merken
PLUS Sachsen

„Wir sind keine Hacker-Behörde“

Das Bundesamt für Sicherheit in der Informationstechnik hat neue Befugnisse erhalten – und jetzt einen Standort in Sachsen.

Cyberkriminelle haben es oft auf sensible Daten von unternehmen abgesehen. Dazu nutzen Hacker Schadprogramme, deren Zahl rapide gestiegen ist.
Foto: picture-alliance/Zoonar
Cyberkriminelle haben es oft auf sensible Daten von unternehmen abgesehen. Dazu nutzen Hacker Schadprogramme, deren Zahl rapide gestiegen ist. Foto: picture-alliance/Zoonar © picture-alliance/Zoonar/Arapovic

Herr Schönbohm, einer Umfrage des Branchenverbandes Bitkom zufolge haben 40 Prozent der Deutschen mehr Angst vor Cyberattacken als vor einem Wohnungseinbruch. Sind die Ängste berechtigt?

Die Zahl überrascht mich nicht. Die Sorge der Bürger zeigt, wie wichtig es ist, die Sicherheit zu verbessern. Der Gesetzgeber hat gerade das neue IT-Sicherheitsgesetz 2.0 verabschiedet, in dem der digitale Verbraucherschutz einen besonderen Stellenwert einnimmt. Das BSI erhält damit eine neue Zuständigkeit am Standort Freital und damit die Chance, diesen Bereich deutlich auszuweiten.

Einkaufen und Schenken
Nur einen Klick entfernt
Nur einen Klick entfernt

Hier erhalten Sie nützliche Tipps und die aktuellsten Neuigkeiten rund ums Thema Einkaufen und Geschenke aus Ihrer Region.

Ist eine Bundesbehörde die geeignete Stelle dafür?

Wir arbeiten mit einer Reihe von Verbraucherverbänden zusammen und legen Kampagnen auf, um den Menschen einen sicheren Umgang mit technischen Produkten und digitalen Dienstleistungen zu ermöglichen. IT-Sicherheit ist längst kein Fachthema mehr, es betrifft jeden unmittelbar. Die Verbraucher sollen erkennen können, wie sicher beispielsweise das neue Smartphone ist und so schnell wie möglich erfahren, wenn Cyber-Kriminelle Schadsoftware in Umlauf bringen.

Wie sollen technische Laien dies erkennen?

Sie sollen keinen IT-Abschluss erwerben müssen, um an der Digitalisierung teilzunehmen. Das wäre Quatsch. Aber Käufer sollen von den Produzenten, wie in der realen Welt auch, ein Qualitätsversprechen erhalten. Einfach zu erkennende Sicherheitseigenschaften sind auch unsere klare Forderung an Hersteller von Verbraucherprodukten. Und da kommt das BSI ins Spiel. Wir sind beispielsweise dabei, für Router ein IT-Sicherheitskennzeichen einzuführen. Router sind oft Einfallstore für Cyber-Kriminelle, um sich Zugang zu WLAN und Smart Devices zu verschaffen. Die Anbieter, die unser IT-Sicherheitskennzeichen nutzen wollen, geben eine Erklärung ab, das ihr Produkt hinreichend sicher ist. Noch in diesem Jahr wollen wir damit an den Start gehen.

Akzeptieren die Unternehmen dieses Siegel?

Wir haben eine Reihe von Kriterien aufgestellt, die erfüllt sein müssen, um das Kennzeichen zu erhalten. Wenn der Anbieter diese für seinen Router akzeptiert und zusichert, sie einzuhalten, kann er in Eigenverantwortung für sein Herstellerversprechen ein IT-Sicherheitskennzeichen beantragen. Das Produkt wird dann nach der Erteilung des Kennzeichens durch unsere Marktaufsicht stichprobenartig oder bei Bekanntwerden von Schwachstellen geprüft. Es gibt ein großes Interesse der Unternehmen an einem Kennzeichen. Bald kommen weitere digitale Verbraucherprodukte an die Reihe.

Ihre Behörde sucht derzeit Mitarbeiterinnen und Mitarbeiter in Freital für simulierte Hackerangriffe. Was soll das?

Das BSI ist keine Hacker-Behörde. Wir suchen sogenannte Pentester (Penetrationtests), die die IT eines Unternehmens, z.B. eine App oder den Webauftritt, auf Sicherheitslücken untersuchen. Wir haben dies zum Beispiel bei der Corona-Warnapp gemacht, um Sicherheit und Stabilität zu prüfen. Wir greifen uns auch selber an, um die Widerstandsfähigkeit unserer IT immer wieder zu testen. Pentests sind die letzte technische Stufe einer Prüfung in einem Zertifizierungsverfahren.

Sie prüfen aber nicht nur die eigene IT, sondern auch andere Bundesbehörden und Unternehmen.

