behördenmitarbeiter moderne Trends wie „Home Office“ ermöglichen wollen, dann bieten wir dafür auch die geeignete sichere Kommunikations- und Arbeitsgeräte an. Wir setzten SINA-Rechner ein und stellen sichere Kryptohandys wie das SiMKo 3 oder die SecuSUITE-Lösung bereit. Generell gilt: Effizienzsteigerungen durch mobilen Zugriff auf Unternehmensdaten und Prozesse sind die eine Seite der Medaille, die Sicherheit dieser Vorgänge ist die andere. Insofern ist hier ein ganzheitliches Sicherheitskonzept notwendig, das beide Seiten berücksichtigt.

CP: Wenn nun ein Risiko erkannt wird oder ein Schaden auftritt, wie gehen Sie im BSI damit um?

BSI: Wir sind für die IT-Sicherheit der Bundesverwaltung verantwortlich und beobachten mit dem IT-Lagezentrum und dem Computer Emergency Response Team, dem CERT Bund, ständig die IT-Sicherheitslage. In der Erkennung von IT-Sicherheitsvorfällen und der Reaktion darauf hat sich darüber hinaus der kooperative Ansatz bewährt. CERT-Bund arbeitet mit allen wichtigen deutschen CERTs, von Firmen und Forschungsinstituten, aber auch mit dem der Bundeswehr, eng zusammen. Wir sind darüber hinaus auch in die internationale Zusammenarbeit mit EU, NATO und anderen Regierungs-CERTs eingebunden. In einigen Fällen haben wir auch schon beim Aufbau nationaler CERTs geholfen. Beim Auftritt von Schadprogrammen oder anderen IT-Sicherheitsvorfällen ist es wie mit einer Seuche: man muss schnell reagieren. Mit dem CERT-Aufbau vor zwölf Jahren haben wir uns zunächst auf bestimmte Zielgruppen konzentriert: auf die Bundesverwaltung und auch auf Kritische Infrastrukturen. Es ist elementar, die Zielgruppen, von Behörden über die Wirtschaft bis zum Bürger, schnell und gezielt zu warnen. Beim Schadprogramm Stuxnet hat sich gezeigt, dass das Schadprogramm an sich zwar sehr schnell analysiert werden konnte, doch das Ausschließen der Betroffenheit Deutschlands und das Detektieren des eigentlichen Ziels bedurften einiger Zeit. Diese Erfahrung hat zur Gründung des Cyber-Abwehrzentrums beigetragen. Wir müssen in einem solchen Fall alle Kommunikationswege betrachten, in die Wirtschaft, in die Behörden, in die Polizeien, und schnell kommunizieren, wer betroffen ist.

CP: In welcher Form richten Sie die Kommunikation an Privatnutzer?

BSI: Das BSI hat mit „BSI für Bürger“ (www.bsi-fuer-buerger.de) und seit einigen Monaten auch bei Facebook (www.facebook.com/bsi.fuer.buerger) ein Informationsangebot, dass sich speziell an Privatanwender richtet, die sich in der vernetzten Welt sicher bewegen wollen. Neben der reinen Information zu unterschiedlichsten IT-Sicherheitsthemen bieten wir dort auch konkrete Handlungsempfehlungen an. Es ist unser Anspruch, nicht nur auf Risiken und Nebenwirkungen des Internets hinzuweisen, sondern den Anwendern immer auch Wege aufzuzeigen, mit diesen Risiken umzugehen oder sie zu minimieren. So haben wir beispielsweise ein Papier veröffentlich, in dem wir aufzeigen, wie man seinen PC unter Windows, Mac OS oder Linux sicher konfigurieren kann.

IT-Sicherheit, ENISA, BSI, Bundesamt für Sicherheit in der Informationstechnologie

Das BSI mit Sitz in Bonn. (Bild: BSI)

CP: Cloud Computing ist seit einigen Jahren in aller Munde, seit einiger Zeit auch die Verarbeitung von Massendaten („bigdata“). Welche Position nimmt das BSI hierzu ein?

