BSI-Chefin zu Cyberbedrohung: "Mach halt mal die Tür zu"

Das Interview mit Claudia Plattner führten wir anlässlich ihrer jetzt einjährigen Amtszeit. Es fand am 9. Juni im BSI-Lagezentrum in Bonn statt. Interviewer war Jürgen Schmidt, Leiter heise security und Senior Fellow Security bei Heise. Die Technik (Kamera, Ton und Schnitt) betreute Michael Wieczorek. Das Transkript wurde automatisiert erstellt und anschließend redaktionell bearbeitet.

heise security: Ja. Fangen wir an! Schönen guten Tag, Frau Plattner. Danke, dass Sie sich die Zeit genommen haben für uns.

Claudia Plattner: Mit dem allergrößten Vergnügen. Freue mich hier zu sein.

heise security: Wenn ich auf Persönlichkeiten aus dem Security-Umfeld treffe. Das sind die Leute typischerweise, die entweder Security als technische Herausforderung sehen, oder sie sehen Security als ein Managementproblem, das man mit Listen, Regeln in den Griff bekommen muss. Sie haben als Softwareentwicklerin gearbeitet, Mathematik studiert. Ich würde Sie mal eher in der Techie-Ecke einordnen, oder?

Claudia Plattner: Auf den ersten Blick sieht es definitiv so aus. Und ja, da liegt auch meine Leidenschaft, gar keine Frage. Aber ich glaube, wir müssen schon klar uns klarmachen – meiner Meinung nach jedenfalls – dass wir am Ende des Tages beides brauchen. Also wir werden nicht umhinkommen, auch aus der Managementecke das entsprechend zu unterstützen. Ich bin ein großer Fan davon, vielleicht nicht mehr mit Papier und Bleistift Checklisten-mäßig abzuhaken.

Nichts gegen Checklisten, die sind super, Aber nichtsdestotrotz: Für die Themen, die uns jetzt angehen, brauchen wir auch ein hohen Automatisierungsgrad. Das ist auf der technischen Ecke. Aber es muss jemand geben, der im Management auch die Entscheidung trifft, dass wir dafür auch die Investitionen haben, dass es orchestriert ist. Also insofern, wir werden nicht umhinkommen, das auch zusammenzubringen.

heise security: Und auch Regularien spielen eine große, starke Rolle in Ihrem Bild, oder?

Claudia Plattner: Auf jeden Fall. Also ich befürchte, wir kommen da nicht ganz drum rum. Wenn wir sozusagen kein Cybersecurity-Problem hätten, dann gäbe es auch keine Notwendigkeit für Regularien. Aber siehe da, wir haben ein Problem, insofern werden wir da nicht ganz drumrum kommen, auch entsprechende Vorgaben zu machen und auch ein paar Dinge auch zentral zu regeln, um das zu heilen.

heise security: Sie haben es schon gerade gesagt: Wir haben ein Problem. Eines der größten ist Cybercrime, organisiertes Verbrechen, das jedes Jahr Milliardenschäden verursacht. Haben Sie da einen Masterplan, wie man das überhaupt mal in den Griff bekommen kann? Oder ist das was, wo wir einfach damit leben müssen, dass das immer schlimmer wird?

Claudia Plattner: Also ich glaube, das können wir uns gar nicht erlauben. Und mein Motto sowieso: Kopf in den Sand stecken gilt nicht. Ich glaube auch gar nicht, dass es notwendig ist. Das Problem ist da. Wir haben im letzten Lagebericht November letzten Jahres – dieses Jahr gibt es ein neues – haben wir die Lage als besorgniserregend eingeordnet. Und glauben Sie mir, es ist seitdem nicht besser geworden.

Auf der anderen Seite gibt es aber ganz, ganz viel, was wir tun können und auch müssen. Damit es nicht noch schlimmer wird, sondern ganz im Gegenteil wir irgendwann auch an den Punkt kommen, wo es auch besser wird und noch besser werden kann. Und ja, wir haben dafür einen Masterplan, wenn man so will. Wir haben uns eine Strategie gegeben.

