Inter­view mit BSI-Prä­si­dent Arne Schön­b­ohm

„Jedes Unter­neh­men wird stän­dig ange­grif­fen“

Ob Collection #1 oder das gezielte Sammeln und Veröffentlichen der Daten von Politikern und Influencern - kaum ein Tag vergeht derzeit ohne groß angelegte Cyberattacke. Der Chef der deutschen IT-Sicherheitsbehörde BSI, Arne Schönbohm, über mangelndes Sicherheitsbewusstsein in der deutschen Wirtschaft, wachsende Risiken durch die Folgen der Digitalisierung und die Zusammenarbeit mit der Versicherungsbranche.

Herr Schönbohm, kein Tag ohne neuen Cyberangriff. Täuscht dieser Eindruck? Wie fällt ihre Bilanz für das Jahr 2018 aus?
Arne Schönbohm:
Wir hatten über 800 Millionen Schadprogramme weltweit, jeden Tag 390.000 neue. Gleichzeitig registrieren wir, dass auch die Hardware zu Angriffszwecken missbraucht wird. Spectre und Meltdown sind zwei aktuelle Beispiele dafür. Beides zusammen, die Vielzahl neuer Schadprogramme und Hardwareangriffe, gepaart mit einer hohen Digitalisierungs- und Vernetzungsgeschwindigkeit verdeutlichen, dass wir auf eine neue Bedrohungslage zusteuern.

Wie sind die Unternehmen darauf vorbereitet? Von der WannaCry-Attacke 2017 waren ja noch recht viele Unternehmen betroffen, auch etliche Mittelständler. 
Schönbohm: 
In der jüngeren Vergangenheit gab es in der Tat eine Reihe von Attacken wie WannaCry oder auch NotPetya, die eigentlich jedem das Bedrohungspotenzial klar machen sollten. Dennoch kommt das Thema vor allem bei kleinen und mittelständischen Unternehmen erst langsam an. Manchmal fragen wir uns, was denn noch passieren muss, damit Unternehmen endlich wach werden? Aber das Interesse nimmt zu. 

Dennoch zeigen Umfragen, dass der Anteil der kleinen und mittelgroßen Unternehmen, die Opfer von Hackern werden, nicht kleiner wird. Das klingt nicht nach Fortschritt.
Schönbohm: 
Ich sehe das als einen kontinuierlichen Prozess. Es gibt ja nicht nur mehr Angriffe, sondern mit fortschreitender Digitalisierung und Vernetzung auch eine immer größere Vielfalt von Angriffsmöglichkeiten, derer sich Kriminelle bedienen können. Hinzu kommt, dass viele Firmen lange gar nicht merken, dass sie attackiert werden. Ich gehe aber davon aus, dass jedes Unternehmen ständig angegriffen wird.

Welche Branchen sind besonders gefährdet?
Schönbohm: 
Alle. 99 Prozent der Angriffe sind der organisierten Kriminalität zuzuordnen, die nach dem Mini-Max-Prinzip operiert. Das heißt, minimaler Aufwand, maximaler Nutzen. Kleine Unternehmen sind oft schlecht geschützt und eben mit minimalem Aufwand zu knacken. Obwohl bei vielen von ihnen ähnlich viel zu holen ist wie bei den großen und gut gesicherten Firmen. Informationssicherheit ist weniger branchenspezifisch, sondern vielmehr das Ergebnis persönlicher Gewichtung.

Cybersicherheit sollte also Chefsache sein?
Schönbohm: 
Ja. Cybersicherheit hängt ganz stark davon ab, ob Entscheider die richtigen Fragen stellen und beantworten. Sind die richtigen Prozesse implementiert, sind die richtigen Technologien eingesetzt, sind die Mitarbeiter geschult? Kleine und mittelgroße Unternehmen brauchen übrigens keine eigene Abteilung, sondern können einen zertifizierten IT-Dienstleister damit beauftragen.

