Vor drei Jahren hatten wir die Gelegenheit, Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), zu interviewen. Er war damals erst kurze Zeit im Amt, hatte die ersten 200 Tagen in seinem neuen Arbeitsbereich hinter sich gebracht. Seitdem ist viel geschehen auf dem Informationssektor.
Größe und Anzahl der Bedrohungen haben sich nicht verringert. Zukunftsthemen wie Künstliche Intelligenz, die Sicherung des 5G-Netzes oder Autonomes Fahren verlangen noch größere Anstrengungen des BSI in den kommenden Jahren. Arne Schönbohm sieht seine Behörde und Deutschland aber auf einem guten Weg und blickt optimistisch in die Zukunft.
CRISIS PREVENTION: Herr Schönbohm, Sie sagten damals, die Hauptaufgabe des BSI sei es, die digitalen Netze von Staat, Wirtschaft und Gesellschaft zu schützen. Wie ist heute Ihre Einschätzung: Sind die Netze sicherer oder unsicherer geworden? Wo sind Erfolge gelungen? Und wo wachsen die Bedrohungen?
Arne Schönbohm: Immer mehr Verantwortliche haben verstanden, dass Informationssicherheit die Voraussetzung für eine erfolgreiche Digitalisierung ist, das Bewusstsein für die Risiken der Digitalisierung ist in den letzten Jahren größer geworden. Die IT-Sicherheitsvorfälle der letzten Monate zeigen aber, dass wir noch lange nicht am Ziel sind. Allein in diesem Jahr hatten wir es zu tun mit Vorfällen wie „Politleaks“, mit vorinstallierter Schadsoftware auf Tablets und Smartphones, mit gezielten Angriffen auf Unternehmen mit der Schadsoftware Emotet, mit sehr kritischen Schwachstellen in WhatsApp, Windows und anderen gängigen Software-Produkten und zuletzt mit neuen Hardware-Schwachstellen in Intel-Chips. Wir sehen hier sehr deutlich, dass die Einschätzung, die wir bereits im Lagebericht zur IT-Sicherheit 2018 getroffen haben, korrekt ist: Wir haben seinerzeit vor einer neuen Qualität an Cyber-Angriffen gewarnt und sehen genau diese Erwartung bestätigt.
CP: Vor drei Jahren hatte das BSI ca. 660 Mitarbeiter, heute sind es ca. 940. Sind Sie damit den heutigen und zukünftigen Aufgaben gewachsen? Welche Entwicklung ist für die nächsten 4 - 5 Jahre geplant? Welche Fähigkeiten Ihrer Behörde müssen in Zukunft noch verbessert werden?
AS: Ende 2019 werden wir sogar über 1.300 Stellen verfügen, wir haben unsere Stellenzahl innerhalb von drei Jahren verdoppelt. Das BSI ist eine der vier tragenden Säulen der Sicherheitsarchitektur Deutschlands, wir sind einer der Thought Leader und zentraler Ansprechpartner zur Cyber-Sicherheit für Staat, Wirtschaft und Gesellschaft in Deutschland. Der Aufbau und die Bündelung von Know-how im Bereich der Cyber-Sicherheit hat das BSI zu einer schlagkräftigen Behörde gemacht, in der die Fäden der Cyber-Sicherheit zusammenlaufen. Dies gelingt uns, weil unsere internen Kompetenzbereiche eng miteinander vernetzt sind und sich gegenseitig befruchten.
Wir bezeichnen dies gerne auch als „integrierte Wertschöpfungskette der Cyber-Sicherheit“. Auf dieser Basis können wir Bestandsthemen in Breite und Tiefe bearbeiten und Zukunftsthemen angehen: Künstliche Intelligenz, die sichere Ausstattung mit 5G, Cyber-Sicherheit der Verwaltung auf Bundes- und Landesebene, autonomes Fahren oder die weitere Absicherung der Kritischen Infrastrukturen. Unser Know-how behalten wir aber nicht für uns. Wir haben etwa in den letzten Monaten Absichtserklärungen mit 10 Bundesländern unterzeichnet und eine engere Zusammenarbeit vereinbart. Mit BSI-Ansprechpartnern in Wiesbaden, Stuttgart, Berlin, Hamburg und Dresden sind wir für Kommunen und Wirtschaft auch in den Regionen vor Ort gut erreichbar. Diese Präsenz in der Fläche bauen wir weiter aus.
CP: Sie sagten bei unserem ersten Interview, die Eintrittsschwelle für Hacker sei viel zu niedrig, deshalb gelänge es ihnen häufig einzudringen. Konnte das BSI bei Industrie und Wirtschaft darauf hinwirken, im eigenen Interesse die Informationssicherheit zu erhöhen? Hatten Ihre Appelle Erfolg? Sind Sie in diesem Punkt mit der Zusammenarbeit mit Industrie und Wirtschaft zufrieden?