Also erst mal wir als BSI haben zumindest mal gedacht, was müssen wir jetzt eigentlich tun, welchen Beitrag müssen wir leisten? Und sind dann aber sehr schnell an den Punkt gekommen, wo wir gesagt haben: Eigentlich ist … – das BSI wird dabei seinen Teil tun. Aber wir müssen schon feststellen, eigentlich geht es darum, ein ganzes Land dahingehend so fit zu machen, dass es sich auch im Bereich Cybersicherheit wehren kann und auch gegen Cybercrime organisiert und organisiert wehren kann.

Und das bedeutet für uns, dass wir viele, viele Maßnahmen aufgeschrieben haben. Die wenigsten oder nicht alle davon, haben was mit BSI zu tun. Heißt: Eigentlich müssen alle mit rein. Politik, die Wirtschaft, Hersteller, die Wissenschaft. Das muss alles zusammenwirken auf ganz, ganz vielen Ebenen. Und dafür haben wir dann auch diesen Begriff der Cybernation geprägt. Also ein Land, das sichere Digitalisierung beherrscht, also sichere Sicherheit und auch die Digitalisierung beherrscht und das zusammen.

Und genau dafür ist dieser Begriff da, mit sehr vielen Unterpunkten, die ich Ihnen jetzt erspare. Aber es ist eine große Tapete an Maßnahmen, um die es da geht.

heise security: Ja, aber vielleicht können Sie es doch ein bisschen konkretisieren an einzelnen Punkten, wo Sie also Schwerpunkte sehen, wo Sie Handlungsbedarf sehen im Moment, weil im Moment ist es eine sehr, sehr allgemein. Wir müssen wie überall mehr tun, alle ins Boot holen, alle an einem Strang ziehen. Bisschen konkreter wär schon schön.

Claudia Plattner: Gut, ich versuche mal also es gibt sechs Kategorien, die bete ich jetzt nicht vor, sondern ich versuche wirklich reinzugehen, in die Beispiele. Mit ein bisschen Glück haben vielleicht auch ein paar der Zuhörer, die sowieso schon mal gesehen. Also für mich ein ganz, ganz wichtiges Thema ist das Thema Cloud, um mal ein Beispiel zu nennen. Cloud ist, ich sage immer, die Industrialisierung der IT – die brauchen wir.

Wie sorgen wir dafür, dass wir alle wissen, wir das sicher machen können? Also wie können wir ganz konkret, Wie müssen Landing Zones aussehen, damit das funktioniert? Wie müssen Anforderungen an die Provider gestellt werden, damit wir im Zweifelsfall auch unsere eigenes Schlüsselmaterial mitbringen können und das auch gut zusammenspielt? Wie können wir sicherstellen, dass wir auf einer technischen Ebene uns so sicher sind, dass das gut funktioniert, dass wir uns sogar trauen, ein stückweit vertrauliches Material da rein zu tun?

Um im Behördensprech zu sein: VS-NfD, muss man üben, bis man das aussprechen kann; jedenfalls ging es mir so. Aber es ist halt … – in einer großen Firma wäre das Restricted oder Internal, das wäre das vergleichbare. Was muss man dafür technisch tun? Und da sind wir mittendrin. Das ist schon so ein Baustein. Wir haben auch dieses riesengroße Thema NIS2, ein Gesetzesvorhaben, wo es im Prinzip um die Betreiberverantwortung geht.

Eine Firma, eine Organisation, eine Institution hat IT, die sie benutzt. Hoffentlich jedenfalls. Und es geht darum, was müssen die tun, damit die quasi für sich erst mal ein höheres Niveau von Cybersicherheit erreichen? Hier sind wir ganz tief drin. Also machen wir die ganzen Vorbereitung, die Kommunikation, die Hand reichen. Bin sicher, da kommen wir auch noch mal drauf. Und für mich jetzt an der Stelle wieder wichtig: Wie kriegen wir das so hin, dass wir insgesamt das Resilienzniveau nach oben kriegen und auf der anderen Seite die nicht jetzt fünf Jahre lang mit reinen Dokumentationen beschäftigen?

Wir wollen ja, dass die Investition in Cybersicherheit erfolgt. Das wäre so ein ganz wichtiges Thema. Sicherheit im Bund, in der Verwaltung. Wie kriegen wir dieses Thema nach oben? Ein weiterer Punkt: eID. Mir ganz wichtig, dass wir diese diese diese Grundlage einer sicheren Identität einfach auch haben in einer digitalen Identität, die wir auch nutzen können. Da läuft ganz viel auch im europäischen Raum.

