Jeder dritte Internetnutzer so berichtet noz, hat Angst vor Ransomware, laut dem Digitalverband Bitkom. Der Präsident des BSI (Bundesamts für Sicherheit in der Informationstechnik), Arne Schönbohm sagt, dass die Vorrichtungen der Sicherheit in zahlreichen internetfähigen Gerätschaften zum Großteil rudimentär seien. Eine Konversation über dringenden Nachholbedarf, Cybersicherheit und Künstlicher Intelligenz.

Quelle: https://www.noz.de/deutschland-welt/wirtschaft/artikel/1590494/bsi-chef-eine-vielzahl-von-schadprogrammen-auf-jedem-geraet

Schadstoffprogramm auf Computern

Herr Schönbohm, dass Thema „Cybersicherheit“ rückt oftmals in den Hintergrund, wenn das Thema der Digitalisierung in der Wirtschaft in der Gesellschaft zur Sprache kommt. Oder trügt dieser Anschein?

Inhaltsverzeichnis

Dieser Eindruck trügt keinesfalls, da es bis heute für zahlreiche Firmen nicht als notwendig angesehen wird, sich mit dem Thema rund um „Cybersicherheit“ mehr als nur oberflächlich zu befassen. Im Vergleich zu früheren Zeiten wurden kritisch angesehene Geschäftsprozeduren nicht über das Smartphone gelenkt und gesteuert. Heutzutage können beispielsweise Mitarbeiter, die in Wasserwerken beschäftigt sind, den Druck der Pumpen über ihr Smartphone steuern. Trotz dessen einige Arbeitsschritte durch die Digitalisierung erleichtert worden sind, so bringt sie innerhalb von Unternehmen auch Angriffsrisiken mit sich. Der Wirtschaft muss bewusst werden, dass es keinerlei Sinn macht, zwar über die herrschende Digitalisierung zu reden und dabei das Thema der Informationssicherheit unter den Tisch fallen zu lassen, denn schließlich ist genau sie es, die die Voraussetzung für eine erfolgreiche Digitalisierung darstellt.

 

Sind die Unternehmer Ihres Erachtens demnach zu sorglos?

Ich würde es eher so formulieren, dass der ein oder andere Unternehmer in der Vergangenheit ein wenig naiv mit dem Thema Informationssicherheit umgegangen ist. Es war Gang und Gebe, dass die IT einfach funktionieren musste und dafür hatte der IT-Leiter die Verantwortung und stellte kein Thema bei der Leitung des Unternehmens in Form einer Risikobetrachtung dar. Ausdrücklich muss man aber auch klar und deutlich sagen, dass sich zahlreiche Informatiker in die Rolle des Nerds versetzt haben, der nur ein wenig Verantwortung trägt. Doch diese Zeiten sind mittlerweile Geschichte.

Die Gefahren für Smartphones haben Sie eben bereits angesprochen. Wie viele Nutzer haben Ihrer Meinung nach Viren auf ihren digitalen Geräten und sind sich darüber nicht im Klaren?

Potenziell gesehen sind jegliche internetfähigen Geräte für Viren anfällig. Selbst Kühlschränke oder Heizungen. Da oftmals die Sicherheitsvorrichtungen nicht aktuell sind, gehe ich stark davon aus, dass der Großteil der internetfähigen Geräte von Trojanern, sonstige Schadsoftwarevarianten und Viren infiziert ist, durchaus ist es daher möglich, dass wir die Viren auf unseren Geräten schlichtweg nicht wahrnehmen. Eine Steuerung der Devices ist hierbei entscheidend über eine Infektion und warnen ausdrücklich davor, dass Unbekannte Rechnerleistung zum unbefugten Sammeln von Bitcoin verwendet werden. Wir wissen nicht wie hoch die Dunkelziffer ist, doch mittlerweile gibt es genug Studien, die belegen, dass die Anzahl an Infektionen von Kryptomining auf das Fünfzigfache angestiegen sind. Und dies binnen weniger Monate! Lediglich eine höhere Stromrechnung oder ein eventuell schnellerer Verschleiß können hierbei aufzeigen, dass etwas nicht ganz mit richtigen Dingen zugeht.

