Die Gefährdung ist real

Seit Februar 2016 leitet Arne Schönbohm das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bereits 1991 errichtet, wurden dem BSI mit dem IT-Sicherheitsgesetz aus dem Jahr 2015 sehr weitgehende Aufgaben und Befugnisse eingeräumt, um der zunehmenden Bedeutung der Informations- und Kommunikationstechnologie Rechnung zu tragen. Je abhängiger der Mensch von der Informationstechnik ist, desto mehr stellt sich die Frage nach deren Sicherheit.

Unsere Gesellschaft ist stärker als je zuvor durch Computerversagen, -missbrauch oder -sabotage bedroht. Entsprechend lesen sich Passagen aus dem Bericht des BSI für 2016: Pro Woche registriert das BSI mindestens einen Angriff durch fremde Nachrichtendienste auf die Computernetze der Regierung. Jeden Monat fängt es etwa 44 000 Mails mit schädlicher Software in den Regierungsnetzen ab (viermal so viele wie 2015). Jeden Tag werden weltweit 380 000 neue Varianten von Schadsoftware entdeckt. Arne Schönbohm und seine Mitarbeiter versuchen, solche Angriffe abzuwehren, analysieren die virtuellen Bedrohungslagen, warnen Behörden und Unternehmen, prüfen und zertifizieren IT-Systeme und entwickeln Verschlüsselungstechniken.

Arne Schönbohm studierte Internationales Management in Dortmund, London und Taipeh. Der Diplom-Betriebswirt war vor seiner Ernennung zum BSI-Präsidenten u. a. beim Flugzeug- und Rüstungskonzern EADS für die Sicherheit von Digitalfunksystemen auf Flughäfen zuständig, danach Präsident des Cyber-Sicherheitsrates. Der gebürtige Hamburger ist darüber hinaus Autor diverser Bücher, u. a. »Deutschlands Sicherheit – Cybercrime und Cyberwar«.

Stefanie Assmann sprach mit Arne Schönbohn über die ständig wachsenden Herausforderungen der IT-Sicherheit in einer digitalen Welt. Das Interview führte sie für die Oktober-Ausgabe 2017 des »Wirtschaftsführers für junge Juristen«.  Im Folgenden veröffentlichen wir einen Auszug.

Wirtschaftsführer: Herr Schönbohm, Sie leiten seit 2016 das Bundesamt für Sicherheit in der Informationstechnik (BSI). Welche Aufgaben hat das BSI?

Arne Schönbohm: Die Aufgaben und den Anspruch des BSI beschreibt unser Leitsatz: Das BSI als die nationale Cyber-Sicherheitsbehörde gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.

Wirtschaftsführer: Was reizt Sie an Ihrem Amt? Hat Sie evtl. auch Ihr familiärer Hintergrund dazu ermuntert, die Herausforderung an der Spitze des BSI anzunehmen?

Arne Schönbohm: Mein familiärer Hintergrund hat dazu beigetragen, dass ich mich für politische und gesellschaftliche Fragestellungen interessiere und die Bereitschaft entwickelt habe, diese mitzugestalten. Als ich das Angebot des Bundesinnenministers erhielt, musste ich daher nicht lange überlegen. Die Gestaltung der Cyber-Sicherheit als Voraussetzung einer erfolgreichen Digitalisierung ist eine spannende Aufgabe, die alle Teile der Gesellschaft betrifft und großen Einfluss auf unsere Lebens- und Arbeitswelt hat.

Wirtschaftsführer: In Deutschland gibt es weitere Behörden, die für die Sicherheit zuständig sind. Welche sind das und in welchem Verhältnis stehen diese zum BSI?

Arne Schönbohm: Wir arbeiten vertrauensvoll und eng zusammen, jeder in seinem Zuständigkeitsbereich. Im Nationalen Cyber-Abwehrzentrum, das im BSI angesiedelt ist, arbeiten wir unter anderem mit dem Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst oder dem Bundeskriminalamt zusammen.

Wirtschaftsführer: Zu beobachten ist ein Flickenteppich von Zuständigkeiten auf Bundes- und Landesebene. Hinzu kommt, dass Brüssel seit einigen Jahren Initiator etlicher Regelungen ist. Bräuchten wir in Deutschland nicht ein Ministerium, das sich mit allen Fragen der Digitalisierung befasst, gerade im Hinblick auf die effektive Abwehr von Cyber-Attacken?

