Cyber-Wächter: Mittelständische Unternehmen sind typische Opfer

Braunschweig.  Deutschlands oberster Internet-Wächter Arne Schönbohm fordert Firmen auf, sich einer Cyber-Allianz anzuschließen.

Laut Schönbohm werden weltweit jeden Tag 380.000 neue Schadprogramme identifiziert.

Laut Schönbohm werden weltweit jeden Tag 380.000 neue Schadprogramme identifiziert.

Foto: Oliver Berg / dpa

Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), stellte sich den Fragen unserer Leser. Schönbohm kam auf Einladung des Braunschweiger Bundestagsabgeordneten Carsten Müller (CDU) in die Region. Deutschlands oberster Cyber-Sicherheitshüter warnt davor, dass Unternehmen immer noch viel zu lax mit dem Thema umgehen. Er kündigte ein Sicherheitskennzeichen für IT-Geräte an.

Stella Hellmigk: Wie wichtig nehmen wir das Thema Cybercrime in Deutschland? Sind wir genug geschützt gegen diese Art von Verbrechen?

Arne Schönbohm: Unsere Welt ist noch nicht digitalisiert. Wir haben aber schon 800 Millionen Schadprogramme weltweit. Wir identifizieren jeden Tag 380.000 neue Schadprogramme. Die organisierte Kriminalität verdient seit 2009 mit Cybercrime mehr Geld als mit Drogen. Wir müssen verstehen, dass die Informationssicherheit die Voraussetzung der Digitalisierung ist. Die Alternative wäre zum Beispiel, dass Eltern ihren Kindern nicht erlauben, ein Smartphone zu nutzen, weil sie Sorgen haben. Wir sind aber nicht untätig. Das BSI hatte vor dreieinhalb Jahren 650 Mitarbeiter. Ende dieses Jahres werden wir schon 1300 Mitarbeiter haben. Wir sind damit die größte Cybersicherheits-Behörde Europas.

Hellmigk: Wie stellen Sie sich denn eine fruchtbare Zusammenarbeit mit Unternehmen vor – auch in unserer Region?

Wir haben regionale Ansprechpartner in Hamburg zur Verfügung gestellt. Ich weiß, das ist nicht Braunschweig und auch nicht Hannover, aber so weit entfernt ist es nicht. Wir werden die Anzahl dieser regionalen Präsenzen noch deutlich ausbauen. Wir machen auch Informationsveranstaltungen mit den Industrie- und Handelskammern in den Regionen. Unternehmen sind zudem aufgerufen, Mitglied der Allianz für Cybersicherheit zu werden! Knapp 4000 Unternehmen nutzen die kostenlosen Angebote und den Erfahrungsaustausch schon.

Hellmigk: Und wenn eine Firma ein ganz konkretes Problem hat?

Dann kann sie sich gerne ans BSI wenden, wir können unmittelbar Hilfestellung geben. In bestimmten Fällen können wir mit unseren schnellen Eingreiftruppen, den Mobile Incident Response Teams, auch direkt vor Ort unterstützen. Und noch eine Bitte: Wenn Sie Opfer eines Cyberangriffs werden, erstatten Sie auf jeden Fall Anzeige!

Hans-Günter Thielker: Wir müssen als Unternehmen nachweisen, dass uns keine Daten abhanden kommen. Dabei hat doch jedes Unternehmen einen Virenschutz.

Das stimmt so leider nicht.

Thielker: Eine richtig gute Software kostet uns an Miete bis zu 60.000 Euro pro Jahr. Es gibt aber seitens des BSI bisher keinen Hinweis darauf, was Stand der Technik sein soll für ein Unternehmen.

Erst vergangene Woche habe ich mit der Bundesvereinigung der Deutschen Ernährungsindustrie den branchenspezifischen Sicherheitsstandard vorgestellt. Dort ist für diese Branche genau definiert, was Stand der Technik ist. Das ist im Handwerk etwas anderes als zum Beispiel für ein Wasserwerk oder ein Elektrizitätswerk. Weil ihr Funktionieren im Interesse der Allgemeinheit ist, können wir Standards für diese kritischen Infrastrukturen vorgeben. Daran können und sollten sich aber gerne auch andere Unternehmen orientieren.

Mario Krause: Wann greifen Ihre Mobile Incident Response Teams denn ein? Auch dann, wenn in einem Dorf mit 100 Einwohnern die Wasserversorgung durch Hacker bedroht ist?

Unsere Aufgabe ist es im übertragenen Sinne, den Patienten in eine stabile Seitenlage zu bringen. Wir beraten und unterstützen. Es sind die Sicherheitsbehörden, die die Ermittlungsarbeit nach einem IT-Angriff übernehmen. Die Aufgabe unserer Eingreiftruppen ist es mit Blick auf ein Unternehmen zum Beispiel, dass es erst gar nicht zu einem Stillstand durch einen Hacker-Angriff in der Produktionsstraße kommt.

