Unternehmer oft sorglos BSI-Chef: Eine Vielzahl von Schadprogrammen auf jedem Gerät

Meine Nachrichten

Um das Thema Wirtschaft Ihren Nachrichten hinzuzufügen, müssen Sie sich anmelden oder registrieren.

Wir haben unter Umständen eine Vielzahl von Viren auf unseren Geräten, ohne dass wir es wahrnehmen, sagt BSI-Präsident Arne Schönbohm. Entscheidend sei jedoch, ob diese das Gerät von außen steuern können. Foto: Monika Skolimowska/dpaWir haben unter Umständen eine Vielzahl von Viren auf unseren Geräten, ohne dass wir es wahrnehmen, sagt BSI-Präsident Arne Schönbohm. Entscheidend sei jedoch, ob diese das Gerät von außen steuern können. Foto: Monika Skolimowska/dpa

Osnabrück. Laut Digitalverband Bitkom hat jeder dritte Onliner Angst vor Ransomware. Für Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), sind die Sicherheitsvorrichtungen in vielen internetfähigen Geräten teils rudimentär. Ein Gespräch über Cybersicherheit, Künstliche Intelligenz und Nachholbedarf.

Herr Schönbohm, die Digitalisierung in der Wirtschaft ist in aller Munde, das Thema „Cybersicherheit“ fällt da im Vergleich ab. Oder trügt der Eindruck?

Nein, bislang war es für viele Unternehmen nicht notwendig, sich mit dem Thema „Cybersicherheit“ tiefergehend zu befassen. Kritische Geschäftsprozesse wurden früher in der Regel nicht über das Smartphone gesteuert. Das ist heute anders. Heute steuern etwa Mitarbeiter von Wasserwerken den Pumpendruck per Smartphone. Durch die zunehmende Digitalisierung innerhalb der Unternehmen bekommen Angriffsrisiken eine ganz andere Dimension. Jetzt muss die Wirtschaft lernen, dass es keinen Sinn macht, über Digitalisierung zu sprechen und dabei das Thema der Informationssicherheit zu vernachlässigen. Sie ist die Voraussetzung für eine erfolgreiche Digitalisierung.

Sind Unternehmer in dieser Hinsicht zu sorglos?

Ich würde eher sagen, in der Vergangenheit sind manche Unternehmer etwas naiv mit dem Thema umgegangen. IT musste funktionieren und dafür sollte der IT-Leiter sorgen, IT war aber nicht das Thema der Geschäftsleitung als Teil einer Risikobetrachtung. Man muss aber auch sagen, dass sich viele Informatiker in der Rolle des Nerds, den keiner versteht und der kaum Verantwortung trägt, wohl gefühlt haben. Auch diese Zeiten sind vorbei, jetzt kommt das Thema in der Mitte der Gesellschaft an.

Sie haben eben schon die Gefahr für Smartphones angesprochen. Wie viele Nutzer haben Viren auf ihren digitalen Geräten und wissen es gar nicht?

Alle internetfähigen Geräte sind potenziell anfällig, dazu können auch der Kühlschrank oder die Heizung gehören. Teilweise sind die Sicherheitsvorrichtungen dort rudimentär, von daher gehe ich davon aus, dass die Mehrzahl internetfähiger Geräte durch Viren, Trojaner oder sonstige Schadsoftwarevarianten infiziert ist.

Wir haben unter Umständen eine Vielzahl von Viren auf unseren Geräten, ohne dass wir es wahrnehmen. Entscheidend für eine Infektion ist die Frage, ob sie eine Steuerung der Devices von außen zulassen. Wir warnen beispielsweise davor, dass Fremde Rechnerleistung zum unbefugten Schürfen von Bitcoin nutzen. Die Zahl der Fälle ist sprunghaft angestiegen. Es gibt Studien, nach denen sich die Anzahl an Kryptomining-Infektionen innerhalb weniger Monate verfünzigfacht hat. Die Dunkelziffer dürfte höher sein. Anders als beim Auto, dessen Kilometerstand eine Fremdnutzung anzeigt, geben beim Computer nur eine höhere Stromrechnung oder schnellerer Verschleiß Aufschluss darüber, dass etwas nicht mit rechten Dingen zugeht.

Der Branchenverband Bitkom geht von einem Dauerbeschuss der Wirtschaft aus. Ist dem so?