 

Glauben Sie auch, dass es einen Dauerbeschuss der Wirtschaft geben wird? Zumindest sagt dies der Branchenverband Bitkom

Allein jeden Tag gibt es in etwa knappe 400.000 neue Varianten von Schadprogramm, in Jahr kommt man dabei also auf insgesamt über 800 Millionen! Man muss sich zu Augen führen, dass wir nicht mal in einer vollständig digitalisierten Welt leben und die bereits vorhandene Digitalisierung birgt für die Organisierte Kriminalität viel Potenzial, um sich einen effektiven Nutzen daraus zu ziehen. Allein über 30 Millionen Schadprogramme gibt es bereits für Android-Geräte. Schuld dürften wir dabei zum Teil selbst sein, da wir es der Organisierten Kriminalität zu einfach machen. Mittlerweile verdienen Betrüger mehr Geld durch Cybercrime als durch den Handel mit Drogen.

Wie es neulich beim Energiekonzern RWE der Fall war, als Anonymous deren Internetseite komplett lahmgelegt hatte, geht es nicht immer nur darum mit Hacken Schaden anzurichten

Ja, es ist richtig, dass das Hacken neu dazu gestoßen ist. Mir persönlich macht es, zumindest zurzeit, noch keine größeren Bedenken. Heutzutage wird eine Webseite stillgelegt, früher wurde mit der Graffiti-Flasche gesprüht. Es ist nicht sonderlich schwer sich gegen solche Angriffe zu schützen. Das Ausmaß von Sabotagen in Deutschland ist nicht im Geringsten so besorgniserregend wie in Ländern, in welchen aus Protest oder einfach nur um zu zeigen, dass es möglich ist, ganze Produktionsanlagen sabotiert werden.

Es sind zweierlei Paar Schuh. Angriffe vorherzusehen und laufende Angriffe abzuwehren

Dies ist ein Aspekt, der mich besonders stark interessiert. Mithilfe der Künstlichen Intelligenz wollen wir beim Thema Cybersicherheit – wie in der realen Welt – auf gemachte Erfahrungen zurückgreifen.

Was meinen Sie, an welchem Punkt der Entwicklung stehen wir, wenn man sich einen Zeitstrahl vorstellt?

Ich habe einige gute Ansätze und viel Marketing mittels verschiedener Player angeschaut. Zwar ist Deutschland auf einem guten Weg eine Speerspitze zu werden, doch sind wir noch am Anfang. Zwar wissen wir was wir tun möchten und wie das Werk am Ende des Tages auszusehen hat, doch braucht es für die Umsetzung vor allem eines: Zeit.

 

Sicherlich erinnern Sie sich an die Aussage von Horst Seehofer, dem Bundesinnenminister, bezüglich eines möglichen Gegenangriffes bei Cyberattacken. Was halten Sie davon?

Natürlich sollte ein Land mit der Größe und Bedeutung Deutschlands die Fähigkeit besitzen, einen Gegenangriff zu starten. Ein anderes Thema hierbei ist allerdings, wer diese Fähigkeit wann, wie und wo einsetzen darf. Aus technischer Sicht gesehen gibt es bereits einige wenige Institutionen, darunter fällt auch das BSI, die dies bereits können.

Knappe fünf Prozent aller größeren Unternehmen setzen im Bereich der IT-Sicherheit auf Künstliche Intelligenz. Sind das noch zu wenige?

Definitiv ein klares ja. Auch, wenn wir eine herausragende Forschung haben, sollten wir, bis diese ausgereift ist, auf die menschliche Intelligenz setzen und damit meine ich beispielsweise die Mitarbeiter in einem Unternehmen, die ausgiebig geschult werden müssen. Die Mitarbeiter müssen für Cyber-Risiken sensibilisiert werden, damit sie mögliche Betrugsmaschen und Attacken vorzeitig erkennen können.

Wie sollen Unternehmen damit umgehen, den Anschluss nicht zu verlieren und zeitgleich mit der zunehmenden Vernetzung durch das Internet klar kommen, welche die Sicherheit im Netz komplizierter macht?

