BSI: "IT-Sicherheit ist besser geworden, könnte aber noch besser sein"
Die IT-Sicherheit in Deutschland sei auf hohem Niveau, könne aber verbessert werden, heißt es aus Berlin. Ein neues "nationales Verbindungswesen des BSI" soll die Meldepflichten betroffener Unternehmen nach dem IT-Sicherheitsgesetz ergänzen.
Pressekonferenz zur Vorstellung des IT-Lageberichts.
(Bild: heise online / Detlef Borchers)
Noch-Bundesinnenminister Thomas de Maizière und Arne Schönbohm, Leiter des Bundesamtes für Sicherheit in der Informationstechnik, haben in Berlin den IT-Lagebericht 2017 vorgestellt. Die Lage in der IT-Sicherheit sei weiterhin auf hohem Niveau angespannt, so das Fazit des Berichtes. Erstmals gab es Zahlen zu den meldepflichtigen Vorfällen mit kritischem Störpotenzial: Bis Juni 2017 liefen beim BSI 34 Meldungen ein, davon 18 im Bereich Informationstechnik und Telekommunikation. 11 Meldungen entfielen auf den Sektor Energie, 3 auf den Sektor Wasser und 2 auf den Sektor Ernährung. Mindestens eine Eilmeldung im Sektor Energie durch ein Unternehmen der Mineralöl-Branche verhinderte Ausbreitung von Schadcode, der auf Raffinerien angesetzt war.
Als besonders kritischen Vorfall wird im Lagebericht der Angriff auf ThyssenKrupp mit Hilfe der "fortschrittlichen Software Winnti" gewertet. Der Konzern brauchte mehrere Monate und die Hilfe externer Spezialisten, um die Schäden zu beseitigen und das Unternehmensnetz neu zu sichern.
Analogie aus der Verkehrssicherheit
De Maizière betonte, dass IT-Sicherheit in Deutschland das selbe Niveau erreichen müsse wie die Verkehrssicherheit: Wenn das Reifenprofil abgefahren ist, wisse jeder Fahrer, dass ein Update auf neue Reifen fällig ist. Der Minister reagierte dabei nicht auf Nachfrage eines Journalisten, wie Updates eingespielt werden können, wenn etwa der Hersteller von Smartphones die Geräte nach kurzer Zeit für obsolet erklärt und die Updates einstellt. Für Schönbohm hat sich das IT-Sicherheitsgesetz bewährt. Es soll neben der bereits angekündigten Ausweitung weiter verbessert und auf weitere Bereiche ausgedehnt werden.
Neben dieser Erweiterung plant das BSI ein eigenes nationales Verbindungswesen mit kontaktbereiten Spezialisten, unterteilt in die Regionen Nord, West, Ost, Rhein-Main und Süd. Ein erstes Pilotprojekt zu diesem Verbindungswesen sei bereits angelaufen. Außerdem werde das BSI eine Repräsentanz in Brüssel einrichten, kündigte Schönbohm an. Sein vorgesetzter Minister erteilte Plänen zur Errichtung von Landesämtern für Informationssicherheit eine Absage: "Es ist nicht vorstellbar, dass es neben dem BSI 16 LSI gibt", erklärte de Maizière.
Verschlüsselungsstandort Deutschland
Das BSI bekennt sich in seinem Lagebericht 2017 eindeutig zum Verschlüsselungsstandort Deutschland. Neben der Charta zur Stärkung der vertrauenswürdigen Kommunikation will die Behörde mit seiner "Fokusgruppe Verschlüsselung" den Einsatz der Kryptographie weiter stärken. Geplant ist für 2018, mit einem "Speed-Dating" alle deutschen Unternehmen zusammenzubringen, die einen Beitrag zu Verschlüsselungprodukten liefern. Hierbei bezieht sich das BSI auf sein Grundverständnis "need to share", Informationen zum Schutz der IT-Sicherheit so weit wie möglich zu teilen.
Lesen Sie dazu auch:
(anw)