Und ich könnte das jetzt noch fortsetzen. Ich höre jetzt immer auf, weil ich bin sicher, Sie haben noch mal mehr Fragen.

heise security: Ja, ich würde gerne bei dem Thema Cloud so ein ganz klein bisschen einhaken. Ich meine, früher haben wir gesagt, Cloud ist ein anderes Wort für "anderer Leute Computer". Sie reden jetzt davon, auf diesen Computern anderer Leute vertrauliche Daten zu lagern. Ist das wirklich eine schlaue Idee?

Claudia Plattner: Also, wenn man Cloud wirklich nur als der Computer anderer Leute bezeichnet, dann würde ich sagen, sind wir da heute – glaube ich – noch einen ganzen ganzen Schritt weiter. Also da geht es ja auch um ein Operational Model, also da geht es ja quasi darum, wie betreibe ich IT. Es geht um einen Stack, einen technischen Stack, den man in der Verantwortung ganz anders aufteilt.

Das heißt, ich lagere durchaus einiges in der Verantwortung auch an den Provider aus. Dazu gehört zum Beispiel, dass es Updates für Betriebssysteme geht. Da gehört zum Beispiel auch Updates für ein Datenbank Management auf dieser rein technischen Ebene. Diese Themen kann ich allesamt auch an einen Provider auslagern. Wir haben diese Level mit Infrastruktur as a Service Plattform as a Service, bis hin zu Software as a Service.

Und mir ist wichtig, dass wir in jedem Schritt einfach gucken, was müssen wir dafür tun, damit es für die Nutzungsszenarien, die für uns spannend sind, auch sicher ist. Und zwar in den üblichen Dimensionen: Vertraulichkeit, Integrität und Verfügbarkeit.

heise security: Aber bedeutet das nicht letztlich, dass man auch das interne Know how, das IT-Know-how und das Security-Know-how, das man eigentlich bräuchte, um Dinge richtig solide und sicher zu machen, auslagert und dann selber nur noch darauf angewiesen ist, was einem verkauft wird.

Claudia Plattner: Also ein kleines bisschen tut man natürlich das Know-how der Provider nutzen, gar keine Frage. Das ist ja auch das Modell dahinter. Das skaliert natürlich ganz anders. Aber wenn ich mir vorstelle, dass jeder von uns quasi versucht, immer den ganzen kompletten technischen Stack auch selber zu managen. Da haben wir auch ordentlich was zu tun, wenn jetzt schon Fachkräftemangel.

Also ich glaube schon, dass wir da auch durchaus sicherheitstechnisch viel gewinnen können, wenn wir quasi von großen Organisationen auch profitieren können, wo das auch zentralisiert ist und einfach sich sehr, sehr viele Menschen rund um die Uhr um das Thema Sicherheit auch kümmern können. Welche mittelständische Firma kann das denn leisten? Also ich glaube schon, dass wir da durchaus auch einen großen Sicherheitsgewinn von haben können, wenn das gut gemacht ist.

Und da sind uns natürlich auch viele Themen wichtig und auch viele Anforderungen, die wir auch als BSI da stellen.

heise security: Und warum sollten die großen Cloudkonzerne, die das dann anbieten, sich das leisten? Also da viel Overhead in die Security zu stecken, die sich für sie als letztlich auch in Kosten manifestiert?

Claudia Plattner: Also ich glaube, das ist Teil des Businessmodells dort und das wird auch meines Wissens und auch allen nach allen Prüfungen, die wir machen, nach allen Konversationen, die wir haben, nach allen Austauschen, auf dieser Seite des Teichs und auch auf der anderen Seite wird das Thema Sicherheit sehr, sehr ernst genommen. Wir haben manche, die sind da schon fünf Schritte weiter, andere, da gibt es noch ein paar Hausaufgaben zu tun, gar keine Frage.

Aber ich glaube, wir haben überall es verstanden, dass das Thema Sicherheit Teil des Produktes ist. Wenn es das nicht ist, wird das Produkt auch nicht überleben können.

heise security: Ich warte die ganze Zeit so ein bisschen auf so Stichworte wie Secure by Design oder solche solche Geschichten, die also in den USA, also auf der anderen Seite des Teiches, im Moment sehr hoch gehandelt werden. Das ist für sie zu platt oder …?

