Interview Cybersicherheit: So arbeitet das BSI

Sicherheit
Security in Firmen (Shutterstock /Mikko Lemola)

Im Zeitalter der Cyberattacken gerät das BSI immer stärker in den Mittelpunkt der öffentlichen Aufmerksamkeit. Doch wie arbeitet das BSI? Ist das Amt vorbereitet, wenn Hacker eine Cyberattacke starten? Hartmut Isselhorst, Leiter der Abteilung Cybersicherheit, erklärt, was im Ernstfall passiert – und ob Firmen und Bürger genug für ihre Sicherheit tun.

Nach der Cyberattacke auf den französischen Fernsehsender TV5Monde ist die Diskussion um die Sicherheit öffentlicher IT-Strukturen wieder einmal neu aufgeflammt. Wie gut ist Deutschland gegen Cyberattacken geschützt? Was passiert, wenn der Ernstfall eintritt? Bei diesem Thema weiß das Bundesamt für Sicherheit in der Informationstechnik (BSI) Bescheid. Die ehemalige “Zentralstelle für das Chiffrierwesen” hatte schon 1986 den Aufgabenbereich “Computersicherheit” übernommen. Damals ging es aber nur um die Bearbeitung von Verschlusssachen von Regierung oder Behörden. 1989 wurde der Aufgabenbereich dann auf die IT-Sicherheit erweitert.

An Erfahrung mangelt es dem Amt also sicherlich nicht. Dr. Hartmut Isselhorst ist Leiter der Abteilung Cybersicherheit beim BSI. Im Interview mit ITespresso erklärt er, wie das Amt arbeitet und wie er die aktuelle Gefährdungslage einschätzt.

Bundesamt für Sicherheit in der Informationstechnik (BSI)

ITespresso: Wie darf man sich die Arbeit im BSI vorstellen? Gibt es so etwas wie ein Lagezentrum oder einen täglichen Sicherheitsbericht?

Isselhorst: Um jederzeit über ein verlässliches Bild der aktuellen IT-Sicherheitslage in Deutschland zu verfügen und um den Handlungsbedarf und die Handlungsoptionen bei IT-Sicherheitsvorfällen sowohl auf staatlicher Ebene als auch in der Wirtschaft schnell einschätzen zu können, ist beim BSI das Nationale IT-Lagezentrum angesiedelt. Zur Analyse der aktuellen IT-Lage werden dort täglich Dutzende offene und vertrauliche Quellen ausgewertet. Hinzu kommt die Beobachtung der Regierungsnetze mit technischen Sensoren zur Frühwarnung. Diese Informationen und ihre Bewertung fließen in tägliche und monatliche Lageberichte ein.

ITespresso: Arbeiten Sie auch mit Herstellern von Security-Software zusammen? Gibt es einen Informationsaustausch?

Isselhorst: Die Verbesserung der IT-Sicherheit ist keine Aufgabe, die ein Einzelner lösen könnte. Daher verfolgt das BSI einen kooperativen Ansatz, der auch die Zusammenarbeit mit Partnern aus Wirtschaft, Wissenschaft und Forschung einschließt, beispielsweise und intensiv im Rahmen der vom BSI gegründeten “Allianz für Cyber-Sicherheit“.

ITespresso: Wäre das BSI im Falle einer großen Cyberattacke auf die Bundesregierung oder beispielsweise Einrichtungen wie Energieversorgung oder Telefonnetze gerüstet?

Isselhorst: In einer IT-Krise wächst das Nationale IT-Lagezentrum im BSI zum IT-Krisenreaktionszentrum auf. Störungen in Informationsinfrastrukturen müssen schnell und wirksam behoben werden, daher soll das IT-Krisenreaktionszentrum die schnelle Reaktion auf schwerwiegende Vorfälle sicherstellen, um so rechtzeitige Gegenmaßnahmen zu ermöglichen sowie Schäden größeren Ausmaßes zu vermeiden. Zu diesem Zweck werden IT-Sicherheitsvorfälle analysiert, bewertet und an die relevanten Stellen weitergeleitet.