Definitiv wird hier ein aktives Risikomanagement benötigt, welche sich die Frage stellt, wie ein solcher Angriff aussehen könnte, wie man damit umzugehen hat und welche Krisenmechanismen es überhaupt gibt. Es ist unabdingbar, sich mit diesen möglichen Szenarien auseinanderzusetzen. Uns ist es wichtig, dass sich jeder einzelne Verbraucher, beispielsweise beim Kauf eines Smartphones, bewusst wird, dass er zu entscheiden hat, ob er mehr oder weniger Sicherheit haben möchte und ob zum Beispiel noch Updates für das Betriebssystem möglich sein sollen. Durch diese bewusste Wahrnehmung und Entscheidung wird dieses kleine technische Gerät zum Einfallstor für Kriminelle und das vergisst der Verbraucher oftmals.
Im Vergleich zu einem Smartphone ist der Lebenszyklus einer Maschine ein anderer Korrekt. Während in der heutigen Zeit ein Smartphone im Durchschnitt bereits nach zwei bis drei Jahren gegen ein Neueres ausgetauscht wird, laufen einige Maschinen rund zehn bis zwanzig Jahre länger. Man sollte sich bewusst sein, dass wenn man ältere Geräte, die noch mit Windows 95 oder XP laufen an das Netzwerk anschließt, sie das ganze System dadurch angreifbar machen können.

 

Dem zu Folge läuft das Internet der Dinge erst, wenn die Produktionsanlagen mit Maschinen der neuen Generation ausgestattet sind

Auch das stimmt. Wir arbeiten daher an einem Sicherheitskennzeichen, damit der Unternehmer ganz bewusst entscheiden kann. Wir haben am 16. November eine Technische Richtlinie für Router vorgestellt, da er ein zentraler Baustein im Netzwerk ist, über den sich der Verkehr von Daten steuern lässt. Um eine solche Kennzeichnung transparent zu halten, fordern wir von den Herstellern eine klare Stellungnahme über die Sicherheit und Mindestanforderungen ihrer Router.

Gibt es so was wie unverfälschbar in der digitalen Welt, denn neben dem Internet der Dinge ist die Blockchain eines der derzeitigen Themen, die im Trend liegen

Unsere Aufgabe als BSI ist es, verschiedene Technologien – wie eben auch die Blockchain -auf ihre Sicherheit zu überprüfen, auch wenn sie als unverfälschbar gilt. Denn wenn einzelne Elemente aus der eigentlich sicheren Kette herausgezogen werden, kann das das System, ähnlich wie ein Kartenhaus, zusammenfallen.

 

Die Blockchain, wo sollte sie nicht eingesetzt werden?

Im Vergleich zu anderen Ländern wie Großbritannien, wo flächendeckend Krankenhäuser durch einen Virus lahmgelegt wurden, steht Deutschland bisher ganz gut da, was Hackangriffe anbelangt. Dies verdankt Deutschland nicht nur dem BSI, sondern auch dem IT-Sicherheitsgesetz und dem derzeitigen Stand der Technik. Aufgrund der personellen Aufstockung unseres Personals durch die Bundesregierung, ist es uns möglich, die Informationssicherheit besser zu gestalten und Wirtschaft, Staat und Gesellschaft effektiver zu schützen. Um die erfolgreiche Arbeit in der Vergangenheit fortzuführen ist es selbstverständlich, dass wir uns auch weiterhin neues Wissen aneignen und Lösungen entwickeln müssen, insbesondere, wenn wir uns die neuen Themen wie Künstliche Intelligenz, Blockchain oder 5G zu Augen führen.

 

Wo genau sehen Sie derzeit den größten Nachholbedarf?

Eindeutig liegt der Hund bei den Standards begraben. Zwar gibt es zahlreiche Gerätschaften, die im Bereich des Internets der Dinge auf den Markt kommen, doch diese sind nicht immer sicher. Oftmals schieben die Hersteller es auf Mangel an Zeit und Geld. Man stößt auf Ablehnung. Festgelegte Standards und Zertifizierungen können dieses Sicherheitsrisiko aus dem Weg räumen. Auch Mechanismen wie Verbandsklagen, wie sie zum Beispiel Verbraucherzentralen einreichen können, um zu einem anderen IT-Sicherheitsniveau zu kommen, dürften sich als sehr hilfreich erweisen. Die Phase der Digitalisierung beim Thema IT-Sicherheit muss deutlich schneller voranschreiten.

Was ist mit der Herstellerhaftung?

Es ist nicht akzeptable, dass der Kunde ständig hilflos zurückbleiben muss, nur weil Dienstanbieter, Hersteller oder Provider in der digitalen Welt stetig auf die Komplexität des Sachverhaltes verweisen. Doch auch die Verbraucher müssen IT-Sicherheit fest einfordern! Es wird mit Sicherheit zu einer Herstellerhaftung kommen. Früher oder später.