Claudia Plattner: Nein, gar nicht. Es ist ein Prinzip, mit dem man, mit dem man sehr, sehr viel anfangen kann. Und das gibt es auch auf allen Ebenen. Das gibt es in nem Consumer-Produkt. Ich nehme mal so gerne das Beispiel, man richtet mal ein neues Handy ein, da ist man ein Wochenende damit beschäftigt, alles das runterzuwerfen, was man nicht braucht. So, Und wie viele Menschen haben denn überhaupt das Wissen, das zu tun?

Also es fängt im Consumer Bereich an und geht aber im Prinzip auch – bleiben wir beim Cloud-Thema – hin zu: Wie setze ich denn da drin jetzt eine Datenbank auf, so dass vielleicht im Zweifelsfall die Konfiguration von vornherein so ist, dass ich eher was aufmachen muss, als was zu machen? Das heißt von vornherein das so zu konfigurieren, aber eben auch von vornherein vorzusehen, dass es Updates darauf gibt, dass die regelmäßig kommen, dass es einen Prozess gibt, der beim Hersteller auch dafür sorgt, dass sich um Sicherheit gekümmert wird und dann auch wieder die Verbraucher oder die Nutzer im Prinzip auch wieder damit versorgt werden.

Also dann ist es auch wieder ein sehr vielfältiges Thema. Und Security bei Design ist für mich ein Prinzip, das brauchen wir auf jeden Fall drin und auch übrigens, "by Default", also beides.

heise security: Aber letztlich übergeben wir die Hoheit über unsere Daten, zum Teil unsere Kronjuwelen. Doch da an Dritte, noch dazu in anderen Rechtssystemen. Wie können wir dahin kommen, dass man das man das guten Gewissens machen kann? Die Konzepte für Cloud Computing, bei dem der Cloudbetreiber nicht an die Daten rankommt, sind ja alle irgendwie noch relativ weit von der Realisierung entfernt, oder?

Claudia Plattner: Nein!

heise security: Nein?

Claudia Plattner: Nein. Also das würde ich so nicht sehen. Also natürlich muss der muss der … – der Schlüssel liegt am Ende des Tages darin, den Schlüssel zu haben. So, und sprich, wir müssen dafür sorgen, dass die Daten zu jedem Zeitpunkt verschlüsselt sind. Also, wenn sie übertragen werden, wenn sie dort liegen, für ganz extreme Fälle, vielleicht auch, wenn sie dort verarbeitet werden.

Und der Schlüssel dazu? Der muss bei uns liegen. Also sprich bei demjenigen, der die Daten auch besitzt. Und die technischen Konzepte dafür gibt es. In manchen Fällen ist es ein bisschen schwieriger, das umzusetzen und gut umzusetzen. In anderen Fällen sind wir da schon relativ weit. Also solche Konzepte gibt es durchaus.

heise security: Also, wenn ich Sie richtig verstehe Cloud ist auf jeden Fall ein zentraler Baustein, auch Ihrem Security Konzept und nicht nur mit Nachteilen verbunden, sondern durchaus auch mit Vorteilen, die uns in diesem Bereich voranbringen können. In eine bessere Position bringen, diese Herausforderungen zu meistern. Habe ich das richtig verstanden?

Claudia Plattner: Ja.

heise security: Okay. Ich würde gern noch mal kurz einen Schritt zurückgehen. Und zwar Schwachstellen, da haben wir schon geredet – wir brauchen Patches, wir brauchen Updates. Dazu müssen die Hersteller über Sicherheitslücken informiert werden. Da geistert immer wieder so der Begriff des "Schwachstellenmanagements" durch die Gegend. Ich würde gerne so ein bisschen was hören. Was ist denn Ihre Vorstellung davon, wie man mit Sicherheitslücken umgehen sollte, wenn man jetzt als irgendwer auf eine Sicherheitslücke stößt? Was ist der die Art und Weise, was man mit der machen sollte?