Krause: Haben Sie Beispiele?

Als es im Februar 2018 zu einem schweren IT-Angriff auf das Auswärtige Amt kam, war neben dem BKA, dem Verfassungsschutz und anderen auch unsere schnelle Eingreiftruppe im Einsatz. Oder: Ein Krankenhaus zählt ab einer Größe von 30.000 stationären Behandlungen pro Jahr zur kritischen Infrastruktur. Das Lukas-Krankenhaus in Neuss hat 27.000 stationäre Behandlungen. Als die Klinik aber nach einem Cyber-Angriff kaum noch arbeitsfähig war, haben wir dennoch zusammen mit dem LKA Nordrhein-Westfalen geholfen. Es gibt keinen Anspruch, wir entscheiden aber wohlwollend und arbeiten zum Beispiel auch eng mit dem Innenministerium in Niedersachsen zusammen.

Thielker: Sie haben eine Übersicht an zertifizierten Sicherheitsberatern auf Ihrer Internetseite. Es gibt allerdings keinen einzigen Berater im Postleitzahlbereich mit der drei vorneweg. Wie kann das sein? VW liegt im Postleitzahlbereich mit der drei. VW hat irre viel Geld und eine Menge an Beratern. Gibt es da einen Zusammenhang?

Wir greifen nicht marktsteuernd ein. Manchmal lässt sich das aber sehr einfach erklären. Eine große Berateragentur kann ihren Firmensitz in Frankfurt oder Hamburg haben – und dennoch zusätzliche Berater in Braunschweig oder Salzgitter. Entscheidend ist aber vielmehr, dass wir eine Entscheidungshilfe bieten. Wir leisten in Deutschland im Bereich der IT-Sicherheit sehr viel mehr, als bekannt ist. Es gibt eine Reihe deutscher Marktführer im Bereich der Cyber-Sicherheit. Die weltweit größte IT-Sicherheitsmesse ist die Itsa in Nürnberg. Auch das ist einem breiten Publikum bisher noch gar nicht bewusst.

Thielker: Aber ich würde niemals eine Wirtschaftsprüfungsgesellschaft wie KPMG oder Deloitte fragen, wenn ich ein IT-Problem habe.

Wir haben erfasst, wer Firmen bei hoch spezialisierten Angriffen berät. Da ist auch ein Wirtschaftsprüfer dabei. Ich möchte aber noch einmal eindringlich bitten: Wenn Sie ein IT-Problem haben, das Sie nicht selber lösen können, dann suchen Sie sich einen zertifizierten Partner. Zertifizierte Unternehmen sind da eine gute Anlaufstelle, aber eben auch die Allianz für Cyber-Sicherheit.

Hellmigk: Werden Unternehmen, die weltweit agieren, eher Opfer von Cyber-Attacken?

Das lässt sich so pauschal nicht sagen. Auch mittelständische Unternehmen, in denen der Eigentümer ganz alleine entscheidet, sind mögliche Opfer, etwa von CEO-Fraud. Dabei geben sich Betrüger als der Chef aus, um Mitarbeiter zu animieren, Geldbeträge auf fremde Konten zu überweisen. Es gibt den Aktivisten, der eine Internetseite verändert, um eine politische Botschaft zu setzen. Früher hat man etwas an die Wand gesprüht, heute macht man das im Cyberspace. Dann gibt es noch den Kriminellen, der Internethändler betrügt. Jeder, der im Internet unterwegs ist, ist einem gewissen Risiko ausgesetzt. Das ist wie im richtigen Leben auch. Die digitale Aufklärung von Unternehmen und von mehr als 80 Millionen Verbraucherinnen und Verbrauchern in Deutschland nehmen wir als BSI daher sehr ernst.

Krause: IT-Angriffe können von überall auf der Welt erfolgen. Wir haben globalisierte Gegner, unsere deutschen Sicherheitsbehörden sind aber föderal aufgestellt. Dazu noch Ihre Behörde mit präventivem Charakter. Ist das zeitgemäß?

Ja, das ist es. Das BSI ist die nationale Cybersicherheitsbehörde und gestaltet die Informationssicherheit in der Digitalisierung für Staat, Wirtschaft und Gesellschaft. Wir beschäftigen uns mit Dingen wie dem Mobilfunkstandard 5G, dem autonomen Fahren oder der elektronischen Gesundheitskarte. Das BSI ist außerdem zuständig für die Informationssicherheit der Bundesregierung und der Bundesverwaltung. Wir haben jeden Tag Zehntausende von IT-Angriffen.

Krause: Woher kommen diese?

