Freiwilligkeit statt Pflicht

Das Bundesamt für Sicherheit in der Informationstechnik will gemeinsam mit dem Internet-Branchenverband Bitkom ein anonymes Meldesystem für Fälle von Cyberkrimininalität aufbauen. BSI-Präsident Michael Hange erklärt im TR-Interview, was seine Behörde sich davon verspricht.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Lesezeit: 4 Min.

Das Bundesamt für Sicherheit in der Informationstechnik will gemeinsam mit dem Internet-Branchenverband Bitkom ein anonymes Meldesystem für Fälle von Cyberkrimininalität aufbauen. BSI-Präsident Michael Hange erklärt im TR-Interview, was seine Behörde sich davon verspricht.

Der Mathematiker Michael Hange ist seit Oktober 2009 Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Technology Review: Herr Hange, wenn ein Patient mit Vogelgrippe zum Arzt kommt, muss der Mediziner die gefährliche Infektion melden. Wieso gibt es keine Meldepflicht für Viren und Trojaner?

Michael Hange: Es ist ja nicht alles von der Qualität eines Stuxnet-Trojaners, was da heutzutage passiert. Man muss zunächst mal ein Bewusstsein für die reale Gefährdungslage schaffen. Wir, das BSI, erstellen ein Lagebild der Cybersicherheit für die Bundesbehörden. Daher die Idee, auch gemeinsam mit den Unternehmen ein solches Lagebild zu erstellen.

TR: Wie gefährlich ist denn das Internet für ein mittelständisches deutsches Unternehmen mittlerweile?

Hange: Wir registrieren zum Beispiel 20.000 gehackte Webseiten pro Tag. Wir sehen auch gezielte Infiltration mit Schadsoftware. Aber die große Masse der Angriffe zielt auf die einfach zu nutzenden Schwachpunkte.Dabei sind80 Prozent aller Cyber-Angriffe im Grundschutz-Kontext zu sehen. Das heißt, dass die Angegriffenen einfache Basismaßnahmen für den Schutz der IT-Infrastruktur nicht oder nur unzureichend realisiert haben. Zum Beispiel sind Passworte schlecht gewählt – oder gar nicht vorhanden. Ein klassisches Problem sind auch fehlende Updates. Manche Unternehmen arbeiten teilweise noch mit Software aus dem Jahr 2008. Das hat natürlich mit knappen Budgets zu tun, aber auch oft mit Nachlässigkeit.

TR: Wieso ist es denn auch für andere gefährlich, wenn ich mir einen Computervirus oder einen Trojaner einfange?

Hange: Wenn ein infizierter PC Teil eines kriminellen Botnetzes wird, kann er nicht nur angegriffene Websites lahmlegen. Er dient auch dazu, Schadsoftware weiterzuverbreiten.

TR: Die Hersteller von Sicherheitssoftware sagen, die Qualität der Angriffe habe zugenommen. Wie schätzen Sie das ein?

Hange: Ja, die Gefährdung ist größer geworden. Im Fall des niederländischen Zertifikatsanbieters Diginotar hat es beispielsweise einen Angriff auf die SSL-Infrastruktur gegeben. SSL-Zertifikate ermöglichen die sichere Verbindung mit einer Website. Unter anderem wird dabei auch die Identität des Webservers überprüft, mit der man sich verbinden will.Wenn manipulierte Zertifikate von Kriminellen verwendet werden, ist der Anwender im Grunde hilflos. Weil er davon ausgehen muss, dass die Zertifikatsstellen korrekt arbeiten. Rein zahlenmäßig spielen solche Vorfälle zwar keine große Rolle. Aber die Konsequenzen sind sehr weitreichend.

TR: Wenn die Gefahr so groß ist, warum lehnt die Wirtschaft eine Meldepflicht für Cyberangriffe dann ab?

Hange: Weil dabei ihre eigenen Defizite ans Licht kommen könnten und Imageschäden befürchtet werden. Deswegen haben wir ein Meldesystem – mit anonymen Meldungen – vorgeschlagen, das wir gemeinsam mit dem Bitkom entwickeln.

TR: Was bringt denn ein anonymes Meldesystem?

Hange: Cybersicherheit ist nicht statisch. Eine Lagebeobachtung ist daher heute ganz zentral. Wir müssen in der Lage sein, Angriffsmuster zu erkennen. Und wir müssen immer davon ausgehen, dass die Angriffsfähigkeit verbessert wird. Ich glaube auf der diesjährigen CeBIT ist vielen klar geworden, dass IT-Sicherheit einen höheren Stellenwert haben muss. Gerade in Zeiten von Cloud-Computing und Smartphones funktioniert das klassische Denken nicht mehr. Es gibt nicht mehr die Verteidigungslinie, die ich um mein Unternehmen ziehe. Der Glaube, Cyber-Sicherheit durch eine einzige technische Maßnahme herstellen zu können, ist illusorisch.

TR: Wann soll das Meldesystem mit der Arbeit beginnen?

Hange: Das müssen wir jetzt mit den Verbänden diskutieren. Wir werden Ende Mai in Bonn eine Veranstaltung durchführen, auf der wir die konkreten nächsten Schritte ankündigen. Das Ganze ist ein mehrstufiger Prozess. Es geht zentral darum, Vertrauen herzustellen.

TR: Wie?

Hange: Vertrauen können Sie durch nur Transparenz herstellen. Der gesamte Prozess wird transparent sein. Auch das Lagebild , das wir erstellen, wird nicht geheim gehalten. (wst)