IT-Executive Club |  Interview mit dem Präsidenten des Bundesamt für Sicherheit in der Informationstechnik Arne Schönbohm

Bildquelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

 

Autor: Björn Pahlke

In Deutschland herrscht Druck nach Veränderungen in der Digitalisierung. IT-Sicherheit ist dafür ein entscheidender Faktor. Bei unserem alljährlichen Neujahrsempfang war der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, für einen Impuls im IT-Executive Club zu Gast. Im Nachgang hat er sich die Zeit genommen, um mit uns in einem Gespräch über seinen Vortrag zu sprechen. Dabei ging es vor allem um den Digitalisierungsstatus von Deutschland und den damit einhergehenden Druck die IT-Sicherheit weiter auszubauen.

 


Herr Schönbohm, auf einer Konferenz sagten sie einmal „Wir stehen erst am Anfang der Digitalisierung“. Was meinen Sie damit?


Arne Schönbohm: Wir leben noch nicht in der digitalen Welt, die wir uns wünschen. In vielen Bereichen schreitet die Digitalisierung rasant voran, sei es in der Industrie 4.0, bei den Mobilfunknetzen, Stichwort 5G, dem Smart Home oder Smart Cities. Die Digitalisierung läuft, aber sie ist noch lange nicht abgeschlossen.

 


Aber die Pandemie hat doch auch Fortschritte bewirkt.


Schönbohm: Nachdem Corona einen Großteil der Bürgerinnen und Bürger ins Homeoffice versetzte, haben viele erst verstanden, dass Arbeit von zuhause in Deutschland funktioniert. Das ist ein gutes Zeichen. Gleichzeitig ist in der Pandemie aber auch sichtbar geworden, vor wie vielen Herausforderungen wir beispielsweise bei der Digitalisierung im Gesundheitswesen noch stehen. Das macht mich nachdenklich. Die Corona-Warn-App ist ein Beispiel, wie trotz hohen Zeitdrucks eine gut geprüfte und damit stabil und sicher funktionierende App geschaffen wurde. In anderen Bereichen müssen wir gemeinsam einen ähnlichen Standard etablieren und IT-Sicherheit von Beginn an mitdenken.

 


Warum beunruhigt Sie der Status der Digitalisierung so sehr?


Schönbohm: In gleichem Maße, wie die Digitalisierung voranschreitet und wir von ihr profitieren, steigt auch unsere digitale Verletzlichkeit. Und damit nehmen auch gesellschaftliche, wirtschaftliche und politische Risiken zu. Stellen Sie sich ein Unternehmen vor, bei dem selbstverständliche Prozesse wie das Rechnungswesen, die Personalbearbeitung, die Zeiterfassung im Hintergrund laufen. Wenn hier die IT ausfällt, funktionieren die einfachsten Prozesse nicht mehr. An dieser Stelle setzen wir als BSI an, denn wir stellen fest: Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung.

 


Sie fürchten also den Ausfall der IT-Systeme in Unternehmen?


Schönbohm: Unter anderem. Die große Gefahr liegt darin, dass Cyberkriminelle den Abwehrmaßnahmen immer wieder einen Schritt voraus sind. Allein im letzten Jahr wurden über 144 Millionen neue Malware-Programm-Varianten gezählt. Seit 2009 verdient die organisierte Cyberkriminalität mehr als das Drogengeschäft. Ihre Methoden sind mittlerweile sehr professionell. Sie gehen auf Großwildjagd und spähen die Unternehmen aus. Dadurch wissen sie, an welchen unsicheren Stellen sie Ransomware und Verschlüsselungstrojaner aufspielen können. Wenn dann die Sicherheitssysteme nicht anschlagen oder das Patchmanagement nicht funktioniert, ist das ein enormes Problem.

 


Aber es gibt ja Back-Ups. Die sollten doch eine gewisse Sicherheit verschaffen.


Schönbohm: Ja, viele Unternehmen sagen, dass sie genügend Back-Ups haben. Und das mag auch in den meisten Fällen stimmen. Doch wirklich getestet, ob sie im Notfall eingespielt werden können, haben die wenigsten. Das sind alles Punkte, die wir in Deutschland gemeinsam verbessern müssen.

 


Das klingt schon beinahe so, als hätte sich die Zahl der Sicherheitslücken ebenfalls erhöht.


Schönbohm: Schwachstellen in Hard- und Software-Produkten sind und bleiben eine der größten Herausforderungen der Informationssicherheit. Es lässt sich vor allem beobachten, dass Schwachstellen mit flächendeckender Auswirkung zugenommen haben. In der 30-Jährigen-Geschichte des BSI haben wir insgesamt nur viermal die Alarmstufe Rot ausgesprochen. Zweimal davon allein im letzten Jahr.

 


Sie sprechen von der Microsoft Exchange Lücke und der Log4J-Schwachstelle.