Claudia Plattner: Also wichtig ist uns, dass wir einen koordinierten Prozess haben, der dazu führt, dass wir Schwachstellen schließen. Weil jede Schwachstelle, die da ist, kann potenziell natürlich auch verwendet werden und ausgenutzt werden. Und es geht eigentlich immer darum, dass wir es schaffen, Schwachstellen der Schließung zuzuführen. Die muss man wunderbar koordiniert machen, weil, wenn man sozusagen eine Schwachstelle findet als Sicherheitsforscher, als wer auch immer dann da drüber stolpert oder auch gezielt danach gesucht hat und die quasi einfach veröffentlicht wird. Das wird natürlich schief gehen in den meisten, also weil sie wird natürlich sofort ausgenutzt werden.

heise security: Da sind wir durchaus so weit, dass wir – also Coordinated Disclosure ist mittlerweile …

Claudia Plattner: Also Haken dran.

heise security: Da sind wir uns einig. Da ist sozusagen die Best Practice. Aber es gibt ja auch durchaus Kräfte, die sagen also in speziellen Fällen gibt es durchaus Gründe, so was vielleicht auch mal zurückzuhalten, vielleicht für eine Woche, für einen Monat. Wir haben da eine Aktion und müssten da mal, äh, eine Schwachstelle für eine Zeit lang nutzen, um in Systeme reinschauen zu können, in die wir sonst keinen Zugang hätten.

Claudia Plattner: Okay, da wollen Sie hin.

heise security: Ja, dann möchte ich gerne hin. Gibt es solche Ausnahmen für Sie? Sind die legitim? Muss man da auch jonglieren mit Pro und Contra oder haben Sie da eine andere Haltung?

Claudia Plattner: Also ich glaube, vom BSI aus ist die Haltung da glasklar. Also wir haben ganz klar den Anspruch, jede Schwachstelle, von der wir erfahren, die versuchen wir auch der, der der Schließung zuzuführen.

heise security: Sofort?

Claudia Plattner: Sofort. Da kann man sich auch drauf verlassen. Wir kümmern uns darum. Also Sie können auch als Sicherheitsforscher, wenn Sie draußen was gefunden haben und vielleicht bei einer Firma auch irgendwo ein Stück weit gegen eine Wand oder gegen Unverständnis, auf Unverständnis getroffen sind, dann können Sie die uns auch geben.

Wir kümmern uns darum. Also das ist. Wir wollen sicherstellen, dass jede Schwachstelle geschlossen wird. Und von unserer Seite aus ist das auch glasklar. Das tun wir auch. So jetzt sind aber auch nicht naiv. Und wir sind auch nicht allein auf diesem Planeten. Was uns angeht. Glasklar kann man sich drauf verlassen. Gilt! Andere Institutionen haben unter Umständen andere Zielsetzungen und die werden unter Umständen auch solche Themen auch ein Stück weit anders draufschauen. Für uns beim BSI gilt aber: Sobald wir von einer Schwachstelle erfahren, kümmern wir uns drum. Wir führen sie der Schließung zu.

heise security: Das ist doch mal eine schöne Ansage. Zwischendurch geistern doch immer wieder der Begriff aktive Cyberabwehr durch die Medien. Ich weiß nicht, ob sie den auch schon verwendet haben. Ich glaube, ich habe den in dem Kontext gehört. Aber es geht ja durchaus darum. Also wenn ich das, was ich bis jetzt von Ihnen so gehört habe, richtig verstanden habe, dann sind Sie ja durchaus auch der Meinung, dass man der Gefahr unter anderem durch organisiertes Verbrechen auch aktiv gegenüber treten muss.

Claudia Plattner: Ich glaube, die Kunst an dieser Stelle, bei der Beantwortung dieser Fragen liegt eine Definition des Wortes aktiv.

heise security: Genau.

Claudia Plattner: Also ich glaube schon, dass wir die Chance, dass wir die Fähigkeit brauchen, uns wehren zu können. Aber die Frage ist was heißt denn das? So, und für mich gibt es zunächst mal – also der wichtigste Teil nach wie vor jeder Cyber Security Strategie ist immer noch die Prävention. Und das ist auch das, was am meisten hilft. Ich sage mal ganz platt: "Mach halt mal die Tür zu."

Claudia Plattner: So, das ist leider viel leichter gesagt als getan. Aber die Prävention ist und bleibt der wichtigste Teil. So, dann gibt es für mich diesen Teil, der viel damit zu tun hat, wie diese Strukturen funktionieren. Also alles rund um: Schaffe ich es, die Verbindung zwischen einem infizierten Rechner und einem Command & Control-Server einfach mal zu unterbrechen? Klassisches Sinkholing also.