BSI: Durch die Zentralisierung von Sicherheitsfunktionalitäten in einer Private Cloud lässt sich das IT-Sicherheitsniveau insbesondere von vielen kleinen und mittleren Unternehmen und Behörden unter Umständen erheblich verbessern. Das BSI hat schon vor zwei Jahren Mindestsicherheitsanforderungen zum Thema Cloud Computing veröffentlicht und diese auch mit der Wirtschaft diskutiert. Dort zählen wir auf, welche Anforderungen aus Nutzersicht an die Cloud zu stellen sind. Eine Cloud kann ein Sicherheitsgewinn sein, nur muss die Kompetenz für die Handlungs- und Steuerungsfähigkeit immer beim Unternehmen liegen. Eine Besonderheit, die speziell in den letzten Wochen und Monaten thematisiert wurde, ist der physische Standort dieser Clouds. Es ist schon aufgrund der unterschiedlichen Datenschutzregelungen ein Unterschied, ob die Cloud-Server in Deutschland oder im Ausland stehen, selbst in Europa gibt es große Unterschiede, denken Sie an England oder Irland. Vor dem Hintergrund ist auch die europaweite Harmonisierung des Datenschutzes von Bedeutung, weil der Datenschutz in anderen Ländern den Betreibern einer Cloud immer noch andere Möglichkeiten gibt, als dies beispielsweise in Deutschland der Fall wäre. Als BSI unterstützen wir auch europäische Cloud-Initiativen wie die European CloudPartnership.

Big Data an sich ist eine Verknüpfung mathematischer Algorithmik mit sozialwissenschaftlich-empirischen Erkenntnissen, es geht um Verhaltensfaktoren, um Mathematik plus Psychologie. Seit Jahren ist die Auswertung der Nutzerdaten Realität. Jeder weiß, dass sich, wenn zwei den gleichen Suchbegriff in Suchmaschinen eingeben, die Angebote durchaus unterscheiden. Durch Setzen von „Cookies“ werden Profile gebildet, bei denen Prognosen für detailliertes Konsumentenverhalten möglich sind. Da sind wir aus meiner Sicht an einem Punkt, wo in Deutschland der Datenschutz klar gefordert ist. Aus Sicherheitssicht gibt es auch diejenigen, die argumentieren, dass man mit solchen Informationen Profilbildung betreiben kann, um Verhaltensweisen vorauszusagen, vielleicht um Attentate oder andere Straftaten zu verhindern. In den USA gibt es dahingehend ein anderes Rechtsverständnis als bei uns. Dort ist bei Kenntnis von Alter, Geschlecht und Postleitzahl eine 70 – 80%ige Identifizierung möglich. Big Data kann einen Nutzen haben, in Bereichen wie der intelligenten Verkehrssteuerung oder in der Medizin. Die Grenzen sind aber da, wo es auch um Persönlichkeitsrechte geht.

CP: Ganz aktuell hat die Deutsche Telekom Überlegungen publiziert, für sicherheitsbewusste Kunden im Mail-Verkehr innerhalb Deutschlands sicherzustellen, dass nur Server genutzt werden, bei denen garantiert deutsche IT-Sicherheitsvorgaben eingehalten werden. Was halten Sie von dieser Initiative?

BSI: Wir begrüßen alle Initiativen der Provider, die für mehr Sicherheit des Internetverkehrs sorgen. Was die Telekom und 1&1 jetzt anbieten, nämlich die Verschlüsselung ihrer Leitungsverbindungen, auch mit Übergang zu den anderen Internetanbietern, ist sinnvoll, auch wenn es Kritik gab, dass die „End-to-End“ Verschlüsselung noch fehlt. Wenn darüber hinaus das Routing für Internetverkehre in Deutschland so eingerichtet wird, dass auch sichergestellt ist, dass der Verkehr Deutschland nicht verlässt, so ist dies ein wichtiger Faktor, der für mehr Transparenz und Vertrauen sorgt. Mit dem De-Mail-Konzept gehen wir als BSI noch einen Schritt weiter. Hier werden die Nachrichten nicht nur ausschließlich über verschlüsselte Kanäle übertragen und verschlüsselt abgelegt und sind somit für Unbefugte zu keiner Zeit zugänglich. Darüber hinaus können auch die Identitäten von Absender und Adressat eindeutig nachgewiesen und nicht gefälscht werden.

