Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn ist Kompetenzzentrum für IT-Sicherheit. Es entwickelt unter anderem sicherheitstechnische Empfehlungen und zertifiziert Programme und Hardware. FORUM sprach mit Präsident Arne Schönbohm.
Herr Schönbohm, Sie überwachen den Cyberraum, sind für die Sicherheit der Informationstechnik in Deutschland verantwortlich. Können Sie in drei kurzen Sätzen sagen, was Ihre Behörde macht?
Da reicht im Prinzip ein Satz: Als nationale Cybersicherheitsbehörde gestaltet das BSI Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.
Cyberangriffe haben schon den Bundestag getroffen. Es wird immer wieder über Manipulationen von Wahlen gesprochen. Sind Sie schneller als die Angreifer oder können Sie immer nur den Schaden begrenzen?
Ich muss zunächst zwei Dinge klarstellen. Erstens: Der Bundestag, die Fraktionen und die Abgeordneten unterhalten jeweils eigene IT-Infrastrukturen und sind so auch für deren
IT-Sicherheit selbst verantwortlich. Das Parlament, so die Begründung, soll nicht durch staatliche Instanzen kontrolliert werden. Wir als BSI haben darum erst helfen können, als wir gerufen wurden. Und ganz sicher hat der Bundestag seitdem – auch mit unserer Unterstützung – seine IT-Abwehr deutlich verstärkt. Zweitens: In Deutschland gab es keine technische Wahlmanipulation. Wir arbeiten eng mit dem Bundeswahlleiter zusammen, beraten die politischen Parteien und sorgen dafür, dass das auch in Zu-kunft so bleibt.
Unser Ziel ist der sichere Einsatz von Informations- und Kommunikationstechnik in unserer Gesellschaft. Denn es gibt keine erfolgreiche Digitalisierung ohne Cybersicherheit. Es gibt auch kein Zurück in die analoge Welt oder eine künstliche Verlangsamung einer sehr dynamischen Entwicklung.
Aber wenn wir das Hase-und-Igel-Spiel mit den Angreifern gewinnen wollen, müssen wir erreichen, dass Sicherheitsaspekte schon bei der Entwicklung von IT-Systemen und -Anwendungen berücksichtigt werden. Dazu sprechen wir mit den Herstellern und Entwicklern, dazu lassen wir forschen und dazu tragen wir mit eigener Expertise bei. Das BSI ist nicht nur eine Sicherheitsbehörde, es ist das nationale Kompetenzzentrum für Cybersicherheit und ein wichtiger Knotenpunkt für zahlreiche nationale und internationale Sicherheitsnetzwerke in Staat, Wirtschaft und Gesellschaft.
Stichwort kritische Infrastrukturen: Wie sichern Sie Wasserversorger, Kraftwerke, Krankenhäuser, Verkehrsinfrastrukturen gegen Cyberangriffe ab?
Zunächst einmal gilt: Jeder Versorger, jedes Krankenhaus, aber auch jede Verwaltung, jedes Unternehmen und jeder Bürger trägt Verantwortung für die eigene Cybersicherheit. Dazu stellen wir als BSI – abgestuft einmal nach Zuständigkeit, zum anderen nach Relevanz für einen funktionierenden Staat – spezielle Hard- und Software, Hilfsmittel wie Zertifizierungen von IT-Produkten und technische Richtlinien sowie Informationen wie den IT-Grundschutz und die Webseite bsi-fuer-buerger.de für Bürger zur Verfügung.
Für die kritischen Infrastrukturen wurden 2015 mit dem IT-Sicherheitsgesetz besondere Anforderungen an IT-Sicherheit formuliert, weil sie einerseits sehr verletzlich, andererseits aber unentbehrlich für das Gemeinwesen sind. Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen ein Mindestsicherheitsniveau an IT-Sicherheit einhalten und dem BSI erhebliche IT-Sicherheitsvorfälle melden.
Wir sehen Sicherheit immer als Ergebnis funktionierender Kooperation. Darum haben wir gemeinsam mit den Branchen der kritischen Infrastrukturen (Kritis) im Zuge der Umsetzung des IT-Sicherheitsgesetzes sogenannte Branchenspezifische Sicherheitsstandards (B3S) entwickelt. So konnten Kritis-Branchen durch die Formulierung von B3S die an sie gesetzten Anforderungen selbst konkretisieren. Dies wird seitens der Kritis-Betreiber und Verbände rege genutzt.
