BSI-Kongress zur IT-Sicherheit: "Keiner kann sagen, dass er nicht gewarnt ist"

Das BSI warb beim 14. Deutschen IT-Sicherheitskongress in Bonn um mehr Zusammenarbeit mit der Wirtschaft. Angesichts der bescheidenen Erfolge der Vorjahre zeigte sich BSI-Präsident Michael Hange zur Eröffnung des Kongresses mit zirka 600 Teilnehmern bescheiden. "Das Thema der Stunde ist Risikomanagement", sagte der Behördenleiter. So müsse man lernen mit der Unsicherheit in bestimmten Bereichen umzugehen, da man sie nicht beseitigen könne. Zwar lobte Hange eigene Projekte wie die Allianz für Cyber-Sicherheit, der mittlerweile über 1200 Institutionen und Firmen angehören. Doch noch sind solche Initiativen weit davon entfernt eine Trendwende bei der Sicherheit zu schaffen.

Insbesondere kleine und mittelständische Unternehmen sollten endlich ihre IT- Sicherheit in den Griff bekommen, um den Angreifern kein allzu leichtes Spiel zu machen. Aus diesem Grund reformiert das BSI seinen IT- Grundschutz. Das Werk, das Unternehmen und Behörden vermitteln soll, wie sie ihre IT-Abläufe sicher gestalten können, ist seit Beginn 1994 von einem schmalen Aktenordner auf ein Konvolut mit mehreren Tausend Seiten Umfang angewachsen – grade für kleinere Unternehmen ist dies eine abschreckende Menge an Aufgaben.

Grundschutz für Kleine

"Wenn wir in die Breite gehen wollen, müssen wir den IT-Grundschutz skalieren", erklärte der zuständige BSI-Abteilungsleiter Hartmut Isselhorst. Das heißt: In Zukunft soll der IT-Grundschutz anfänger- und managerfreundlicher werden. Statt Bausteinen mit mehreren Hundert Seiten Text soll in Zukunft zu jedem Thema eine zehnseitige Zusammenfassung reichen, um die Geschäftsführung über alle notwendigen Maßnahmen zu informieren. Die technischen Details können die mit der Umsetzung beauftragten Experten aus den weitergehenden Dokumentationen beziehen.

Gleichzeitig wird der IT-Grundschutz dreigegliedert. In einem einfach gehaltenen Katalog von Erstmaßnahmen sollen Unternehmen erfahren, wie sie zumindest grob fahrlässige Fehler vermeiden können ohne sich in große Kosten zu stürzen. Ein zweiter Bereich umfasst den Basisschutz, der ein normales Sicherheitsniveau sicherstellen soll. Unternehmen und Behörden mit besonderen Anforderungen an Datensicherheit erhalten zudem Informationen über "Hochschutzmaßnahmen", die allerdings mehr empfehlenden Charakter haben. Die neue Version des IT-Grundschutzes soll ab kommenden Jahr zur Verfügung stehen.

Um die Botschaft an die Firmen weiterzutragen setzt das BSI auf neue Kooperationen mit Branchenverbänden. Diese könnten aus den unterschiedlichen vom BSI bereitgestellten Bausteinen Pakete schnüren, um zum Beispiel Krankenhäusern oder Cloud-Anbietern geeignete Empfehlungen zukommen zu lassen. Diese Sicherheitshinweise könnten langfristig auch juristische Konsequenzen haben. So sollen im IT-Sicherheitsgesetz, das derzeit vom Bundestag beraten wird, ein Mindestniveau an IT-Sicherheit vorgeschrieben werden – allerdings erst für die Betreiber kritischer Infrastrukturen. Kritiker befürchten, dass diese Vorschriften per Erlass auf weitere Branchen ausgeweitet werden könnten.

Kaum Sicherheit für Industrie 4.0

Die Begeisterung der Regierung für die Industrie 4.0 sorgt bei den Sicherheitsexperten für Kopfzerbrechen. Denn die Realität in den Betrieben hat wenig mit den Hochglanz-Visionen zu tun, die auf Konferenzen vorgestellt werden. Gerade in den Produktionsnetzen werden oft noch bislang sämtliche Grundlagen der IT-Sicherheit ignoriert, da die internen Netze nie für den Anschluss ans Internet vorbestimmt waren.

"Eigentlich kann keiner sagen, dass er nicht gewarnt ist", erklärte BSI- Referatsleiter Holger Junker. Zwar haben die Berichte über die Malware Stuxnet, mit der Geheimdienste die Anlagen zur Urananreicherung im Iran erfolgreich sabotiert hatten, für Aufsehen gesorgt. Doch gleichzeitig erweckte der hochbrisante Angriff den Eindruck, dass normale Firmen von solchen Angriffen nicht betroffen seien - oder sie sich dagegen nicht verteidigen könnten.

Das Gegenteil sei jedoch der Fall, betonte Junker. Durch unzureichende Isolierung von Produktionsnetzen verursachten Schadprogramme oft sogar aus Versehen Produktionsausfälle. Es reiche schon der USB-Stick eines Mitarbeiters, der am Rechner zu Hause gearbeitet habe, um ganze Produktionanlagen für Tage zum Stillstand zu bringen.

Wer gar gezielt in die Firmennetze vordringen wolle, stieße in der Praxis kaum auf Widerstand. "Für Angreifer ist es teilweise sehr einfach von einem Office- Rechner in die Produktionsnetze vorzudringen", sagte Junker. Dazu brauche man keine ausgefeilte Schadsoftware wie Stuxnet. Oft reichten Trojaner, die längst bekannte Sicherheitslücken ausnutzen. Die Zero-Day-Exploits würden die Angreifer für die wenigen Fälle vorbehalten, in denen sie nicht mit einfachsten Mitteln zum Ziel gelangten. Gefahr entdeckt zu werden, gebe es kaum: So blieben erfolgreiche Angriffe laut Studien im Schnitt über 200 Tage unentdeckt. (jk)