Interview zur IT-Sicherheit BSI-Präsident: "Die Gefahrenlage wird tendenziell noch zunehmen"

VDI nachrichten: Sie haben auf der Fachkonferenz Cyber-Sicherheit von verstärkten Angriffen auf die deutsche Wirtschaft und Verwaltung gesprochen. Wie schützen sich die Behörden bzw. das BSI gegen diese Bedrohung?

Hange: Cyber-Angriffe auf Unternehmen und die Verwaltung finden jeden Tag statt. Einerseits geht es den Angreifern dabei um Informationsgewinnung, um mit den Daten und digitalen Identitäten von Bürgern Geld zu verdienen. Auf der anderen Seite erfolgen Angriffe auf Wirtschaftsunternehmen, um vertrauliche Informationen auszuspionieren und an Know-how zu kommen.

Also Angriffe, um an Geld zu kommen?

Es gibt grundsätzlich auch ein Angriffspotenzial auf Wirtschaft und Verwaltung, das darauf abzielt, Infrastrukturen lahmzulegen oder zu sabotieren. Wie schon im IT-Sicherheitslagebericht 2011 des BSI dargestellt, ist mit einer weiteren Zunahme relevanter Schwachstellen und neuer Schadprogramme bzw. deren Varianten zu rechnen. Insofern wird die Gefährdungslage tendenziell eher noch zunehmen.

Wie können sich Behörden schützen?

Ein wichtiger Bestandteil eines effektiven Schutzes vor Cyber-Angriffen ist die Analyse der Angriffsmethoden und Angriffstechniken. Das BSI wertet daher eine Vielzahl von Quellen aus, um technische Informationen über diese Methoden zu sammeln, Trends und Vorfälle in der IT-Sicherheit zu analysieren und daraus entsprechende Gegenmaßnahmen zu entwickeln, die sowohl präventiv als auch im Falle eines akuten Angriffs einsetzbar sind. Operativ zuständig ist das BSI für die Sicherheit der Regierungsnetze, in denen das BSI eigene Sensoren betreibt, um Anomalien und Angriffe erkennen zu können.

Welche Aufgaben hat das BSI noch?

Über diese rein technischen Daten hinaus wird der Überblick über die Sicherheitslage in den Regierungsnetzen auch durch die Funktion des BSI als zentrale Meldestelle für IT-Sicherheitsvorfälle unterstützt: Bundesbehörden sind verpflichtet, IT-Sicherheitsvorfälle umgehend an das Lagezentrum des BSI zu melden. So kann abgeschätzt werden, welche Ausmaße ein Vorfall hat, ob andere Institutionen ebenfalls gefährdet oder sogar betroffen sind. Unter Umständen werden dann Warnungen ausgesprochen und adäquate Gegenmaßnahmen entwickelt.

Anonymous hat Volkswagen und die Allianz-Versicherung ins Visier genommen. Wie haben die Betroffenen darauf reagiert? Woher kommt das Interesse gerade an diesen beiden Konzernen?

Auf die möglicherweise geplanten Aktivitäten der Hackergruppe Anonymous haben wir seinerzeit sowohl Volkswagen als auch die Allianz

hingewiesen. In Fällen wie bei VW ist ein solcher Hinweis im Rahmen der jahrelangen vertrauensvollen Zusammenarbeit zwischen dem Cert-Bund des BSI und dem Volkswagen-Cert üblich. Angesichts der guten Aufstellung des VW-Certs bedarf es jedoch keiner Empfehlungen unsererseits an VW.

Welches Gefahrenpotenzial weist der neue Supervirus Flamer für die deutsche Wirtschaft und Verwaltung auf? Er ist bislang nur im Nahen Osten verbreitet, aber auch in Ungarn.

Die umfassende Analyse der Funktionsweise von Flamer ist sowohl bei den Herstellern von Antivirensoftware als auch bei den Certs noch im Gange. Eine Signatur für die Erkennung der Schadsoftware ist jedoch bereits verteilt worden. Aus den Rückläufern ist derzeit nicht erkennbar, dass deutsche Einrichtungen betroffen sind.