Außerdem koordiniert das IT-Krisenreaktionszentrum die Zusammenarbeit sowohl mit den lokalen als auch mit den brancheninternen Krisenmanagementorganisationen. Falls eine Krise auftritt, die über lokale Verantwortlichkeiten hinausgeht und auf größere Teile der Bundesverwaltung Auswirkungen hat, werden die nötigen Gegenmaßnahmen durch ein Koordinierungsgremium der entsprechenden Ressorts abgestimmt und durch das IT-Krisenreaktionszentrum veranlasst.

"Wir stellen bei den Bürgern immer wieder eine gewisse digitale Sorglosigkeit fest", sagt Hartmut Isselhorst, Leiter der Abteilung Cyber-Sicherheit. (Bild: BSI) .
“Wir stellen bei den Bürgern immer wieder eine gewisse digitale Sorglosigkeit fest”, sagt Hartmut Isselhorst, Leiter der Abteilung Cyber-Sicherheit. (Bild: BSI) .

ITespresso: Wie ist die Zusammenarbeit des BSI mit den entsprechenden Behörden der europäischen Nachbarn?

Isselhorst: Die zunehmende Digitalisierung und Vernetzung verläuft unabhängig von Landesgrenzen. Daher ist eine internationale Zusammenarbeit und Abstimmung im Bereich der IT-Sicherheit unverzichtbar. Als zuständige Fachbehörde ist das BSI international sehr gut vernetzt. Wir stehen in ständigem Kontakt zu unseren europäischen Pendants und tauschen Informationen über Angriffe, Vorfälle, Methodiken und Erkenntnisse zügig aus. Zudem besteht eine gute Zusammenarbeit mit anderen nationalen CERTs, die erfreulicherweise auch in immer mehr Unternehmen und Forschungseinrichtungen angesiedelt sind.

ITespresso: Sind Unternehmen ausreichend gegen Spionage und Hackerangriffe geschützt? Sind kleinere Unternehmen mit der Aufgabe überfordert?

Isselhorst: Die bisher bekannt gewordenen Cyberangriffe auf Unternehmen haben sowohl internationale Konzerne als auch kleine und mittelständische Unternehmen getroffen. Gefährdung entsteht immer dort, wo Werte vorhanden sind. Gerade in Deutschland gelten sehr viele kleine und mittlere Unternehmen als besonders innovativ. Sie verfügen über umfangreiches, spezialisiertes Know-how, viele unter ihnen sind “Hidden Champions”, zahlreiche Firmen verfügen über Patente und wichtiges geistiges Eigentum. Das weckt Begehrlichkeiten.

Es ist daher ein Trugschluss, wenn sich ein Unternehmen aufgrund seiner überschaubaren Größe in Sicherheit wähnt oder eine geringen allgemeinen Bekanntheitsgrad mit geringer Gefahr für Cyber-Angriffe gleichsetzt. Die Patente und Forschungsergebnisse eines kleineren Unternehmens können für Angreifer ebenso lukrativ sein, wie die Vorstandsentscheidungen eines Großkonzerns.

ITespresso: Wie hoch ist das Bewusstsein für Sicherheitsrisiken bei Privatanwendern? Schützen sich Privatanwender in Deutschland ausreichend?

Isselhorst: Durch die Snowden-Enthüllungen und die zunehmende Berichterstattung über IT-Sicherheitsvorfälle ist die Sensibilität in der Bevölkerung sehr hoch. Dennoch stellen wir immer wieder eine gewisse “digitale Sorglosigkeit” fest, denn trotz der erhöhten Aufmerksamkeit wurde kein nachhaltiger Fortschritt in der Umsetzung konkreter Schutzmaßnahmen in der Praxis erreicht. E-Mails werden nach wie vor zu 95 Prozent unverschlüsselt versendet und sind damit im Internet offen wie eine Postkarte.

"BSI für Bürger" kümmert sich auch um die IT-Sicherheit der Privatanwender. Neben Tipps und Know-how-Artikeln bringt die Website aktuelle Warnhinweise. Zudem kann man einen wöchentlich einen Newsletter bestellen. (Screenshot: Mehmet Toprak)
“BSI für Bürger” kümmert sich auch um die IT-Sicherheit der Privatanwender. Neben Tipps und Know-how-Artikeln bringt die Website aktuelle Warnhinweise. Zudem kann man einen wöchentlich einen Newsletter bestellen. (Screenshot: Mehmet Toprak).