An dieser Stelle einfach dafür zu sorgen, dass diese Kommunikation nicht mehr funktionieren kann. Das ist für mich ein Teil, wo ich sage, da können wir was tun. Schaffen wir es, maliziöse Webseiten quasi zu unterbinden? Da können wir was tun. Also das sind alles Sachen, wo ich sage, diese Fähigkeiten brauchen wir auf jeden Fall. Und es gibt auch noch zum Beispiel Kollegen von den Polizeien und ähnlichen, die gehen noch noch einen Schritt weiter, die gehen auch noch in die Command & Controll-Server, die vom Netz zunehmen. Da gab es ja auch ein paar spektakuläre Aktionen, von denen wir auch sehen, dass die einen Einfluss haben und ein Command & Control-Server eines Angreifers, der in Europa steht, da was tun zu können. Wenn Sie das meinen mit aktiver Cyberabwehr ganz ähnlich, dann sage ich Ich glaube, das sind Fähigkeiten, die wir als Land auch haben müssen, die wir auch miteinander koordinieren müssen, bei denen wir auch sehr vorsichtig sein müssen, dass wir nicht das Kind mit dem Bade ausschütten, das ist gar keine Frage.

Aber ich glaube, diese Fähigkeiten brauchen wir. Wenn wir davon sprechen, dass wir in irgendwelche Server in irgendwelchen anderen Ländern eindringen, aus Rachegründen oder ähnlichem, dann glaube ich, sind wir einer ganz anderen Liga unterwegs. Und davon spreche ich nicht, wenn ich von aktiver Cyberabwehr spreche. Ich spreche davon, dass wir in der Lage sind, die Verbindung zu unterbrechen, die zwischen einem Angegriffenen, einem Angreifer sozusagen stattfinden.

Claudia Plattner: Dass wir Webseiten vom Netz nehmen können oder Verbindungen runter nehmen können und dass wir im Prinzip auch Command & Controll-Server, dass wir dort auch was tun können. Insofern, wenn das der Teil ist, dann würde ich sagen, ich glaube, das brauchen wir.

heise security: Es kam ja auch schon Fälle, in denen dann gezielt Systeme desinfiziert wurden.

heise security: Unter anderem unter Mithilfe deutscher Strafverfolgungsbehörden. Bei Emotet war das, glaube ich. Ich bin mir nicht mehr ganz sicher. Auf jeden Fall gelang es da über die Kontrolle über die Command und Control Server die Schadsoftware auf infizierten Rechnern lahmzulegen. Da begeben wir uns aber schon in einen Grenzbereich oder?

Claudia Plattner: Ich glaube, wir müssen durchaus ein bisschen ein bisschen Sicherheit auch schaffen, damit die Kolleginnen und Kollegen, die an der Stelle versuchen zu helfen, auch das guten Gewissens tun können. Ich freue mich, wenn wir hier Klarheit schaffen. Und ich glaube, dass wir grundsätzlich in der Lage sein müssen, uns auch gegen einen Angreifer, der wirklich in dem Moment einen Server am Laufen hat, der darauf abzielt, uns anzugreifen, auch im Zweifelsfall sogar auf europäischem Boden, dann auch unfähig machen zu können.

Claudia Plattner: Ich glaube das brauchen wir schon.

heise security: Aber da sind wir jetzt auch nicht mehr direkt bei der Aufgabe des BSI, sondern da wären dann, wenn ich es richtig verstehe, andere Behörden eher in der Pflicht, oder?

Claudia Plattner: Also ich glaube, wir müssen an den Stellen gut zusammenarbeiten, weil meistens sind es Dinge, die zusammenpassen. Also Verbindung zu unterbrechen ist das eine, mal einen Command & Control-Server zu übernehmen zum richtigen Zeitpunkt vielleicht auch zu unterbrechen oder eben halt auch zu übernehmen. Das sind sind Themen, die müssen wir miteinander abstimmen. Das machen wir auch zusammen und das ist auch gut so, aber da sind wir in aller Regel auch gemeinsam unterwegs.

