"Wir brauchen Gütesiegel für IT-Sicherheit"
17. Mai 2017DW: Die Ereignisse vom Wochenende haben dieser 15. IT-Sicherheitstagung des BSI besondere Aktualität verliehen. Ist der "WannaCry"-Angriff ein weiterer Beleg, dass Cyber-Sicherheit zwar ein hehres, aber unerreichbares Ziel ist?
Arne Schönbohm: Nein, das wäre falsch formuliert, wenn man sagt, es gibt keine Cybersicherheit. Es geht darum, dass man ein vernünftiges Risikomanagement betreibt und dass man das Thema der Informationssicherheit bei der Entwicklung von Plattformen und Produkten von vorne herein mitdenkt. Wir haben ja schon viele Angriffe gehabt: Gegen Länder - denken wir an Estland 2006/2007. Denken wir an Nuklearanlagen wie Stuxnet im Iran. Denken wir an große Sabotageaktionen, an Saudi-Aramco, wo 30.000 Rechner ausgefallen sind. "WannaCry" wiederum zeigt jetzt erneut, dass sich auch die organisierte Kriminalität immer weiter digitalisiert.
Der "WannaCry"-Angriff basierte auf einer Schwachstelle, die den US-Geheimdiensten schon lange bekannt war. Die haben sie aber geheim gehalten, um sie selbst als Angriffswerkzeug zu nutzen. Das zeigt: Es gibt einen Zielkonflikt zwischen jenen Kräften innerhalb des Staatsapparates, die Offensivkapazitäten wünschen wie etwa Geheimdienste und solchen, die Schutzfunktionen wahrnehmen. Welche Position vertritt das BSI in dieser Debatte?
Wir als nationale Cyber-Sicherheitsbehörde sind zuständig für die Sicherheit im Cyberspace. Sobald wir Lücken feststellen, müssen diese Lücken auch geschlossen werden. Wir sind hier in einem kontinuierlichen Austauschprozess. Die Lücken sind von den Geheimdiensten nicht gemacht worden. Sondern das sind Fehler von Firmen, die dort fehlerhaft programmiert haben, die dort Schwachstellen haben, die sie von sich aus nicht schnell genug geschlossen haben. Und sobald wir etwas wissen, weisen wir die Firmen darauf hin und bitten auch darum, die Lücken sehr schnell zu schließen. Das ist unsere ganz klare Aufgabenstellung.
"Keine Digitalisierung ohne IT-Sicherheit"
Wir erleben eine rasant fortschreitende Digitalisierung aller Lebensbereiche. Alles wird "smart": Das Telefon sowieso, aber es gibt auch das "smarte Haus" und wir reden schon von "smart Cities". Wo aber "smart" draufsteht, ist angreifbar drinnen. Wie sollte die Gesellschaft auf diese Entwicklung am besten reagieren?
Es wird keine Digitalisierung geben, wenn IT-Sicherheit nicht gewährleistet ist. Informationssicherheit muss von vorne herein mitgedacht werden. Das ist eines der ganz wesentlichen Themen der Cybersicherheitsstrategie, die im November letzten Jahres von der Bundesregierung vorgestellt worden ist. Dort ist unter anderem ein Gütesiegel angesprochen worden. Ich halte das für einen ganz wichtigen Punkt: Dass wir eben nicht nur erkennen, wie viel Energie wird wann, wo, wie verbraucht. Sondern dass wir auch erkennen können: Wie sicher sind eigentlich unsere elektronischen Produkte. Das sind Themen, an denen wir arbeiten.
Das BSI ist ja auch zuständig für den Schutz kritischer Infrastrukturen. Auch die Verlässlichkeit von Wahlvorgängen ist in einer Demokratie eine kritische Infrastruktur. Wie stellt sich das BSI da mit Blick auf die Bundestagswahlen auf?
Wir haben alle größeren Parteien angeschrieben, sensibilisiert. Wir führen individuelle Beratungsgespräche mit politischen Entscheidern. Wir machen Schwachstellenanalysen bei den IT-Systemen der größeren Parteien, erklären dann noch mal praktisch die Verhaltensregeln, die "Verkehrsregeln". Aber es ist ganz klar: Bei der Informationssicherheit ist es wie bei den Verkehrsregeln. Die müssen die einzelnen Parteien, die einzelnen Kandidaten am Ende im eigenen Interesse dann auch beachten. Wir haben außerdem Computersysteme besser gegen Angriffe geschützt. Und ich bitte um Verständnis: Wir werden noch verschiedene Maßnahmen durchführen, über die ich in der Öffentlichkeit nicht sprechen möchte.
"Wir wollen Verschlüsselungsstandort Nummer 1 werden"
Ein anderes, häufig diskutiertes Problem ist das Thema Verschlüsselung. Im Zusammenhang mit dem Kampf gegen den Terror gibt es immer wieder Stimmen, die eine Schwächung von Verschlüsselung fordern, weil möglicherweise auch Terroristen von einer starken Verschlüsselung profitieren, Wie sehen Sie das?
Wir wollen eine sichere Kommunikation haben. Wir haben in Deutschland eine sehr leistungsfähige Verschlüsselungsindustrie, die auch weltweit mit führend ist. Und wir wollen diese Fähigkeiten natürlich auch benutzen, um Informationssicherheit zu erhöhen. Um es zu unterstreichen: Wir wollen der Verschlüsselungsstandort Nummer eins sein, so wie die Bundesregierung das auch festgelegt hat. Von daher tun wir alles, um diese Möglichkeiten auch zu unterstützen.
Das BSI soll ja wachsen. Der Etat ist gewachsen, Sie haben eine ganze Reihe neuer Stellen bekommen. Wie schwierig ist es denn, als staatliche Behörde an die stark umworbenen IT-Fachkräfte zu kommen?
Wir haben bereits von den 180 Stellen, die wir in diesem Jahr bekommen haben, 90 besetzt. Das heißt: Wir sind dort sehr gut. Und das in einem Prozess, wo sowohl die "Qualität" als auch die Quantität stimmen. Woran liegt das? Wir haben auf der einen Seite eine Kampagne gestartet, die sehr erfolgreich läuft: "Wir wollen deine digitale Seite". Wir haben Stipendien ausgegeben. Wir gehen sehr frühzeitig an die Universitäten heran, tauschen uns da auch sehr stark aus. Vor allem ist das BSI ein sehr attraktiver Arbeitgeber wo sie an der "Speerspitze der Technologien" arbeiten können. Und das macht das BSI für mögliche Mitarbeiter und Kollegen interessant.
Arne Schönbohm ist seit Anfang 2016 Präsident des Bundesamtes für Sicherheit in der Informationstechnik, BSI, mit derzeit knapp 700 Mitarbeitern. Der Leitsatz des BSI lautet: Das BSI als nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.
Die Fragen stellte Matthias von Hein.