Zentrales Einfallstor in viele Rechner von Privatnutzern und KMU ist ein unzulängliches Patchmanagement. Das heißt, Sicherheits-Updates, mit denen Schwachstellen in Programmen geschlossen werden, werden gar nicht oder erst sehr spät eingespielt.

ITespresso: Ist die Arbeit des BSI in Deutschland genügend bekannt? Nutzen viele Bürger das Bürger-CERT?

Isselhorst: Nicht nur der Bürger-CERT Newsletter mit rund 100.000 Abonnenten, auch das Informationsangebot des BSI für Privatanwender insgesamt wird sehr gut angenommen: Die Webseite “BSI für Bürger” verzeichnet eine steigende Anzahl an Nutzern, ebenso der Facebook-Auftritt des BSI. Das BSI Service Center, an das man sich telefonisch oder per E-Mail mit Fragen zur IT-Sicherheit wenden kann, bearbeitet rund 2000 Anfragen monatlich.

ITespresso: Ist für Unternehmen das Risiko eines Spionage- oder Hackerangriffs in den vergangenen Jahren tatsächlich gestiegen? Oder ist da auch viel Hysterie dabei?

Isselhorst: In Hysterie zu verfallen besteht kein Anlass. Tatsache ist aber auch, dass Cyberangriffe immer professioneller und zielgerichteter ausgeführt werden. Neben den bekannten und weit verbreiteten Angriffsmethoden wie beispielsweise Spam, Schadsoftware oder Drive-by-Exploits, sind Advanced Persistent Threats (APT) von besonderer Bedeutung.

Hierbei handelt es sich um hochwertige “Premiumangriffe”, die schwer detektierbar sind und sich durch sehr hohen Ressourceneinsatz und erhebliche technische Fähigkeiten aufseiten der Angreifer auszeichnen. Cyberangriffe haben sich für Kriminelle und Nachrichtendienste zu einem lukrativen und risikoarmen Geschäftsfeld entwickelt.

ITespresso: Wie kann man im Unternehmen oder als Privatanwender ein vernünftiges Sicherheitsniveau gewährleisten, ohne dass die Produktivität zu stark darunter leidet?

Isselhorst: Das Bewusstsein für die Themen der IT-Sicherheit ist gestiegen, damit ist schon ein wichtiger erster Schritt gemacht. Nachholbedarf gibt es noch bei der Umsetzung von Sicherheitsmaßnahmen, auch im Bereich der Standardmaßnahmen, die nicht sehr aufwändig sind. Allein mit diesen Standardmaßnahmen lassen sich 80 bis 90 Prozent aller gängigen Cyberangriffe erfolgreich abwehren.

Für Privatanwender haben wir diese Maßnahmen auf unserer Webseite zur Verfügung gestellt. Für Unternehmen bietet die Allianz für Cyber-Sicherheit eine Plattform, Informationen und Handlungsempfehlungen zu Themen der Cyber-Sicherheit zu erhalten und sich über IT-Sicherheit auszutauschen.

ITespresso: Besteht für Privatanwender und Unternehmen eine Chance, jemals der ständigen Überwachung durch ausländische Sicherheitsbehörden zu entgehen?

Isselhorst: Dass es eine Bedrohungslage durch ausländische Nachrichtendienste gibt, ist richtig. Privatanwender stehen jedoch in der Regel nicht im Fokus von Nachrichtendiensten. Eine oftmals viel größere Gefährdung entsteht durch die organisierte Kriminalität. Daher ist es wichtig, dass sich Unternehmen und Privatanwender mit dieser Bedrohungslage auseinandersetzen und geeignete Schutzmaßnahmen treffen. Anwender können sich durch die Anwendung von Standardsicherheitsmaßnahmen bereits relativ gut gegen gängige Breitenangriffe aus dem Bereich Cybercrime schützen.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU