Interview Arne Schönbohm/Axel Telzerow:

„Die Gefährdungslage weist eine neue Qualität auf“

Im Exklusiv-Interview verrät Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), welche Bedrohungen auf die IT-Industrie zukommen und wie jeder einzelne Anwender dabei mithelfen kann, das Internet etwas sicherer zu machen.

Lieber Herr Schönbohm, laut einer aktuellen Statistik ist in Deutschland in diesem Jahr mit einem starken Anstieg an Cyberkriminalität zu rechnen. Was sind Ihrer Meinung nach dafür die Gründe?

Arne Schönbohm: „IT-Produkte und ihre Software weisen erhebliche Qualitätsmängel in Bezug auf IT-Sicherheit auf, Nutzer sind noch nicht ausreichend achtsam – allen negativen Erfahrungen zum Trotz.“

Schönbohm: Nach den Informationen und Auswertungen des BSI ist die Gefährdungslage insgesamt vielfältiger geworden und quantitativ weiterhin auf hohem Niveau angespannt, weist aber eine neue Qualität auf. Ziele der Angriffe sind die Grundpfeiler einer sicheren IT und IT-Architektur: Update-Mechanismen, Prozessoren und Verschlüsselungstechnologien. Hardware-Sicherheitslücken wie Spectre/Meltdown und Spectre NG haben das Potenzial, aktuelle Geschäftsmodelle und grundlegende IT-Sicherheitskonzepte obsolet zu machen. Die betroffenen Chips sind millionenfach verbaut und bilden eine Grundlage des modernen Computers. Das ist eine neuartige Problemlage.

Die Polizeibehörden der Länder und des Bundes beobachten, dass sich das ganz „normale“ Verbrechen immer weiter ins Internet verschiebt. Straftaten wie Betrug, Erpressung, Raub, Drogenhandel verlagern sich dorthin und ergänzen die klassische Cyberkriminalität wie gestohlene Kontodaten, Identitätsdiebstahl oder Hacking. Täter nutzen extensiv die Möglichkeiten der Digitalisierung, und wir machen es ihnen immer noch viel zu einfach. IT-Produkte und ihre Software weisen erhebliche Qualitätsmängel in Bezug auf IT-Sicherheit auf, Nutzer sind noch nicht ausreichend achtsam – allen negativen Erfahrungen zum Trotz. 

Bislang klären nur wenige Firmen ihre Mitarbeiter vor Gefahren wie z.B. Phishing auf, in der Schule ist das Thema Cybersecurity gar kein Thema. Und im Urlaub herrscht eine „Mir wird schon nichts passieren“-Einstellung. Hauptsache ein freies WLAN. Was muss denn passieren, damit ein „Cyber-Ruck“ durch Deutschland geht.

Schönbohm: Ich hoffe sehr, dass nicht eine massive negative Erfahrung erforderlich ist. Beispiele dafür aus dem Ausland gibt es genug, ob man nun an Manipulationen im US-amerikanischen Wahlkampf, Angriffe auf die Stromversorgung in der Ukraine, mehrtägige Produktionsausfälle und lahmgelegte Fabriken in zahlreichen europäischen Ländern und in den USA durch die Ransomware „WannaCry“ denkt. Die Schadensschätzungen reichen weltweit von einigen Hundert Millionen Dollar bis zu vier Milliarden Dollar. Insgesamt hat Ransomware Unternehmen im Jahr 2017 nach veröffentlichten Schätzungen weltweit mehr als 8 Milliarden Dollar gekostet.

Ich setze weiter auf Aufklärung der Bürgerinnen und Bürger, ich setzt auf ein wachsendes Sicherheitsverständnis in den Unternehmen, ich setze auf verstärkte Anstrengungen des Staates, einen gleichermaßen robusten wie flexiblen gesetzlichen Rahmen konsequent weiterzuentwickeln.

Jetzt hatten wir es bislang vor allem mit Angriffen auf Windows-Computer und Android-Smartphones zu tun, aber die nächste Welle könnte alles bisher Dagewesene in den Schatten stellen. In einem durchschnittlichen Smart Home sind die meisten IoT-Geräte gar nicht oder nur zu unzureichend geschützt, für Cybergangster die perfekte Spielwiese. Graut es Ihnen vor dieser Entwicklung oder sagt das BSI „Jetzt erst recht!“?

