Partner für Cybersicherheit: das BSI

Hans-Herbert Schulz, Heinz Neumann

Wolkenkratzer CC BY-SA 3.0, https://commons.wikimedia.org

Jeder nutzt heute das Internet, und die Digitalisierung schreitet fort in allen Lebensbereichen. Kein Licht ohne Schatten: Nicht nur unsere Möglichkeiten werden dadurch ständig größer, sondern auch die Gefahren und ­Angriffe auf Netze und Endgeräte – es betrifft praktisch jeden und die Gefährdung dürfte in Zukunft noch zunehmen. Die ganz konkrete deutsche Adresse für die Gefahrenabwehr im Cyberraum ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI. Wir konnten über aktuelle Fragen und Entwicklungen mit BSI-Präsident Arne Schönbohm sprechen, der seit Februar dieses Jahres im Amt ist. 

Crisis Prevention: 

Herr Schönbohm, Das BSI gibt es schon viele Jahre und man arbeitet hier durchaus erfolgreich. Da verwundert es, dass das Amt in der Öffentlichkeit nicht bekannter ist. Spielt da vielleicht die Entstehung aus einer Abteilung des Geheimdienstes BND noch eine Rolle?


Arne Schönbohm: 

Nein, Geheimdienste oder besser Nachrichtendienste beschaffen ja Informationen und bewerten diese. Das ist es, wofür Nachrichtendienste zuständig sind. Wir haben in der Hinsicht keinerlei Befugnisse. Wir sind vielmehr diejenigen, die praktisch das „Tor sauber halten“, also Verteidigung oder Torwart. 

Im Ernst, wir sind zuständig für die Informationssicherheit bei der Digitalisierung für Staat, Wirtschaft und Gesellschaft und verstehen uns als die nationale Cybersicherheitsbehörde, die präventiv handelt und die digitalen Netze schützt. Unser Bekanntheitsgrad ist übrigens ganz gut. Man kann aber immer noch mehr tun, um die Öffentlichkeit für die Themen der IT-Sicherheit zu sensibilisieren. Und wir werden in Zukunft mehr tun.


CP: 

Sie sind nun ca. zweimal 100 Tage im Amt. Da fragt man gern, welchen Eindruck haben Sie bisher gewonnen z. B. von der Leistungsfähigkeit ihrer Behörde? 


AS: 

Zunächst einmal ist es spannend und sehr positiv, mit einem hochprofessionellen Team zusammenzuarbeiten. Die Mitarbeiter sind unglaublich motiviert, sie wissen, was sie tun, auch für unser Land. Und das macht viel Freude. Das BSI ist eigentlich genau das Amt, das ich mir vorgestellt habe: effizient, hochmotivierte Mitarbeiter und - das kann ich heute schon sagen - es entwickelt sich genauso rasant weiter wie die Informationstechnologie.


CP: 

Wo sehen Sie den größten Änderungsbedarf, wenn Weiterentwicklung sozusagen Ihr Tagesgeschäft ist?


AS: 

Die Entwicklung wird schnell klar an unserem Weg der letzten Jahre. Der Ursprung war in der Tat die Abspaltung aus dem Nachrichtendienstmilieu heraus, aus einer Abteilung des BND. Rasch lautete die neue Aufgabe: Schutz aller Netze des Bundes. Das wurde dann erweitert zum Thema Cybersicherheit und Informationssicherheit für die gesamte kritische Infrastruktur. 

Je mehr unser Land abhängig wird von der Digitalisierung, desto mehr werden wir als Bundesbehörde gefordert. Denken Sie an neue Themen wie autonomes Fahren, auch bei der Bahn mit dem Smart Train, an die neuen Netze für die Energiewende oder das Thema Gesundheitskarte. Überall dort sind wir heute schon aktiv, aber das wird sich natürlich noch deutlich weiter verstärken. 

Wir verstehen uns auch als Bindeglied zu den Nutzern, als Gestalter der Informationssicherheit. Digitalisierung ohne Informationssicherheit darf und kann es nicht geben, und genau darauf stellt sich das Amt dementsprechend ein. Wir sind Unterstützer, Beförderer der Informationssicherheit innerhalb des Bundes, auf Anfrage auch für die Bundesländer. Wir erarbeiten Lösungen, möglichst präventiv, aber auch nach dem Schadensfall, nicht nur für den Staat, sondern natürlich auch für die Wirtschaft – eben für die gesamte Gesellschaft. 