Seit 2016 besteht die Meldepflicht für Kritische Infrastrukturen. Wie ist Ihre Bilanz?
Schönbohm: 
Die Meldepflicht ist nur ein Teil der Vorgaben, die das IT-Sicherheitsgesetz den Betreibern kritischer Infrastrukturen macht. Die Umsetzung des IT-Sicherheitsgesetzes insgesamt läuft sehr gut. Es wurden bereits einige branchenspezifische Sicherheitsstandards erarbeitet, die übrigens auch den Unternehmen als Blaupause dienen können, die nicht unter das Gesetz fallen. Die Zahl der sicherheitsrelevanten Meldungen steigt, umgekehrt bekommen die Kritis-Betreiber von uns Informationen und Warnungen, die dazu notwendigen Kanäle sind etabliert. Das BSI bietet zudem umfangreiche Hilfe an, sowohl über den UP-Kritis, der mittlerweile mehr als 600 Mitglieder hat, für die Teilnehmer aus den kritischen Infrastrukturen, als auch für mittlerweile mehr als 3000 Unternehmen, die in der Allianz für Cybersicherheit mitmachen. Wir haben zum Beispiel eine Malware-Informations-Sharing-Plattform aufgebaut. Unternehmen können darüber uns bekannte Angriffsformationen über automatisierte Systeme bei sich hochladen und sich besser schützen.


Ermitteln Sie auch die Urheber von Cyberattacken?
Schönbohm: 
Ja, soweit es die technische Analyse zulässt. Aber wir müssen zugestehen, dass sich der Verursacher nicht immer ermitteln lässt. Auch viele Unternehmen haben inzwischen die Aufklärungsarbeit eingestellt, weil es einfach schwer nachvollziehbar ist, woher ein Angriff kommt. Angesichts von täglich 390.000 neuen Varianten von Schadsoftware ist es nur bedingt hilfreich zu wissen, wer der Angreifer ist. Das Entscheidende ist die erfolgreiche Abwehr, und da sind zwei andere Punkte in meinen Augen viel eher ausschlaggebend. Wir beobachten zum einen eine fahrlässige Haltung von Unternehmen, die sagen: Was soll mir schon passieren, wenn meine Daten abhandenkommen? Und zum anderen haben wir noch immer große Probleme mit mangelhaft programmierter Software, die Sicherheitslücken für Angreifer lässt.

Die Zahl der gemeldeten Schwachstellen bei beliebten Software-Produkten sinkt doch.
Schönbohm: 
Ja, die Anzahl der Schwachstellen in den zehn am weitesten verbreiteten Software-Produkten ist von 1300 auf rund 700 zurückgegangen. Das bedeutet aber: In den zehn am weitesten verbreiteten Software-Produkten sehen wir bei der Auslieferung rund 700 Lücken. Das ist immer noch eine beängstigend hohe Zahl.

Können Sie staatliche Angriffe von solchen durch organisierte Kriminalität unterscheiden?
Schönbohm: 
Bei Angriffen auf Bundesregierung oder Bundesverwaltung, für die das BSI als nationale Cybersicherheitsbehörde zuständig ist, erkennen wir sehr klar, ob es sich um staatliche Attacken handelt. So konnten wir etwa beim Angriff auf das Auswärtige Amt Anfang 2018 beobachten, dass er von russischen Nachrichtendiensten durchgeführt wurde. Die Attacken sind meist hochkomplex, und es braucht viele Ressourcen, um sie durchzuführen.

Und was ist mit staatlichen Angriffen auf Unternehmen?
Schönbohm: 
Fälle dieser Art erleben wir jeden Tag – sie werden durch das Cyberabwehrzentrum bearbeitet, in dem das BSI die Rolle des Moderators übernimmt. Unsere Aufgabe ist es, das Unternehmen in die Lage zu versetzen, sich gegen den Angriff zu wehren. Die Strafverfolgung und Täterermittlung geschieht dann durch das Bundeskriminalamt, das Bundesamt für Verfassungsschutz oder gegebenenfalls durch den Bundesnachrichtendienst.

Wie läuft die Zusammenarbeit zwischen BSI und Versicherern?
Schönbohm: 
Die Zusammenarbeit ist gut und von Vertrauen geprägt. Das gilt zum einen für den GDV auf der politischen Ebene und zum anderen für die einzelnen Unternehmen. Um Risiken richtig abschätzen zu können, ist es wichtig, dass die Akteure im engen Austausch mit dem BSI stehen.