Wie können sich deutsche Unternehmen gegen nicht nur wirtschaftlich, sondern auch politisch motivierte Bedrohungen wappnen?

Die zunehmende Professionalisierung von Angreifern und Angriffsmethoden führt zu einer dynamischen Gefährdungslage. Rund 80 % der bekannten Angriffe lassen sich jedoch mit Standardschutzmaßnahmen abwehren, beispielsweise im Rahmen von IT-Grundschutz. Oft mangelt es jedoch an der Umsetzung dieser Standardmaßnahmen. Beispielsweise ist das Patchmanagement nicht aktuell, es werden Passworte schlecht gewählt oder sind gar nicht vorhanden. Wir stellen auch immer wieder fest, dass Unternehmen veraltete und nicht aktualisierte Software einsetzen. Das hat natürlich etwas mit Investitionen und Finanzierbarkeit zu tun, oft aber auch schlicht mit Nachlässigkeit.

Sparwille und schlechte Organisation sind die eine Sache. Wie jedoch kann man sich gegen hoch professionelle, gezielte Attacken schützen?

Wenn es um die restlichen 20 % geht, die gezielten und hoch professionellen Angriffe, dann ist es sehr schwierig, vorbeugende Maßnahmen zu ergreifen. Grundsätzlich sollten sich Unternehmen und Organisationen der Risiken bewusst sein, die sich durch die Möglichkeit eines Cyber-Angriffs ergeben. Dazu gehört auch, die vorhandenen Daten, Infrastrukturen und Prozesse kontinuierlich auf ihren Schutzbedarf hin zu

analysieren. Bei Informationen mit hohem Schutzbedarf ist zu überlegen, ob und wie die Zugriffswege sicher gestaltet werden können.

Ist sich die deutsche Politik einig darüber, wie man den Cyber-Attacken entgegentritt? In manchen Punkten scheint Dissens zu herrschen.

Die Bundesregierung hat im Februar 2011 die Cyber-Sicherheitsstrategie mit dem Ziel verabschiedet, ein hohes Sicherheitsniveau im Cyber-Raum zu gewährleisten und die Zusammenarbeit zwischen Staat und Wirtschaft zu intensivieren. Ein wichtiger Baustein der Strategie ist die Gründung des Nationalen Cyber-Sicherheitsrats und der Aufbau des Nationalen Cyber-Abwehrzentrums. Beide Einrichtungen tragen dazu bei, Cyber-Angriffen in angemessener Weise entgegenzutreten. Der Cyber-Sicherheitsrat beispielsweise koordiniert auf politischer Ebene präventive und übergreifende Maßnahmen zur Erhöhung des Cyber-Sicherheitsniveaus in Deutschland.

Ebenso wenig wie deutsche Schulkinder im Fach „Finanzkompetenz“ unterrichtet werden, informiert man sie in der Schule über Schutzmaßnahmen für ihr Smartphone. Gibt es Abhilfe, z. B. von Seiten des BSI und des Bundes?

Mit dem Onlineangebot www.bsi-fuer-buerger.de stellt das BSI der Öffentlichkeit allgemeinverständliche Informationen rund um die IT-Sicherheit zur Verfügung. Dort erhalten PC- und Internetnutzer Tipps und Hinweise sowohl zum sicheren Surfen – auch mobil – als auch zu Fragen, wie man seinen PC sicher macht, welche Gefahren und Risiken im Netz lauern und wie man diesen begegnet. Diese Materialien stellt das BSI auf Anfrage auch Schulen und anderen Bildungseinrichtungen zu Sensibilisierungs- und Präventionszwecken zur Verfügung. Darüber hinaus kooperiert das BSI auch mit Initiativen wie „Deutschland sicher im Netz“, die speziell für Eltern und Pädagogen konzipiertes Informationsmaterial zur Verfügung stellen.