AS: Wir haben in Zusammenarbeit mit der Wirtschaft eine Menge erreicht. Dennoch wundere ich mich manchmal, wenn ich Berichte über bestimmte IT-Sicherheitsvorfälle erhalte oder in den Medien lese, dass bestimmte Angriffe immer noch erfolgreich sind. Wir werden daher nicht lockerlassen und die Wirtschaft weiter unterstützen, Cyber-Sicherheit als Managementaufgabe zu verstehen und umzusetzen. Wir haben unsere Angebote für die Wirtschaft ausgebaut, die Allianz für Cyber-Sicherheit zählt mittlerweile mehr als 3.700 Mitglieder, die vom Erfahrungsaustausch und Handlungsempfehlungen profitieren. Mit unseren IT-Grundschutz-Profilen adressieren wir insbesondere auch kleinere Unternehmen und Handwerksbetriebe, denen wir einen Routenplaner an die Hand geben, mit dem sie Cyber-Sicherheit im Betrieb planen und umsetzen können. Im Bereich der Kritischen Infrastrukturen hat das IT-Sicherheitsgesetz, das seit 2015 in Kraft ist, dazu beigetragen, das Schutzniveau deutlich zu verbessern. Daher werden wir auch in diesem Bereich nicht lockerlassen, das IT-Sicherheitsgesetz 2.0 ist derzeit in der Abstimmung der Ressorts.
CP: Niemand würde bestreiten, dass man seine digitalen Geräte und Daten intensiv vor Hackerangriffen schützen sollte. Wird aber nicht häufig übersehen, dass die Hardware und Datenleitungen durch Abstrahlung leicht zum Datendiebstahl einladen? Stichwort ist hier „freie und leitungsgebundene bloßstellende elektromagnetische Abstrahlung“. Vor dieser Gefahr hat das BSI schon 1996 in einem Flyer gewarnt (Schutzmaßnahmen gegen Lauschangriffe, FbI Ö 05 - 3/96). Besteht diese Gefahr weiterhin großflächig? Welche Schutzmaßnahmen sind heute denkbar?
AS: Jedes elektrisch betriebene, datenverarbeitende Gerät sendet elektromagnetische Strahlung aus, das ist aufgrund physikalischer Gesetzmäßigkeiten unumgänglich. Aus dieser Abstrahlung können Angreifer unter Umständen verwertbare Informationen abschöpfen. Dort, wo sensitive Informationen verarbeitet werden, ist es deswegen nach wie vor sinnvoll, Abstrahlprüfungen vorzunehmen und Schutzmaßnahmen zu treffen. Das BSI bietet einen entsprechenden Service für Behörden an. Ansprechpartner für Unternehmen, die im Rahmen von Projekten oder Aufträgen etwa Verschlusssachen verarbeiten, ist die Geheimschutzbetreuung der deutschen Wirtschaft des Bundeswirtschaftsministeriums.
CP: Sicherheitsexperten sagen oft, die kriminellen Kräfte seien eigentlich immer einen Schritt voraus, die einschlägigen Behörden könnten meist nur reagieren statt proaktiv und präventiv zu schützen. Gibt es im Bereich digitaler Technologien Hoffnung, dass sich diese Situation einmal umkehrt?
AS: Ich teile diese Einschätzung nicht. Die Ermittlungs- und Fahndungserfolge der Strafverfolgungsbehörden sind beachtlich. Denken Sie beispielsweise an den „Politleaks“-Vorfall Anfang 2019, oder auch die Angriffskampagne Avalanche, deren Verursacher in einer gemeinsamen internationalen Aktion mit Beteiligung des BSI dingfest gemacht werden konnten. Dennoch dürfen wir gerade bei der Prävention nicht nachlassen. Informationssicherheit ist kein Ist-Zustand, sondern ein Prozess, der kontinuierlich fortgeführt und der dynamischen Gefährdungslage ständig angepasst werden muss.
Das BSI wirkt dabei auf die Hersteller von IT-Produkten ein, die die Informationssicherheit schon bei der Produktentwicklung von Anfang an mit einplanen müssen. Ein Angebot, das wir den Herstellern machen, ist die Standardsetzung und Zertifizierung. Wie erfolgreich wir auf diesem Gebiet sind, zeigt der Cloud-Standard „C5“, der von den meisten Global Playern anerkannt und erfüllt wird. Auch im Bereich der Zertifizierung sind wir mit Abstand führend in Europa: Im Zeitraum 2017/2018 haben wir knapp 200 Zertifikate ausgestellt. Für Anwender wird auch das geplante IT-Sicherheitskennzeichen eine wertvolle Entscheidungshilfe beim Kauf von neuen, sicheren Geräten sein.
CP: Die Bedeutung digitaler Techniken und Netze scheint permanent weiter zu wachsen, entsprechende Sicherheitsmaßnahmen ebenfalls. Wo wird die Reise hingehen? Werden die Menschen in ein bis zwei Jahrzehnten digitale Technik immer eingeschränkter, mit immer mehr restriktiven Regeln benutzen können? Wird alles im Dienst der Sicherheit immer umständlicher werden? Oder sind Entwicklungen denkbar, die den Nutzern mehr Sicherheit und gleichzeitig mehr Komfort bei der Nutzung ermöglichen?
AS: Davon gehe ich aus, denn Komfort und Sicherheit müssen sich nicht ausschließen. Es geht im Kern darum, den individuellen Risikoappetit zu bestimmen. Wieviel Risiko bin ich als Anwender bereit einzugehen? Welchen Nutzen hat das Gerät oder die Anwendung und welche Risiken sind damit verbunden? Als nationale Cyber-Sicherheitsbehörde arbeiten wir auch darauf hin, IT-Sicherheit so einfach wie möglich umsetzen zu können. Gerade haben wir den ersten integrierten Sicherheitschip für mobile Endgeräte zertifiziert, der letztlich externe Smartcards zur sicheren Authentisierung überflüssig machen wird. Damit werden wir sensible Anwendungen auf dem Smartphone deutlich sicherer und gleichzeitig deutlich komfortabler gestalten können.
Interview: Heinz Neumann
Crisis Prevention 3/2019