Wie binden Sie Versicherer bei einem Angriff konkret ein?
Schönbohm: 
Wie alle anderen Branchen, die Teil der kritischen Infrastrukturen sind, bekommen Versicherer die Meldung über das CERT-Bund. Diese geben sie dann weiter an ihre Kunden. Darüber hinaus ist die Branche über ihr Lage- und Krisenreaktionszentrum (LKRZV) seit mehr als zehn Jahren im ständigen und engen Austausch mit dem BSI. Das beschleunigt die effektive Kommunikation, insbesondere wenn es um Cyber-Attacken auf die kritischen Infrastrukturen geht. Nicht zuletzt ist die Amtsleitung des BSI im regelmäßigen Austausch mit Vorständen der Versicherungswirtschaft. Wir haben eine durchgängige Form der Zusammenarbeit zwischen strategischen Fragestellungen, der Risikobewertung, Aufsichtsratshaftung bis hin zu Themen der kurzfristigen operativen Zusammenarbeit im täglichen Doing.

Wer Cyberversicherungen verkauft, sollte wissen, wovon er spricht. Wie sicher sind Versicherer?
Schönbohm: 
Versicherer haben teilweise eigene IT-Gesellschaften gegründet. Andere haben Systemhäuser beauftragt, die die interne IT betreuen. Mit dieser Spezialisierung erhöhen die Unternehmen die Schlagkraft und die Effizienz. Hinzu kommt, dass zumindest die größeren Versicherer unter die Regelungen des IT-Sicherheitsgesetzes fallen und damit ohnehin den Stand der Technik abbilden müssen. Das funktioniert nach allem, was wir wissen, sehr gut.

Wo stehen wir in fünf Jahren bei der Cybersicherheit?
Schönbohm: 
Wir wollen unsere Wirtschaft weiterhin stark digitalisieren und auch für die Gesellschaft die Vorteile der Technik nutzen, sei es im Gesundheitswesen, in der Telemedizin oder der Altenpflege. Wenn uns das gelingt, werden wir auch ein anderes Verständnis für Informationssicherheit haben. Wir werden relativ einfache Mechanismen haben wie Verschlüsselung, Netzwerkseparierung, saubere Backup-Systeme und eine gute Prüfung des Sicherheitsschutzes. Letzteres entweder durch Versicherer oder andere Audit-Partner im Rahmen des Risikomanagements.

Das klingt nach einer heilen digitalen Welt.
Schönbohm: 
Wir sind doch schon auf dem Weg dorthin. Wenn Sie sich auf der einen Seite die hohen Ziele der Versicherer anschauen, was das Neugeschäft bei Cyberpolicen angeht: Wer als Unternehmer einen Versicherungsschutz will, benötigt Standards und Zertifizierungen – heißt, hier entsteht ein Druck. Und auf der anderen Seite werden wir durch den Ausbau des Breitbandnetzes einen regelrechten Digitalisierungsschub bekommen. Wir wollen Informationssicherheit schon am Beginn dieser Dynamisierung mitdenken, damit sie nicht Wunschtraum bleibt, sondern Realität wird.

Die EU will ihrer Cyber-Sicherheitsagentur Enisa mehr Gewicht verleihen, um das Internet der Dinge sicherer zu machen. Stärkt ein supranationaler Ansatz Ihre Bemühungen oder bremst er sie sogar?
Schönbohm: 
Die Digitalisierung, das Internet der Dinge und auch die Cybersicherheit sind Themen, die nicht anhand von Landesgrenzen zu definieren sind. Daher ist das BSI seit je her sehr gut international vernetzt, wir arbeiten mit unseren Partneragenturen in Frankreich, Österreich, Luxemburg oder den Niederlanden, aber auch mit der Enisa sehr gut zusammen. Wir begrüßen und haben uns dafür eingesetzt, dass die Enisa gestärkt werden soll, da dies auch Ausdruck der Erkenntnis der EU ist, dass die Digitalisierung ohne Cybersicherheit nicht erfolgreich sein wird. Gleichzeitig weiß die Enisa aber auch sehr gut, dass bestimmte Kompetenzen und Befugnisse in der Hoheit der nationalen Behörden besser aufgehoben sind. 

Interview: Simon Frost

Zur Startseite
Auch inter­essant