Typisches Einfallstor für Datendiebe ist der Splitter und Router für den...
Splitter und Router für den Heimgebrauch: Typisches Einfallstor für Datendiebe.
Quelle: wikimedia commons

CP: 

Das hört sich nach einem unglaublichen Wachstumsmarkt an: Autonome Systeme, Vernetzung aller Systeme, Industrie 4.0 etc. Das heißt, fast überall ist IT-Sicherheit gefragt, um kritische Infrastrukturen zu schützen und zu erhalten. Dann dürfen Sie sicher mit entsprechendem Personalzuwachs rechnen?


AS: 

Unsere fünf Abteilungen verfügen augenblicklich über 660 Mitarbeiter, und es ist in der Tat für die nahe Zukunft ein Wachstum geplant, wobei ich Ihnen noch keine konkreten Zahlen nennen darf. Trotz unseres raschen Wachstums haben wir bis jetzt keine größeren Probleme, den Personalbedarf zu decken. Dazu trägt sicher auch unser Image bei: Wir gelten als attraktiver Arbeitgeber. So liegt das BSI in einer Studie unter Studierenden als beste Bundesbehörde auf Platz 15 der Beliebtheitsskala der besten Arbeitgeber. Darüber freuen wir uns sehr.


CP: 

Gibt denn der Personalmarkt eigentlich Ihren Bedarf her? Der Wettbewerb um die besten Köpfe auf dem IT-Gebiet ist ja hinlänglich bekannt....


AS: 

Wir geben teilweise Stipendien, hier zum Beispiel an der Fachhochschule Rhein-Sieg. Wir kooperieren natürlich auch mit anderen Hochschulen, um relativ frühzeitig an geeignete Personen heranzukommen. Darum ist so wichtig, dass wir ein attraktiver Arbeitgeber sind. Wir sind da noch nicht am Ende, denn auch die angesprochene Erweiterung unserer Tätigkeitsfelder geht  zukünftig weiter: Themen wie zum Beispiel Kryptotechnologie, Verschlüsselung, Lauschabwehr werden immer größeren Raum einnehmen. 

Dazu kommt der Bereich der Standardisierung. Es gibt keine Institution, die mehr Zertifizierungen vergibt als das BSI weltweit im Bereich der IT-Sicherheitszertifikate. Dies ist eine ganz wichtige Voraussetzung, um unsere Infrastrukturen sicherer zu machen.


CP: 

Könnte man mit Zertifizierungen nicht sehr wirksam PR für Ihre Behörde betreiben, vielleicht wie eine Art TÜV-Siegel ein BSI-Siegel einführen?


AS: 

Auch über solche Themen denken wir nach. Wir denken zum Beispiel im Bereich der Standardzertifizierungen darüber nach,  ob wir neben diesen aufwendigen Hochsicherheitszertifikaten auch einen Basisschutz anbieten können. Wir haben ja bereits den IT-Grundschutz, der solide und durchaus komplex aufgebaut ist. Daran könnten sich z. B. Unternehmen orientieren. 

Das ist ein Thema, das gerade intern modular bearbeitet wird. Wir möchten nicht mehr wie früher vorrangig mit IT-Spezialisten sprechen, sondern auch mit Entscheidern in der Gesellschaft, damit sie ein Problemverständnis entwickeln und sich nicht blind auf ihre IT-Fachleute verlassen. Das BSI möchte ein Partner bei der IT-Sicherheit sein für alle, die Bedarf haben und ermöglicht damit die Digitalisierung.


CP: 

Das Weißbuch der Bundesregierung stellt fest: „Insgesamt hat sich der Cyber- und Informationsraum...zu einem internationalen und strategischen Handlungsraum entwickelt, der so gut wie grenzenlos ist....Innere und äußere Sicherheit fallen in wenigen Bereichen so eng zusammen wie im Cyberraum…“ Was bedeutet das für Ihren Aufgabenbereich?


AS: 

Unsere Aufgaben lassen sich nur erfüllen, wenn man intensiv vernetzt zusammenarbeitet. Wir tun das nicht nur im Bereich der Bundesbehörden, sondern praktisch mit allen Vertretern der kritischen Infrastrukturen und den Institutionen der Bundesländer. Unter anderem haben wir das Cyberabwehrzentrum bei uns im Hause, in dem gemeinsam Angriffsformen auf Wirtschaft oder Staat besprochen werden. 

Findet ein Angriff gerade statt, wird genau festgelegt, wer welche Aufgaben übernimmt – je nach Zuständigkeit als z. B. BKA oder Verfassungsschutz. Dazu kommt der CERT-Verbund, also die Computer Emergency Response Teams, die national und international sehr stark vernetzt arbeiten. Es gibt Länder-CERTs, aber auch Unternehmens-CERTs – viele große Unternehmen haben eigene CERTs, die aktiv sind. Mit allen sind wir vernetzt, zum Teil schon seit Jahren. 