Schönbohm: Genau. Die Microsoft Exchange Lücke zum Beispiel betraf 98 Prozent der geprüften Systeme. Vier Wochen nachdem die Schwachstelle bekannt war, hatten wir in Deutschland eine hohe vierstellige Anzahl an Systemen, die weiterhin verwundbar waren. Unternehmen mussten wir teilweise per Brief anschreiben, weil sonst keine Rückmeldung zu erwarten war. Nach einem massiven Ransomware-Angriff auf eine Kommune in Anhalt-Bitterfeld wurde der Katastrophenfall ausgerufen und die Bundeswehr rückte an. In diesen Bereichen müssen wir dringend Lösungen finden, um die IT-Systeme besser aufzustellen. Digitalisierung und Informationssicherheit gehören wie zwei Seiten einer Medaille untrennbar zusammen.

 


Wie erreichen wir denn einen Status, der die IT-Sicherheit gewährleistet?


Schönbohm: Die Priorität der Geldverteilung muss sich verschieben. Für Digitalisierungsvorhaben wird viel Geld in die Hand genommen aber an der Sicherheit wird immer noch schnell gespart. Dabei muss klar sein, dass es eine erfolgreiche Digitalisierung ohne Informationssicherheit gar nicht geben kann. Es ist völlig klar, wenn die IT-Systeme nicht funktionieren, kommt es zu massiven Problemen, die unter Umständen das alltägliche Leben beeinflussen können und dann erst recht kostspielig werden. Die größte Gefahr geht dabei von unzureichender Absicherung aus.

 


Gibt es denn auch positive Zeichen?


Schönbohm: Die neue Bundesregierung hat das Thema Informationssicherheit mehrfach in den Koalitionsvertrag implementiert. Das ist ein sehr gutes Zeichen. Es geht darum, digitale Bürgerrechte und IT-Sicherheit zu stärken und das soll vermehrt staatliche Pflicht werden. Das heißt auch Schwachstellen zu melden und Lücken schnellstmöglich zu schließen. Aber auch Themen wie Smart City und Autonomes Fahren können für Deutschland richtungsweisend sein.

 


Wohin entwickelt sich Deutschland denn bei diesen Themen?


Schönbohm: Wir haben erst Anfang des Jahres Handlungsempfehlungen veröffentlicht, um Kommunen und Städte bei dem Aufbau von IoT-Infrastrukturen hinsichtlich der Informationssicherheit zu unterstützen. Dazu gehören Strukturen, die Dienstleistungen im öffentlichen Interesse ausführen, wie zum Beispiel der öffentliche Personennahverkehr. Das BSI plant damit, den Aufbau sicherer Smarter Städte und Regionen mit spezifischen Sicherheitsanforderungen weiter zu unterstützen.

 


Und wie steht es um das Thema autonomes Fahren?


Schönbohm: Auch bei diesem Thema nimmt das BSI eine entscheidende Rolle ein. Die ersten zugelassenen autonomen Fahrzeuge kommen aus Deutschland. Auch in diesem Bereich nimmt die Digitalisierung weiterhin Fahrt auf und die Cyber-Sicherheit muss unbedingt von Beginn an mitgedacht werden. Das BSI arbeitet dazu seit einiger Zeit eng mit dem Kraftfahrtbundesamt und dem Verband der Automobilindustrie zusammen. Mit neuen Regeln in den Bereichen Typ-Genehmigung und Marktüberwachung sollen beispielsweise das Thema Cyber-Sicherheit in der Fahrzeugentwicklung fest verankert und Risiken besser vorgebeugt werden.

 

 


Also hat Deutschland doch noch eine Chance digitaler Vorreiter zu werden?


Schönbohm: Deutschland ist definitiv nicht so schlecht, wie es oft dargestellt wird. Wir müssen aber unsere Stärken weiter ausbauen. Dazu haben wir mit dem IT-Sicherheitsgesetz 2.0 einen großen Schritt im letzten Jahr gemacht. Hier befinden wir uns jetzt in der Umsetzungsphase und zielen damit darauf, mehr Befugnisse für den Staat in Sachen IT-Sicherheit zu erhalten und neue Prüfrechte durchzusetzen.

 


Was genau bedeuten diese neuen Prüfrechte?


Schönbohm: Das IT-Sicherheitsgesetz definiert Unternehmen im besonderen öffentlichen Interesse – wie zum Beispiel große Automobilunternehmen oder andere Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung. Sie müssen künftig ähnlich wie die Kritischen Infrastrukturen bestimmte IT-Sicherheitsmaßnahmen umsetzen. Auch im Bereich Digitaler Verbraucherschutz bringt uns das IT-Sicherheitsgesetz 2.0 mit dem neuen IT-Sicherheitskennzeichen ein ganzes Stück weiter.  Damit soll jeder Verbraucher schnell und einfach erkennen, welche IT-Sicherheitsfunktionen in dem betreffenden Produkt enthalten sind.

 


Das klingt gut. Aber warum das alles?


Schönbohm: Digitaler Verbraucherschutz schafft nicht nur mehr Transparenz für Verbraucherinnen und Verbraucher, sondern bietet auch einen Anreiz für Hersteller, die IT-Sicherheit ihrer Produkte zu verbessern. Früher stand das Label „Made in Germany“ für Zuverlässigkeit und Qualität. Das wollen wir jetzt auch auf die digitale Welt übertragen. IT-Sicherheit ist der entscheidende Faktor dafür!

 


Vielen Dank für das Gespräch, Herr Schönbohm. Besuchen Sie uns bald wieder im IT-Executive Club!


Schönbohm: Vielen Dank, das werde ich mit Sicherheit tun.