Arne Schönbohm: Nein, denn in der Gestaltung der Digitalisierung ist die Abwehr von Cyber-Angriffen ein sehr wichtiger, aber eben nur ein Aspekt. Es geht dabei auch um Themen wie die Energiewende, das smarte Zuhause, das autonome Fahren oder die elektronische Gesundheitskarte. Diese spezifischen Themen würden weiter in der Zuständigkeit der jeweiligen Fachministerien laufen, sodass der Abstimmungsbedarf steigen dürfte. Mit dem BSI als der nationalen Cyber-Sicherheitsbehörde haben wir bereits ein Kompetenzzentrum und eine zentrale Stelle für Fragen der IT-Sicherheit. Unsere Expertise stellen wir allen Ressorts und übrigens auch den Ländern gerne zur Verfügung.

Wirtschaftsführer: Jahrelang wurde das BSI von IT-Experten geführt, von Mathematikern oder Physikern. Sie hingegen sind Betriebswirt, was vereinzelt bei Ihrem Amtsantritt kritisiert wurde. Auf der anderen Seite sind vor dem Hintergrund der angesprochenen unterschiedlichen Zuständigkeiten heutzutage wohl fast eher Managementfähigkeiten gefragt als reine technische Expertise. Wie stehen Sie dazu?

Arne Schönbohm: Das BSI besteht seit mehr als 25 Jahren und genießt hohes Ansehen in allen Teilen der Gesellschaft. Das Aufgabenspektrum des BSI hat sich in diesen Jahren extrem vergrößert: Im BSI sind mittlerweile alle Themen der Cyber-Sicherheit vereint, vom Schutz der Regierungsnetze und der Kritischen Infrastrukturen über die Kryptografie, die Zertifizierung und Standardsetzung, die Beratung von Bund, Ländern, Wirtschaft und Bürgern, die Lauschabwehr bis hin zur Gestaltung der Digitalisierung in Projekten wie der Energiewende oder dem autonomen Fahren. Es geht darum, die IT-Sicherheit in Deutschland zu erhöhen, und meine Aufgabe ist es, das BSI als die nationale Cyber-Sicherheitsbehörde zu führen und weiterzuentwickeln. Ich habe diese Aufgabe gern übernommen, denn Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung, und dazu leisten wir einen wichtigen Beitrag.

Wirtschaftsführer: Unternehmen in Deutschland sind ein bevorzugtes Ziel von Cyber-Angriffen. Manche Firmen sind bei der IT-Sicherheit bereits gut aufgestellt, andere haben Nachholbedarf. Welche Angebote macht das BSI gerade kleineren und mittleren Unternehmen im Hinblick auf deren IT-Sicherheit?

Arne Schönbohm: Neben dem modernisierten IT-Grundschutz und zahlreichen konkreten Handlungsempfehlungen adressieren wir den Mittelstand vor allem mit der Allianz für Cyber-Sicherheit.

Wirtschaftsführer: Vor fünf Jahren hat das BSI eine Allianz für Cyber-Sicherheit gegründet. Welche Ziele verfolgt diese Allianz und ist es gelungen, Unternehmen für die Themen rund um die IT-Sicherheit mehr zu sensibilisieren?

Arne Schönbohm: Mit der Allianz für Cyber-Sicherheit bietet das BSI eine Plattform für kleine und mittlere Unternehmen. Unser Ziel ist es dabei, in einem kooperativen Ansatz die Cyber-Sicherheit in Deutschland zu erhöhen und die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Dazu stellen wir Hintergrundinformationen und Lösungshinweise zu Themen der Cyber-Sicherheit zur Verfügung, wir sorgen für eine Intensivierung des Erfahrungsaustausches zwischen den Unternehmen und Institutionen und wir bauen die IT-Sicherheitskompetenz in deutschen Organisationen aus. Der Allianz gehören inzwischen mehr als 2 200 Institutionen an.

Wirtschaftsführer: Mit der Umsetzung der NIS-Richtlinie (Richtlinie zur Netzwerk- und Informationssicherheit) werden die Aufsichts- und Durchsetzungsbefugnisse des BSI gegenüber Betreibern von Kritischen Infrastrukturen (KRITIS) erweitert. Welche Unternehmen sind hiervon in erster Linie betroffen und wie viele sind das schätzungsweise in Deutschland?

Arne Schönbohm: Von der NIS-Richtlinie und auch vom deutschen IT-Sicherheitsgesetz betroffen sind eben diese Betreiber Kritischer Infrastrukturen, mit denen das BSI übrigens bereits seit vielen Jahren vertrauensvoll und kooperativ zusammenarbeitet, etwa im Rahmen des UP KRITIS. Eine Zahl zu nennen, ist an dieser Stelle nicht sinnvoll, denn die entsprechenden Verordnungen, aus denen hervorgeht, welche Unternehmen unter die Regelungen des IT-Sicherheitsgesetzes fallen, sind noch nicht lang in Kraft. Im »Bericht zur Lage der IT-Sicherheit 2017«, den wir im Herbst veröffentlichen, werden wir auch Zahlen nennen.

Wirtschaftsführer: Cloud-Computing gehört mittlerweile zum wesentlichen Baustein der Digitalisierung. Gibt es Mindeststandards, die im Zusammenhang mit der sicheren Nutzung von Cloud-Diensten einzuhalten sind?

Arne Schönbohm: Das BSI hat mit dem C5-Katalog einen Standard entwickelt, der vom Markt sehr gut angenommen wird. IT-Sicherheitsstandards wie der C5-Katalog des BSI sind ein wesentliches Mittel zur Gestaltung der Digitalisierung, die ohne Cyber-Sicherheit nicht erfolgreich sein wird. Der Anforderungskatalog des BSI bietet Cloud-Anbietern die Möglichkeit, sich von Wirtschaftsprüfern schnell und mit geringem Mehraufwand die Erfüllung der Anforderungen testieren zu lassen.

Wirtschaftsführer: Verschlüsselung ist ein hocheffektives Instrument zur Beherrschung (digitaler) Informationen. Wem soll dieses Instrument zu welchen Zwecken zur Verfügung stehen und welche staatlichen Informationsbedürfnisse sind mit welcher Zielsetzung (von der Steuerschätzung über Infrastrukturplanung bis zur Verbrechensprävention) notwendig und legitim? Sehen Sie überhaupt eine Möglichkeit, den Konflikt dieser widerstreitenden Freiheits- und Sicherheitsinteressen aufzulösen?

Arne Schönbohm: Als BSI haben wir zum Thema Verschlüsselung eine klare Position, übrigens im Einklang mit der »Digitalen Agenda« der Bundesregierung, die das Ziel ausgibt, Deutschland zum »Verschlüsselungsstandort Nr. 1« zu machen, zum Schutz der Bürger, der Wirtschaft und der Verwaltung. An diesem Ziel halten wir fest und treiben daher zur sicheren Kommunikation im Internet uneingeschränkt den Einsatz von Verschlüsselungslösungen voran. Wir empfehlen Bürgerinnen und Bürgern ebenso wie Wirtschaftsunternehmen, zum Schutz der Privatsphäre bzw. zum Schutz geschäftlich relevanter Informationen vor Ausspähung Verschlüsselung einzusetzen.

Entsprechende Lösungen und Produkte sind verfügbar, auf unserer Webseite unter www.bsi-fuer-buerger.de erläutern wir, wie Verschlüsselung funktioniert und wie entsprechende Lösungen eingesetzt werden können.

Wirtschaftsführer: Ein Blick in die Zukunft: Kann der Einsatz von Quantencomputern IT-Sicherheit unterstützen und wann ist damit frühestens zu rechnen?

Arne Schönbohm: Ein universeller Quantencomputer, der geeignet ist, den sogenannten Shor-Algorithmus zum Brechen von Public-Key-Verfahren einzusetzen, existiert derzeit nicht. Aktuell gibt es auch keine verlässlichen Prognosen, wann dies soweit sein wird. Gleichwohl sind in den letzten Jahren zumindest im Bereich der relevanten Grundlagenforschung deutliche Fortschritte erkennbar geworden, sodass es notwendig ist, sich jetzt auf die Existenz eines Quantencomputers vorzubereiten. Das tun wir.

Wirtschaftsführer: Zu beobachten ist, dass dem BSI seit 2016 immer mehr Kompetenzen im Hinblick auf die IT-Sicherheit zukommen. Wächst Ihre Behörde zu einer Art NSA?

Arne Schönbohm: Mit der NSA hat das nichts zu tun. Die Digitalisierung und Vernetzung, die jeden Tag ein Stück zunimmt, sorgen dafür, dass die IT in immer neue Bereiche vordringt. Wir reden heute über den Schutz Kritischer Infrastrukturen, über Industrieanlagen, die über das Internet gesteuert werden, über Smart-TVs, über selbstfahrende Autos oder über Privathäuser, deren Sicherheitsmechanismen mit dem Smartphone bedient werden können. Die IT-Sicherheit muss bei alldem von Anfang an mitberücksichtigt werden, sonst wird die Digitalisierung nicht erfolgreich sein. Dafür zu sorgen, ist eine Aufgabe des BSI und deswegen wachsen wir.

 Wirtschaftsführer: Herr Schönbohm, herzlichen Dank für das Gespräch!