Zukünftig sollen auch sogenannte Mobile Instant Response Teams, also MIRTs, als „schnelle Eingreiftruppen“ vorgehalten werden. Innerhalb des BSI gibt es solche Teams bereits, die vor Ort unterstützen können. Wir sind jetzt auch dabei, MIRTs als Unterstützung für andere aufzubauen. 

Das BSI ist übrigens auch bei der NATO Vertreter der Bundesrepublik Deutschland für das Thema Cybersicherheit. Das heißt, wir arbeiten sehr eng und partnerschaftlich mit der Bundeswehr und den Alliierten zusammen in diesen Bereichen. Was die Zusammenarbeit mit BMVg angeht, haben wir einen regelmäßigen Austausch, da läuft die Arbeit extrem kooperativ und positiv.  

Wichtig ist, dass wir im BMI verortet sind, weil damit der interne Austausch mit BfV und BKA gewährleistet ist. Und ebenso wichtig ist es, dass wir eben kein Nachrichtendienst sind und deshalb viel einfacher und vertrauensvoller mit Wirtschaft und Gesellschaft kooperieren können, denn wir haben keinen Überwachungsauftrag. 


CP: 

Trotz aller Erfolge, ist es nicht erschreckend, dass die Digitalisierung im Grunde in jeden Lebensbereich eingreifen und dass im Prinzip alles gehackt werden kann?


AS:. 

Ja, alles kann gehackt werden, aber das ist ja keine Zauberei, sondern die Überwindung bestimmter Schwachstellen. Hacking ist deshalb so attraktiv, weil die Hürde, die Eintrittsschwelle so niedrig ist. Sobald wir aber anfangen, die Eintrittsschwelle zu erhöhen, wird es auch dementsprechend immer weniger Angriffe geben. 

Dazu gehört auch, über Haftungsfragen nachzudenken. Wenn ein Produzent von irgendeinem Gerät für potenzielle Folgeschäden haftet, dann wird er sich des Themas IT-Sicherheit anders widmen und Vorkehrungen treffen. Schauen wir auf die aktuellen Entwicklungen wie Industrie 4.0, Digitalisierung im Gesundheitswesen, autonomes Fahren u.ä., dann werden natürlich auch die Anforderungen an das Thema der Informationssicherheit deutlich höher werden müssen.


CP: 

Und wie wollen Sie das alles in den Griff kriegen?


AS: 

Indem wir Standards setzen, indem wir Prozesse implementieren und indem wir mit Multiplikatoren zusammenarbeiten.


CP: 

Abschließend, was ist Ihre Botschaft für jedermann, für den Durchschnitts-Computernutzer und was würden Sie denen sagen, die als KMU keine Fachleute angestellt haben, keinen eigenen IT-Sicherheitsbeauftragten?


AS: 

Halten Sie sich an bestimmte zertifizierte Anbieter, z.B. BSI-zertifizierte Anbieter. Sie gehen mit Ihrem Auto ja auch möglichst in eine Kfz-Werkstatt, die vom Meister geführt wird. Wenn Sie Fragen haben, scheuen Sie sich nicht, uns zu kontaktieren. Es gibt die Website „BSI für Bürger“ (https://www.­bsi-fuer-buerger.de), die jeder nutzen kann. Hier findet man aktuellste Informationen und Checklisten zu Risiken und Empfehlungen rund um das Internet und die Digitalisierung. Auch bei Twitter (https://twitter.com/BSI_Presse) oder bei facebook (https://www.facebook.com/bsi.fuer.buerger) ist das BSI zu finden. 

Nutzen Sie ohne Scheu auch unsere Servicenummer 0800 274 1000.


Verwandte Artikel

Die zivile digitalisierte Gesellschaft muss aufrüsten

Die zivile digitalisierte Gesellschaft muss aufrüsten

Durch Angriffe auf die Datennetze von Energie- und Wasserwerken, Krankenhäusern und Transportunternehmen kann unsere digitalisierte Gesellschaft erheblich in Gefahr geraten. Moderne Cyberattacken lassen sich jedoch mit Sicherheitsupdates und...

Institutionen der Cybersicherheit

Institutionen der Cybersicherheit

Sicherheit im Cyberraum hat einen immer größeren Stellenwert in unserem Denken und Handeln. Für Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), zählt der Cyberraum längst zu den Kritischen...

Das IT-Sicherheitsgesetz ist Pflicht

Das IT-Sicherheitsgesetz ist Pflicht

Das IT-Sicherheitsgesetz ist ein Artikelgesetz, das neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz, das Atomgesetz, das Telemediengesetz, das Tele­kommunikationsgesetz und weitere Gesetze ändert. Das IT-Sicherheitsgesetz leistet einen...

: