BSI-Präsident Arne Schönbohm erklärt im Gespräch mit BR24, was die Politik tun will - und tun muss, um der wachsenden Gefahr der Online-Kriminalität zu begegnen.
BR24: Was sind die großen Herausforderungen in Sachen IT-Sicherheit im Jahr 2018?
Schönbohm: Weltweit haben wir über 600 Millionen Schadprogramme. Jeden Tag identifizieren wir 280.000 neue. Schadprogramme nutzen bestehende Schwachstellen aus. Im letzten Jahr haben wir 1.000 Lücken allein ein den zehn meistverkauften Software-Produkten in Deutschland identifiziert. Das zeigt, dass wir ein massives Qualitätsproblem haben - Hacking ist ja kein Hexenwerk, sondern ganz einfache, handwerkliche Arbeit.
Was tun denn Hacker zum Beispiel mit Sicherheitslücken, die sie ausnutzen können?
Schönbohm: Es werden zum Beispiel Daten verschlüsselt, um dann Gelder zu erpressen - also die sogenannte Ransomware. Es wird auch versucht, zum Beispiel CEO-Betrug zu machen. Das heißt, man gaukelt jemanden [in einer gefälschten E-Mail, d. Red.] vor, man sei sein Chef, um Geld-Transaktionen anzuweisen. Die Firma Leonie ist ein bekanntes Beispiel, die haben dadurch erhebliche Gelder verloren. Aber es geht auch darum, Daten und Informationen abzuziehen, was zum Beispiel von besonderer Bedeutung ist, wenn Sie an das Thema Forschung und Entwicklung denken.
Wer steht hinter den verschiedenen Angriffen auf IT-Systeme, wer sind die Urheber der Schadsoftware?
Schönbohm: Die genannten 600 Millionen Schadprogramme sind großenteils der organisierten Kriminalität zuzurechnen, das ist der Kernpunkt, um den es geht. Teilweise stehen auch Staaten dahinter, das aber nur in begrenztem Umfang.
Wir alle kennen die bekannten Sicherheitstipps für's Internet: einen effektiven Virenschutz installieren, Software aktuell halten, starke Passwörter wählen. Dennoch scheinen Online-Kriminelle häufig noch leichtes Spiel zu haben. Ist nicht auch die Politik gefordert, noch stärker gegen Kriminalität im Internet vorzugehen?
Schönbohm: Die Bundesregierung hat hier schon sehr viel getan. Denken Sie an die Cybersicherheitsstrategie der Bundesregierung, die ich zusammen mit Herrn de Maizière bereits im November 2016 vorgestellt habe. Hier sind einzelne Handlungsfelder schon sehr konkret beschrieben, beispielsweise die Einführung eines Gütesiegels [für Software, d. Red.]. Das sind Themen, die jetzt in diesem Jahr zum Fliegen kommen, wir sind gerade in der finalen Phase der Erarbeitung dieser einzelnen Themen.
Strategien klingen immer gut. Wie sieht es mit der Umsetzung aus, fehlt es denn nicht auch an Personal und Mitteln bei den zuständigen Behörden?
Schönbohm: Auch hier bauen wir erheblich aus: Die Investitionen in das Bundesamt für Sicherheit in der Informationstechnik wurden bereits um ein Drittel erhöht, allein im vergangenen Jahr haben wir 180 neue Mitarbeiter dazubekommen.
Online-Kriminalität ist ein internationales Phänomen: Ob Angriffe auf fremde Rechnernetze oder das Vorhalten strafbarer Inhalte - vieles passiert über Server, die im oft nicht-europäischen Ausland stehen und nur schwer zu greifen sind. Was tun Sie, um grenzübergreifend schlagkräftiger zu werden?
Schönbohm: Wir tun hier bereits sehr viel. Zum Beispiel haben wir zusammen mit Frankreich ein Zertifikat für Cloud-Anbieter entwickelt. Es geht dabei darum, in weltweit verfügbaren Cloud-Netzen einen einheitlichen Sicherheitsstandard zu etablieren. Das ist schon sehr erfolgreich, so haben sich etwa weltweite Player wie Dropbox oder Alibaba bereits entsprechend zertifizieren lassen. Auch darüber hinaus arbeiten wir sehr gerne mit anderen Staaten zusammen. Denken Sie an die größte Botnetz-Infrastruktur der Welt, Avalanche, die mit maßgeblicher Unterstützung des BSI zerschlagen worden ist. Das waren Ermittlungen über Jahre hinweg, an denen eine Vielzahl von Ländern von den USA bis zur Ukraine beteiligt waren. Das sind zwei Beispiele. Ich bitte aber um Verständnis darum, dass wir auch nicht alles, was wir tun, über die Medien kommunizieren, um Verbrechern keinen Vorschub zu leisten, wie sie sich anders verhalten müssen.
Wie geht es in Zukunft weiter?
Schönbohm: Ich gehe davon aus, dass das BSI weiter ausgebaut wird, denn Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung. Das erkennen auch andere Staaten und fragen zunehmend bei uns nach, wie wir das in Deutschland machen.