Ja. Wir haben im letzten Jahr über 800 Millionen Schadprogramme weltweit festgestellt, 390.000 neue Varianten jeden Tag. Allein für Android-Geräte gibt es über 30 Millionen – und wir leben noch nicht einmal in einer voll digitalisierten Welt. Für die organisierte Kriminalität birgt die Digitalisierung viel Potenzial. Auch, weil wir es ihr so einfach machen, verdient die Organisierte Kriminalität mittlerweile mehr Geld durch Cybercrime als durch Drogenhandel.

Gehackt wird jedoch nicht nur, um Schaden anzurichten, sondern auch, um politische Statements zu verbreiten – wie jüngst bei RWE, als Anonymous die Internetseite des Energiekonzerns lahmgelegt hatte.

Der Hacktivismus kommt neu dazu, das ist richtig. Er macht mir aber zurzeit noch keine größeren Sorgen. Früher hat man mit der Graffiti-Flasche gesprayt, heute wird eine Website lahmgelegt. Gegen solche Angriffe kann man sich verhältnismäßig leicht schützen. Weltweit haben wir auch bereits Sabotagen von Produktionsanlagen gesehen – einfach um zu zeigen, dass das geht. In Deutschland hat es das in dem Ausmaß bisher nicht gegeben.

Es ist eine Sache, laufende Angriffe abzufangen, eine andere, sie vorherzusagen…

Dieser Aspekt interessiert mich besonders. In der realen Welt greift man auf Erfahrungswerte zurück, dahin wollen wir mithilfe von Künstlicher Intelligenz auch beim Thema Cybersicherheit.

Wenn man sich einen Zeitstrahl vorstellt, an welchem Punkt ist man da in der Entwicklung?

Ich habe mir verschiedene Player angeschaut. Was ich bislang gesehen habe, sind gute Ansätze und viel Marketing. Da fangen wir in Deutschland gerade erst an. Wir sind aber auf einem guten Weg, in Deutschland eine Speerspitze zu sein. Im Tagesablauf gesehen sind wir vielleicht beim Morgenmagazin nach dem Frühstück. Wir wissen, was wir tun wollen und wie das Tagewerk aussehen soll. Das wird jetzt umgesetzt, braucht aber seine Zeit.

Bundesinnenminister Horst Seehofer hat auch die Möglichkeit eines Gegenangriffs bei Cyberattacken ins Spiel gebracht. Ist das eine gute Idee?

Ein Land der Bedeutung und Größe Deutschlands muss die Fähigkeit für einen Gegenangriff haben. Wann und wer sie einsetzen darf, das ist eines der Themen, die die Politik entscheiden muss. Technisch gesehen gibt es einige wenige Institutionen, die das können. Dazu gehört auch das BSI.

Fünf Prozent der Großunternehmen setzen beim Thema IT-Sicherheit auf Künstliche Intelligenz. Ist das zu wenig?

Ja, aber wir haben eine herausragende Forschung. Bis es soweit ist, sollten wir auf die menschliche Intelligenz setzen, etwa die der Mitarbeiter in einem Unternehmen. Diese müssen geschult und für Cyber-Risiken sensibiliert werden, damit sie darauf nicht hereinfallen und etwa einen unsicheren Datenträger mit dem Rechner verbinden.

Nun macht die zunehmende Vernetzung, auch zwischen Produktion und Verwaltung, das Internet der Dinge die Sicherheit im Netz komplizierter. Wie sollen Unternehmer damit umgehen, um den Anschluss nicht zu verlieren?

Es braucht eine aktive Art des Risikomanagements. Wie kann ein Angriff aussehen, wie gehe ich damit um und was gibt es für Krisenmechanismen? Diese Szenarien vorauszudenken und mitzudenken ist wichtig. Darum ist es uns wichtig, dass der Verbraucher sich zum Beispiel beim Kauf von Smartphones bewusst für mehr oder weniger Sicherheit entscheiden kann. Ob für ein Betriebssystem noch Updates möglich sind, ist entscheidend, wenn ich mit dem Gerät Prozesse steuere. Denn dadurch wird das Smartphone zum digitalen Einfallstor für Kriminelle –das wird oft übersehen.