CP: ENISA, die europäische IT-Sicherheitsorganisation, hat kürzlich auf die Gefährdung durch Angriffe auf industrielle Steuerungssysteme hingewiesen. Haben wir auf dem Gebiet in Deutschland ausreichend Vorsorge getroffen?

BSI: Als BSI betrachten wir das Thema Sicherheit von industriellen Steuerungssystemen schon länger, wir haben mit einem eigenen Referat das Problem im Blick, sprechen mit Behörden, Nutzern und Herstellern von Steuerungssystemen. Wir geben gezielte Informationen weiter, wenn wir etwas feststellen, beispielsweise auch im Rahmen der Allianz für Cyber-Sicherheit. Der ENISA obliegt es, dieses Thema auf europäischer Ebene zu transportieren, was wir begrüßen und unterstützen. Im industriellen Bereich ist bezüglich des Themas IT-Sicherheit noch einiges an Aufklärung und Sensibilisierung nötig. Das BSI hat zum Thema ICS-Sicherheit daher einige Empfehlungen veröffentlicht, die sowohl die Risiken als auch mögliche Schutzmaßnahmen thematisieren. Wichtig sind dabei Standards, die wir zusammen mit Wirtschaft und Wissenschaft entwickeln und setzen müssen. „Industrie 4.0“ und das „Internet der Dinge“ sind seit geraumer Zeit die Schlagworte für einen Einsatz der Internettechnologie in der industriellen Fertigung wie auch im täglichen Leben für jedermann. Die Anbindung an das Internet bedeutet jedoch auch Verwundbarkeit. Das BSI ist daher im Austausch mit vielen Unternehmen und Verbänden, um aufzuklären, aber auch um gemeinsame Lösungsansätze und praxisnahe Handlungsempfehlungen zu erarbeiten. Im Hinblick auf Industrie 4.0 werden die Fragen der IT- und Cyber-Sicherheit noch an Komplexität zunehmen. Diese Fragen werden wir – auch gemeinsam mit der ENISA – in Zukunft noch enger begleiten.

CP: Tun wir in Deutschland wirklich genug, um die Gefahren, die damit einher gehen, im Griff zu behalten?

BSI: Man sollte hier nicht in Kulturpessimismus verfallen. Das Internet und die zunehmende Digitalisierung haben uns allen Vorteile gebracht, die wir nicht mehr missen möchten. Zudem sind wir in Deutschland in Bezug auf die IT-Sicherheit bereits sehr gut aufgestellt. Sicherheitstechnologie wird bei uns hergestellt, genutzt und auch international angeboten. Aber Sicherheit ist niemals ein Ist-Zustand, sondern immer ein Prozess, der kontinuierlicher Aufmerksamkeit und Nachjustierung bedarf. Wir haben die Angriffe erlebt, die zur Einrichtung der CERTs geführt haben wie den Loveletter Virus und Stuxnet; jetzt haben wir die Bedrohungslage Kritische Infrastruktur. Wir müssen daher Konzepte weiter entwickeln, abstimmen und das Problem pragmatisch angehen. Der Staat ist hier nur einer der relevanten Player, der beispielsweise durch Empfehlungen, Standardsetzung oder Regulierung Einfluss nehmen kann. Aber auch Wirtschaft und Privatanwender müssen ihren Teil dazu beitragen, sei es durch notwendige Investitionen in die IT-Sicherheit oder auch durch Verhaltensänderungen. Für uns ist es wichtig, dass wir die Zielgruppen, die wir adressieren, auch tatsächlich erreichen. Es muss gelingen, und das ist auch eine politische Herausforderung, der Managementebene, der Entscheiderebene IT-Sicherheitskonzepte als machbar und realisierbar darzustellen. Wir sind der Auffassung, dass man 80 % Sicherheit mit 20 % Aufwand erreichen kann. Dafür steht das BSI: IT-Sicherheit machbar zu machen.

CP: Herr Hange, wir danken Ihnen für das Gespräch.

Aufmacherbild: V. l. n. r.: Peter C. Franz, Verlagsleitung CP, Michael Hange, BSI-Präsident, und Hans-Herbert Schulz, Leitende CP-Redaktion.