Ingolstadt (DK) Seit gut einem Jahr ist Arne Schönbohm (Foto) Chef des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das Amt ist zuständig für den Schutz der Netze des Bundes, zugleich richtet es sich auch an gewerbliche und private Anbieter wie Nutzer von Informationstechnik - allerdings eher in beratender Funktion. Kürzlich war Schönbohm zu Gast in der IHK-Geschäftsstelle Ingolstadt, wo er auf einer gemeinsamen Veranstaltung des BSI und der IHK München und Oberbayern regionale Wirtschaftsvertreter über die Aufgaben und Angebote seines Amts informierte. Wir haben mit Schönbohm im Anschluss über die aktuelle Cyber-Bedrohungslage gesprochen.
Herr Schönbohm, was ist aktuell die schlimmste Plage in Sachen Schadsoftware?
Arne Schönbohm: Das ist zum einen sogenannte Ransomware - Software, die Ihre Daten verschlüsselt. Anschließend versuchen die Kriminellen, Lösegeld für die Entschlüsselung der Daten zu erpressen. Zum anderen sehen wir häufig den Diebstahl von Daten - persönlichen Daten oder auch von Firmendaten. Größtes Einfallstor für Schadsoftware sind übrigens inzwischen Smartphones.
Angriffe auf Smartphones - davon hört man relativ wenig. Ist das ein falscher Eindruck?
Schönbohm: Das ist ein falscher Eindruck. Denn normalerweise spiegeln Sie ja Ihre Accounts. Das heißt, das was Sie auf Ihrem Rechner haben, haben Sie in der Regel auch auf Ihrem Smartphone. Smartphones bieten große Sicherheitslücken. 96 Prozent der Schadsoftware bei Mobilgeräten läuft derzeit über das Android-Betriebssystem. Die meisten Nutzer haben leider keine Schutzsoftware auf ihren Telefonen installiert. Ein sehr fahrlässiges Verhalten.
Ist es aus Ihrer Sicht inzwischen Pflicht, sich eine Schutzsoftware aufs Handy zu spielen?
Schönbohm: Natürlich. Aber ich würde noch einen Schritt weiter gehen: Man sollte sich genau überlegen, welche Applikationen man sich von wo herunterlädt. Eines der größten Einfallstore für Datendiebe war übrigens das Spiel Angry Birds.
Wie sieht es bei Unternehmen aus? Unterschätzen die immer noch die Gefahr durch Schadsoftware und Hacker?
Schönbohm: Die meisten Firmen verstehen hervorragend das Thema der Digitalisierung. IT-Sicherheit dagegen wird häufig separat gesehen - als ein Kostenfaktor. Aus meiner Sicht ist das ein falsches Verständnis. Informationssicherheit ist die Voraussetzung dafür, dass die Digitalisierung erfolgreich ist.
Das BSI rät dazu, Vorfälle möglichst rasch zu melden. Aber wie ist das bei Firmen? Sind viele Unternehmen zu verschämt, sich zu melden, wenn Sie angegriffen werden?
Schönbohm: Zunächst einmal ist es Arbeit, einen Vorfall zu melden. Und bislang war das Problem, dass man dafür eigentlich nichts zurückbekommen hat. Dabei ist das Melden von Vorfällen sehr wichtig, damit die Cybersicherheitslage richtig erkannt wird. Wir bauen im BSI gerade unser Warnsystem aus. Das bedeutet, dass, wenn jemand einen IT-Vorfall meldet, die anderen wie in einer Nachbarschaftshilfe darüber informiert werden.
Nochmal zum Thema Ransomware. Sollte man zahlen, wenn man um Lösegeld für verschlüsselte Daten erpresst wird?
Schönbohm: Das ist das Schlimmste, was Sie tun können. Sie werden in der Regel Ihre Daten nicht zurückbekommen. So etwas wie Ganovenehre gibt es nicht. So erleiden Sie nur einen zweiten Schaden. Man sollte sich von vorneherein schützen - wer beispielsweise Back-ups hat, kann diese wieder einspielen.
Wird das Thema Cyberkriminalität zu sehr verniedlicht?
Schönbohm: Wie es wirklich aussieht, haben wir beim Thema Avalanche gesehen. Als damals diese größte Botnetz-Infrastruktur der Welt hochgenommen wurde, hat man festgestellt: Das sind keine netten Jungs, die im Keller sitzen, Pizza essen, Cola trinken und nebenbei ein bisschen hacken. Das sind Schwerstkriminelle, die mitunter mit einer Kalaschnikow durch die Tür schießen.
Beschäftigt sich das BSI eigentlich auch mit dem Thema automatisiertes Fahren?
Schönbohm: Ja, das ist für uns ein Thema. Zusammen mit dem Bundesverkehrsministerium, Kraftfahrbundesamt, der
Bundesanstalt für Straßenwesen und weiteren erarbeiten wir gerade IT-Sicherheitsanforderungen für automatisierte und vernetzte Fahrzeuge. Diese Anforderungen wollen wir dann auch in die Regelungen zur Fahrzeugzulassung und in die internationalen Standardisierungsverfahren einbringen.
Mal grundsätzlich gefragt: Steht eine hohe IT-Sicherheit von Geräten nicht im Widerspruch zu Ihrer Benutzbarkeit?
Schönbohm: Es geht darum, dass die Themen Sicherheit und Benutzbarkeit Hand in Hand gehen. Die Sicherheit muss beispielsweise bei der Entwicklung eines Produkts gleich von vorneherein mitgedacht werden - das ist besser als ein zwanzigstelliges Passwort.
Wie viele Passwörter haben Sie im Kopf?
Schönbohm: Also das sind einige, und die sind sehr sicher. Aber die kann man sich über einfache Brücken merken.
Nutzen Sie Amazon Echo?
Schönbohm: Nein.
Warum?
Schönbohm: Also erstens mal spreche ich zu Hause lieber mit meiner Frau. Aber ich habe vor allem deswegen kein solches Gerät, weil ich privat derzeit keinen Einsatzzweck dafür habe. Aus BSI-Sicht ist die Herausforderung, dass viele der Anbieter das Thema IT-Sicherheit nicht von Anfang an mitdenken. Wenn Sie sich viel mit IT-Sicherheit beschäftigen, erkennen Sie schnell immer mehr Schwachstellen. Derzeit führt die Bundesregierung ein Gütesiegel für IT-Produkte ein. Wenn wir dann dafür das Gütesiegel und die Einsatzzwecke haben, dann kann ich mir vorstellen, mir auch so etwas zuzulegen. So lange warte ich ab.
Die Fragen stellte
Sebastian Oppenheimer.