Ja, aber Unternehmen der Kritischen Infrastruktur überprüfen wir nur auf deren Wunsch, beispielsweise nach einem Angriff durch kriminelle Hacker oder bei der Suche nach gefährlichen Schwachstellen. Nach dem neuen IT-Sicherheitsgesetz können wir die Bundesverwaltung auch ungebeten kontrollieren. Wir haben das derzeit noch nicht vor, der gesetzliche Rahmen ist aber da. In der Vergangenheit haben wir die Mobile Response Teams und die Pentester wiederholt eingesetzt, beispielsweise bei der Unterstützung des Klinikums Düsseldorf nach dem schweren Cyberangriff Ende 2020.

Wie häufig kommt es zu Cyberangriffen auf Unternehmen in Deutschland?

Ein guter Indikator für die Bedrohungslage ist die gestiegene Zahl der Schadprogramme, die jeden Tag neu dazukommen. Früher lag diese Zahl bei rund 300.000 pro Tag. Mittlerweile sind es an Spitzentagen 570.000. Das machen teilweise automatisierte Programme. Ziel ist es, illegal viel Geld zu verdienen. Den Verursachern wird die Arbeit zu leichtgemacht, das ist der Grund für den Anstieg. Es gibt inzwischen über eine Milliarde Programme dieser Art. Es bereitet mir Sorge, dass die Brutalität der Attacken immer größer wird.

Inwiefern?

Früher erhielten Computernutzer eine Mail eines Prinzen von Samunda, der ihnen 45 Millionen Dollar schenken möchte. Das haben alle erkannt, gelacht und weggeklickt. Heute verschlüsseln die Täter die Daten eines Unternehmens, die sie vorher komplett kopiert haben und drohen damit, diese zu verkaufen oder zu veröffentlichen. Eine weitere Eskalationsstufe dieser Erpressungen sieht vor, dass die gestohlenen Daten kompromittiert, also verfälscht zurückgespielt werden. Die Wiederherstellung ist unglaublich aufwendig, wenn keine Vorsorge getroffen wurde. Und dabei ist unser Leben noch nicht einmal vollständig digitalisiert.

Müssen Angriffe schneller erkannt werden oder fehlt es Unternehmen und Verbrauchern an Sensibilität?

Das größte Problem ist, dass wir in der digitalen Welt nicht auf die nötige Sorgfalt achten. Jeder vierte erfolgreiche Angriff auf ein Unternehmen ist existenzbedrohend. Das würden wir in der realen Welt niemals akzeptieren. Dieses Risiko gehen wir in der digitalen Welt ein, auch mangels Wissen. Denen, die Verantwortung tragen, muss bewusst sein, dass Nichthandeln auch eine Entscheidung ist. Viele kleine und mittelständische Firmen haben das Risiko noch nicht hinreichend erkannt. Unternehmer berichten mir mit leuchtenden Augen von ihren Besuchen im Silicon Valley. Aber wenn ich sie nach ihrer Informationssicherheit frage, zeigen sie auf einen einzigen Mitarbeiter. „Das macht unser Elektro-Erich“. Das kann nicht funktionieren.

Das BSI hat 1.500 Mitarbeiter und benötigt durch neue Aufgaben rund 800 neue Stellen. Wie locken Sie junge Talente nach Bonn und Freital, die in großen Unternehmen mehr Geld verdienen können?

In den 1980er Jahren ging es den meisten Absolventen um möglichst hohe Gehälter. Das hat sich verändert. Junge Leute wollen immer noch ein gutes Gehalt. Aber sie wollen vor allem an etwas Vernünftigem und Sinnvollem mitarbeiten und ihre Fähigkeiten als technologische Speerspitze voll ausleben. Unser Vorteil sind interessante Weiterbildungen, verantwortliches Arbeiten und Präsenz auf hochrangige Fachkonferenzen im Ausland. Am Standort Freital gestalten unsere Mitarbeiter das Thema 5G. Hier muss niemand stupide Datenbanken auswerten, sondern kann die Informationssicherheit bei der digitalen Medizin, dem Autonomen Fahren oder den Verschlüsselungstechnologien mit aufbauen. In den einschlägigen Rankings gelten wir als beliebter Arbeitgeber, weil das BSI eben keine reine Verwaltungsbehörde ist, sondern operativ arbeitet und Standards setzt.

Der neue Standort Freital soll 200 Stellen erhalten. Wie viele Mitarbeiter sind bereits dort?

54 Mitarbeiter, 44 kommen bald und die weiteren Ausschreibungen laufen. Die meisten Bewerber kommen von den sächsischen Hochschul- und Forschungsstandorten. Bis Ende 2022 soll der personelle Aufbauprozess abgeschlossen sein.

Gespräch: Karin Schlottmann und Nora Miethke

Mehr zum Thema Sachsen