Geht das BSI in manchen Fällen auch zum Gegenangriff über?
Die aktive Cyberverteidigung ist ein Thema, das derzeit in Berlin politisch diskutiert wird. Dem Ergebnis der Debatte möchte ich an dieser Stelle nicht vorgreifen.
Was war bisher die schwerste Attacke auf die Cybersicherheit in Deutschland?
Das ist eine Frage der Definition. Mit Blick auf die politischen Implikationen ist sicherlich der bereits erwähnte IT-Sicherheitsvorfall beim Deutschen Bundestag zu nennen. Mit Blick auf die möglichen Folgen sind es die Angriffe auf Strom- und Wasserversorger. Mit Blick auf die finanziellen Konsequenzen könnte man den einen oder anderen Denial-of-Service-Angriff oder CEO-Betrug anführen, bei dem auch von deutschen Unternehmen erhebliche Summen erpresst oder ergaunert wurden. Ein weiteres Beispiel ist Erpressungssoftware: Die Bilder der digitalen Anzeigetafeln der Deutschen Bahn, die an einem Freitag Mitte Mai 2017 durch die Ransomware Wannacry ausfielen, haben viele noch vor Augen.
Was habe ich als Bürger davon? Gibt es so etwas wie digitalen Verbraucherschutz?
Im Koalitionsvertrag der Bundesregierung ist dem BSI die Aufgabe des „Digitalen Verbraucherschutzes" übertragen worden. Damit haben wir zunächst einmal eine neue Überschrift bekommen für vieles, was wir schon tun. Denn die Informationen auf der Webseite bsi-fuer-buerger.de, die Warnungen vor fehlerhaften IT-Produkten und die Zertifizierungen sicherer Produkte sind bereits digitaler Verbraucherschutz.
Aber natürlich meint dieser Begriff mehr, und er gibt uns neue Möglichkeiten: Als herstellerunabhängige und kompetente technische Stelle wollen wir die Verbraucher bei der Risikobewertung von Technologien, Produkten, Dienstleistungen und Medienangeboten unterstützen. Wir wollen durch geeignete Maßnahmen und Angebote ihr Risikobewusstsein, ihre Beurteilungsfähigkeit und ihre Lösungskompetenz stärken. Neben einem besseren Schutz des Einzelnen wird damit gleichzeitig auch die gesellschaftliche Widerstandsfähigkeit gegen Cybergefahren jeglicher Art erhöht.
Künstliche Intelligenz wird immer mehr gesellschaftliche und wirtschaftliche Bereiche durchdringen. Was kommt da an neuen Aufgaben auf Sie zu?
Als nationale Cybersicherheitsbehörde und Kompetenzträger im Bereich der Kryptografie befassen wir uns bereits seit mehreren Jahren mit Künstlicher Intelligenz und haben Mitte 2017 ein Kompetenzzentrum eingerichtet, um die Aktivitäten des BSI zu bündeln. 2018 hat ein BSI-Team im Rahmen der Hardware-Sicherheitskonferenz Ches 2018 (Cryptographic Hardware and Embedded Systems) an zwei Einzeldisziplinen des Kryptowettbewerbs „Ches 2018 Challenge" teilgenommen und beide gewonnen.
Der Gewinn dieses international renommierten Wettbewerbs ist ein erstes sichtbares Ergebnis unserer KI-Strategie. Wir betrachten neben mathematisch-technischen Aspekten auch die wirtschaftliche, politische und gesellschaftspolitische Bedeutung von KI. Wir wollen diese Technologie nutzen, um national wie international Krypto- und andere Standards der Cybersicherheit zu setzen und weiterzuentwickeln.
Werden am Ende Computer Computer überwachen? Oder braucht es noch Menschen dafür?
Ich bin mir sicher: Ganz gleich, ob Smart Paper oder Smart Home – am Anfang und am Ende jedes technisch induzierten Prozesses steht initiierend und entscheidend ein Mensch. Er sagt „Go" und er sagt „Stopp". Dazwischen werden vor allem Computer mit Computern kommunizieren.