Der Lebenszyklus einer Maschine ist jedoch ein ganz anderer als der eines Smartphones…

Richtig, während ein Smartphone in der Regel nach zwei bis drei Jahren ausgetauscht wird, läuft eine Maschine zehn bis 20 Jahre oder länger. Das heißt, es gibt heute immer noch welche, die auf Windows 95 oder XP laufen. Wenn diese ans Netz angeschlossen werden, ist das ganze System angreifbar. Der Unternehmer muss das wissen. Er kann die Maschine ja weiterbetreiben, aber besser offline.

Damit funktioniert das Internet der Dinge jedoch erst, wenn die Produktionsanlagen mit Maschinen der neuen Generation ausgestattet sind.

Richtig. Entsprechend muss es ein Sicherheitskennzeichen geben, sodass sich ein Unternehmer ganz bewusst entscheiden kann. Daran arbeiten wir. Am 16. November haben wir eine Technische Richtlinie für Router vorgestellt. Der Router ist ein zentraler Baustein im Netzwerk, über den sich Datenverkehr steuern lässt. Wir fordern von den Herstellern eine Aussage, wie sicher der Router ist und welche Mindestanforderungen erfüllt sind.

Neben dem Internet der Dinge ist die Blockchain eines der Trendthemen. Sie gilt als unverfälschbar. Gibt es so etwas in der digitalen Welt überhaupt?

Ja, das gibt es. Allerdings ist es unsere Aufgabe als BSI, Technologie wie die Blockchain auf ihre Sicherheit zu prüfen, wenn sie zum Beispiel beim Grundbuchamt Anwendung finden soll. Können doch einzelne Elemente aus der Kette herausgezogen werden, fällt das System zusammen wie ein Kartenhaus. Das, was versprochen wird, muss also auch nachvollziehbar gehalten werden. Wir arbeiten sehr intensiv daran zu überprüfen, wo die Technologie eingesetzt werden kann und wo nicht.

Wo sollte man die Blockchain nicht einsetzen?

Das sind Themen, die wir mit den Anwendern direkt besprechen sollten.

Cybersicherheit erinnert an das Rennen zwischen dem Hasen und dem Igel. Wer hat in die Nase vorne?

Wenn ich mir anschaue, wo es in den letzten Jahren die meisten Hackangriffe gegeben hat, dann steht Deutschland bisher ganz gut da. Bei uns waren nicht flächendeckend Krankenhäuser durch einen Virus lahmgelegt wie in Großbritannien, wir haben keine Personaldaten verloren, bei uns gab es keine Stromausfälle wie in der Westukraine. Das liegt nicht nur am BSI, aber unter anderem auch am IT-Sicherheitsgesetz und dem Stand der Technik, den wir darin seit 2015 definiert haben. Zudem hat die Bundesregierung unser Personal in den vergangenen Jahren aufgestockt und wird dies voraussichtlich auch weiterhin tun. Dadurch können wir Informationssicherheit besser gestalten und Staat, Wirtschaft und Gesellschaft besser schützen.

Aber, wenn wir uns die neuen Themen wie 5G, Künstliche Intelligenz oder Blockchain anschauen ist klar, dass wir auch weiterhin neues Know-how und Lösungen entwickeln müssen, um die erfolgreiche Arbeit der Vergangenheit fortzusetzen.

Wo sehen Sie den größten Nachholbedarf?

Es hapert an Standards. Wir haben extrem viele Geräte im Bereich des Internets der Dinge, die nicht sicher auf den Markt kommen. Wenn man die Hersteller darauf anspricht, stößt man mit Hinweis auf Zeit und Geld auf Ablehnung. Hilfreich sind deswegen Standards und Zertifizierungen oder auch Mechanismen wie Verbandsklagen, wie sie etwa Verbraucherzentralen einreichen können, um zu einem anderen IT-Sicherheitsniveau zu kommen. Wenn sie gelingen soll, dann müssen wir in dieser Phase der Digitalisierung beim Thema IT-Sicherheit deutlich schneller voran kommen.

Stichwort Herstellerhaftung?

Das wird kommen. Es ist nicht vermittelbar, dass Hersteller, Dienstanbieter oder Provider in der digitalen Welt immer auf die Komplexität des Sachverhalts verweisen und der Kunde hilflos bleibt. Aber auch der Kunde ist hier gefragt, die Verbraucher müssen IT-Sicherheit einfordern.


Weitere Angebote, Produkte und Unternehmen der noz MEDIEN