Arne Schönbohm: „Es wird keine erfolgreiche Digitalisierung ohne Cyber-Sicherheit geben“

Schönbohm: Natürlich sagen wir „Jetzt erst recht“. Wir können und wollen die Digitalisierung nicht stoppen oder zurückdrehen. Sie wird weiter alle Lebensbereiche tiefer durchdringen, sie wird die Produktionsabläufe in den Unternehmen revolutionieren, sie wird ein wichtiger Faktor für Verwaltung und staatliches Handeln sein. Denn sie bringt ja unzweifelhaft viele Vorteile und Erleichterungen für jeden von uns mit sich, aber auch Herausforderungen

Aber: Cyber-Sicherheit ist die Voraussetzung dafür. Wir müssen darum angesichts der hohen Innovationsgeschwindigkeit der Digitalisierung jetzt handeln. Wir müssen jetzt unsere Anstrengungen weiter verstärken, die Digitalisierung durch Informationssicherheit positiv zu gestalten. Es wird keine erfolgreiche Digitalisierung ohne Cyber-Sicherheit geben. Genauso, wie es politisch und gesellschaftlich akzeptiert ist, einen bestimmten Prozentsatz des Bruttoinlandproduktes für Verteidigungsausgaben bereitzustellen, muss auch ein bestimmter Prozentsatz der Aufwendungen für IT für die sichere Gestaltung der Digitalisierung bereitgestellt werden.

Im Internet können sich Nutzer in allen Ecken dieser Welt neue Produkte beschaffen und dann zuhause in Ihr Netz einbinden. Muss man nicht schon vor dem Verkauf auf die Anbieter einwirken und sie zu zertifizierten Schutzmaßnahmen verpflichten?

Schönbohm: Ja, das ist richtig und wichtig. Die Sicherheit der eingesetzten Produkte, IT-Dienstleistungen und Systeme in der staatlichen Verwaltung, in der Wirtschaft und beim Endanwender muss durch „Security by design“ und „Security by default“ von vornherein gewährleistet sein.

Deutschland muss in dieser Frage eine Vorreiterrolle einnehmen. Bereits in der 2016 veröffentlichten Cyber-Sicherheitsstrategie für Deutschland hat das Bundesinnenministerium die Einführung eines Gütesiegels für IT-Sicherheit angekündigt. Das Vorhaben wurde im Koalitionsvertrag 2018 bestätigt. Das BSI zertifiziert schon heute Produkte, die dann zumeist in Digitalisierungsprojekten des Bundes angewendet werden. Die bestehenden Verfahren müssen verbrauchergerecht fortentwickelt werden, um Produkte und Dienstleistungen für den Verbrauchermarkt zu berücksichtigen. Daran arbeitet das BSI derzeit. Wir messen dem digitalen Verbraucherschutz sehr hohe Priorität bei.

Das IT-Lage- und Analysezentrum des BSI beobachtet rund um die Uhr die Sicherheitslage und schlägt im Falle eines kritischen Vorfalls Alarm. Wie profitiert denn der normale Nutzer in Deutschland davon, bzw. kann jeder dabei mithelfen Deutschland ein Stück weit cybersicherer zu machen? 

Arne Schönbohm: „Wenn wir lernen, mit unserem virtuellen Eigentum so sorgfältig umzugehen wie mit dem physischen, dann ist schon viel gewonnen.“

Schönbohm: Wenn es einen Cyber-Sicherheitsvorfall gibt, warnen wir die Betroffenen, zum Beispiel die Kritischen Infrastrukturen, direkt oder über unsere Netzwerke wie die Allianz für Cyber-Sicherheit. Wir informieren auch Provider und geben unsere Erkenntnisse weiter, damit diese ihre Kunden informieren können. Oder wir sind vor Ort mit einem „Mobile Incident Response Teams“ (MIRT), um konkrete Hilfestellungen zu geben und die IT-Infrastruktur nach einem Angriff wieder instand zu setzen. Davon profitieren staatliche Einrichtungen, die Kritischen Infrastrukturen, die Wirtschaft und die Bürgerinnen und Bürger.

Und die können auch alle mithelfen, Deutschland ein Stück weit cybersicherer zu machen. Indem sie nicht jede E-Mail öffnen und ihre Kontodaten in alle Welt schicken, indem sie Verschlüsselungstechnik anwenden, indem sie einfach schauen, ob sie nicht nur Fenster und Türen geschlossen und die Wertgegenstände sicher im Safe verschlossen haben, sondern auch die Sicherheits-Updates ihres Computers genutzt haben. Wenn wir lernen, mit unserem virtuellen Eigentum so sorgfältig umzugehen wie mit dem physischen, dann ist schon viel gewonnen.

Das Interview führte @AxelTelzerow

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.