Wir haben eine sehr angespannte Sicherheitslage mit Angriffen, die aus allen Richtungen kommen. Wir haben daher mit neun Bundesländern Kooperationen geschlossen, denn eine Verteidigungskette ist nur so stark wie ihr schwächstes Glied. Wir haben eine Plattform aufgebaut, die wir den Ländern frei zur Verfügung stellen. So schützen wir den Rest gleich mit. Es geht nicht um die Frage der Zuständigkeit, sondern darum, wie Netzwerke gleichzeitig andere Netzwerke schützen. Das ist beim Schutz vor Cyberkriminalität ein großer Vorteil gegenüber anderen Deliktarten. Das heißt aber nicht, dass man nicht etwas schneller laufen könnte.

Hellmigk: Der Konkurrenzdruck unter den Firmen steigt, IT-Sicherheit kostet. Wie könnten Angebote verstärkt für Firmen greifen?

Es braucht offensichtlich Zeit, bis unsere Angebote angenommen werden. VW etwa hat das Problem relativ einfach mit Blick auf seine Zulieferer gelöst: Wer bestimmte IT-Mindeststandards nicht einhält, erhält keine Aufträge. Die Digitalisierung ist eine neue Form der Industrialisierung. Bevor es so etwas wie den Tüv gab, sind in den Betrieben reihenweise Dampfkessel in die Luft geflogen. Bei der Digitalisierung sind wir noch in einer Lernphase. Wenn wir in Deutschland die Informationssicherheit in den Produktionsprozess integrieren, haben wir weltweit ein Alleinstellungsmerkmal. Das wäre die Marke Made in Germany 2.0. Das muss unser Ziel sein.

Thielker: Ihre Internetseite sieht stark nach Behörde aus. Wie viele Bürger nutzen Ihre Seite denn?

Insbesondere unsere Bürger-Webseite www.bsi-fuer-buerger.de ist Anlaufstelle für sehr viele Menschen, die Informationen und Empfehlungen zur IT-Sicherheit haben möchten. Wir bemessen unseren Erfolg aber nicht nur anhand der Seitenaufrufe, sondern zum Beispiel auch anhand der knapp 4000 Unternehmen, die sich an der Allianz für Cyber-Sicherheit beteiligen. Wir haben eine Vielzahl an Veranstaltungen, erreichen auch so Tausende von Menschen. Wir haben alleine im vergangenen Jahr 16 Millionen Warnungen ausgesprochen. Unser Ziel ist es, dass die Bürger ein hohes Sicherheitsverständnis bekommen. Da ist es völlig egal, ob sie dazu die Seiten der Polizei, der Verbraucherzentralen, von Magazinen für Computertechnik oder eben unsere Plattform im Internet besuchen, um sich zu informieren. Wer gibt weltweit denn die meisten Sicherheits-Zertifizierungen aus?

Thielker: Wenn Sie so fragen, wahrscheinlich das BSI.

Richtig. Und wer ist auf Platz zwei? Frankreich. Dann kommt erst mal lange nichts. Zertifizierungen geben Verbrauchern Aufschluss über die Sicherheit eines Produkts. Digitaler Verbraucherschutz ist auch, wenn wir auf großen Handelsplattformen Smartphones und Tablets vom Markt nehmen lassen, bei denen die Schadsoftware gleich mit drauf war. Da haben wir sofort reagiert.

Thielker: Wirklich bekannt ist Ihre Behörde aber noch nicht.

Das BSI ist erst seit etwa einem Jahr zuständig beim IT-Verbraucherschutz in Deutschland. Unsere Bekanntheit wächst und wächst. Das ist aber gar nicht unser primäres Ziel, sondern die IT-Sicherheit. Wir entwickeln derzeit ein IT-Sicherheitskennzeichen. Wir erkennen bei der Waschmaschine, wie hoch der Stromverbrauch ist. Keiner kann aber sagen, wie sicher ein Smartphone ist. Das werden wir ändern.

Zur Person:

Arne Schönbohm hat Anfang 2016 sein Amt als Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) angetreten. Er ist Sohn von Jörg Schönbohm, dem Anfang des Jahres verstorbenen Ex-Innenminister des Landes Brandenburg.

Der gebürtige Hamburger studierte Internationales Management in Dortmund, London und Taipeh. Schönbohm ist seit mehr als zehn Jahren in führenden Positionen im Bereich der IT-Sicherheit tätig.

Vor seiner Ernennung zum BSI-Präsidenten war Schönbohm mehr als drei Jahre als Präsident des 2012 gegründeten Cyber-Sicherheitsrats Deutschland e.V. tätig. Er ist Autor diverser Bücher, darunter auch „Deutschlands Sicherheit – Cybercrime und Cyberwar“.

Kommentar-Profil anlegen
*Pflichtfelder