Und ich möchte es eigentlich auch eher vertiefen, dass wir, dass wir diese, diese Themen zusammen angehen, weil jeder von uns hat immer ein Stück des Puzzles, das man dafür braucht, um da auch wirklich erfolgreich sein zu können. Und das betrifft BSI, das betrifft Polizeien, das betrifft auch internationale Zusammenarbeit. Ich glaube, das, da können wir noch viel gewinnen, wenn wir diese, diese Zusammenarbeit noch weiter verstetigen und auch noch intensiver machen. Da lässt sich noch einiges rausholen, wenn wir gemeinsam agieren.

heise security: Gut, wir sind jetzt schon ein bisschen so der Rolle des BSI in diesen ganzen Dingen gekommen. Da hätte ich mal eine grundsätzliche Frage Ist das BSI eigentlich … – was ist denn die Zielgruppe des BSI? An wen richtet sich das BSI? Sind das Firmen vor allem? Ist das Behörden oder sind? Ist das die ganze Gesellschaft? Was sehen Sie als Zielgruppe des BSI?

Claudia Plattner: Ich befürchte, es ist relativ breit. Also wir haben. Ich habe ganz am Anfang, als ich mich eingearbeitet habe, hab ich natürlich auch guckt, für was sind wir eigentlich alles zuständig. Was denn so unser Job, das ist ja in Deutschland in Gesetzen entsprechend auch hinterlegt und das waren schon viele. Und was man da relativ schnell sieht, ist, dass es da eine ganz, ganz breite Zielgruppe auch gibt, oder Zielgruppen.

Und das ist in der Tat alles das, was Sie gerade genannt haben. Das sind Wirtschaftsunternehmen, das sind die Institutionen des Bundes, um die wir uns mit kümmern dürfen. Das sind Verbraucherinnen und Verbraucher in manchen Bereichen. Also es ist sehr, sehr, sehr breit angelegt. Wir haben auch Kooperationen mit der Wissenschaft an vielen Stellen, wo wir versuchen, auch gemeinsam was nach vorne zu bringen. Es ist breit und es sind viele, muss man ganz klar sagen.

heise security: Und ist das BSI dann eher ein Dienstleister oder eher eine Aufsichtsbehörde?

Claudia Plattner: Sie spielen auf NIS2 an, richtig?

heise security: Da kommen wir sicher auch noch dahin. Aber überhaupt erst mal was ist das Selbstverständnis?

Claudia Plattner: Also auch an dieser Stelle muss man sagen beides. Uns ist sehr stark daran gelegen, eine Veränderung herbeizuführen. Und wir glauben auch, dass das über einen kooperativen Ansatz gut funktioniert, dass man helfen kann und muss. Das wird auch dankbar angenommen. Das muss man schon auch ganz klar sagen. Aber es gibt auch Situationen, in denen sind wir mehr Aufsichtsbehörde als Hilfestellung.

Also es gibt schon auch beides und das muss auch so sein. Aber wir haben insgesamt einen klaren Schwerpunkt darauf, die Themen nach vorne zu bringen, mit allen Partnern zusammen. Also wir bemühen uns sehr um einen kooperativen Ansatz, weil wir wirklich glauben, dass das am Ende des Tages den größten Impact haben wird.

heise security: Ich muss sagen, wenn wenn ich zum Beispiel sehe, das CERT-Bund, das tweetet mittlerweile seit vier oder fünf Jahren regelmäßig, wie viele Exchange Server kritische Lücken aufweisen. Das ist schon fast traurig mit anzusehen, weil das ist ja kein kein irgendwie Ausreißer oder so was, sondern das ist kontinuierlich so äh mal sind es 30 mal 50 Prozent und es sind viele, viele tausende von Servern, die sperrangelweit offen stehen da draußen, mit einem Produkt von einem Hersteller. Wo ich in der Analyse des BSI dann immer lese: Verantwortlich sind die Admins, die die Updates nicht rechtzeitig einspielen.

Claudia Plattner: Ich bin mal gespannt, wie der Satz weitergeht. Ja.

heise security: Das frage ich mich. Kann man da irgendwie den Hersteller wirklich so komplett aus der Verantwortung lassen?

Claudia Plattner: Also an dieser Stelle hat der Hersteller auch die Patches geliefert, also die Dinge, von denen wir da sprechen, dafür gibt es Patches, die sind nicht eingespielt. Und die letzten Zahlen, die ich noch im Kopf habe, waren glaube ich 17.000 in Deutschland und das entsprach 31 oder 37 Prozent.

heise security: Also irgendwas auf rund 1/3.

Claudia Plattner: Signifikante Größe.

heise security: Eine richtig große Zahl. Aber ich meine, man kann doch nicht. Man kann doch nicht sagen, da sind auf einmal -- einigen wir uns jetzt mal auf rund 1/3 – der Admins sind alle irgendwie Stümper, was Security angeht, sondern das liegt ja wohl auch ein bisschen daran, dass Exchange zu warten ein absoluter Albtraum ist.

Claudia Plattner: Also zunächst mal ist es nicht ganz einfach, das ist gar keine Frage. Exchange ist ja nun auch jetzt nicht mehr – das ist ja nicht erst gestern erfunden worden. Das gibt es ja schon ein bisschen länger. Das ist auch mit einer entsprechenden Historie auch behaftet. Aber ich glaub, man muss noch den zweiten Aspekt mit reinnehmen. Schauen Sie sich mal an, wie normalerweise Exchange Server so aufgesetzt sind.

In wie vielen von denen finden Sie jetzt noch süße kleine Plugins zum Beispiel, die noch bereitgestellt werden müssen oder irgendwelche Besonderheiten, die auch aus der lokalen Situation kommen. Ganz oft in der Praxis ist ganz oft die Tatsache, dass das selber dort vor Ort ein historisch gewachsene System ist, mit entsprechenden Umgebungen, der Hinderungsgrund, warum man es nicht schafft, weiter upzudaten. Das sind diese Customized Versions.

Das heißt, die Gründe dafür können unter Umständen lokal liegen. Die können sicherlich auch darin liegen, dass ein Exchange Server jetzt nicht quasi, denn der Nobrainer ist, wenn es darum geht, den vernünftig zu warten, gar keine Frage. Sind viele andere Software aber auch nicht. Fakt ist jedenfalls dafür haben wir durchaus Patches. Aber wir haben es noch nicht geschafft, auf den Stand zu kommen Und ich glaube, da muss noch relativ viel passieren. Exchange ist ein Beispiel. Wir haben davon noch ein paar mehr.

heise security: Ja, ja, aber ich möchte schon noch mal ein bisschen darauf zurück. Also die Verantwortung, die sehen Sie nach wie vor alleine bei den Leuten, die so ein Ding betreiben. Und Sie sehen nicht, dass man da auch dem Hersteller eine gewisse Mitverantwortung zuschreiben muss, weil ich meine mit Secure by Design hat das doch nichts mehr zu tun wenn also rund 1/3 der Systeme sperrangelweit offen stehen?

Claudia Plattner: Ja, natürlich nicht. Da bin ich auch total dabei. Aber zunächst mal will ich noch mal zurückkommen auf meinen Leitsatz: Abgrenzung geht nicht, nicht Kooperation gewinnt. Also ich würde mich nie hinstellen und sagen, das ist jetzt deren Schuld oder deren Schuld. Am Ende des Tages muss das immer zusammenwirken. Das heißt also, wenn es darum geht zu sagen, wie kriegen wir auch Hersteller dazu, entsprechend Produkte so auszuliefern, dass genau das nicht passiert, dann sehe ich die Verantwortung absolut dort.

Da gibt es ja auch den Cyber Resilience Act demnächst. Also wir unterstützen uns ja sogar auch von der gesetzlichen Seite. Jetzt haben wir hier aber eine Situation – die ist Legacy. Die ist definitiv Legacy. Microsoft selber sagt seit Jahren: Bitte wechselt auf die Onlineversionen, also spirch M365 und Ähnliches. Das Interesse daran, diese alten Instanzen am Leben zu halten, ist ja in der Form so auch gar nicht mehr da, weil es ja längst die Nachfolgeprodukte gibt.

Jetzt müssen wir aber trotzdem irgendwie gemeinsam vorwärts kommen. So, und jetzt können wir versuchen, Microsoft dazu zu verpflichten, ihre Legacy noch weiter zu pflegen, obwohl sie längst abgekündigt hat. Oder wir können versuchen, die Betreiber dazu zu kriegen, die Updates einzuspielen, damit sie dieses Niveau wieder anheben. Ich glaube, wir müssen am Ende des Tages ein Stück weit beides tun.

Aber wir werden auch uns von Legacy irgendwann mal lösen müssen. Und jetzt rede ich nicht für Microsoft, weil wir haben dieses Problem an ganz vielen anderen Stellen auch. Das sind alte Version, die eigentlich längst End of Life sind. Und wir müssen den Modernisierungsschritt schaffen. Das haben wir in der IoT. Das haben wir bei ganz, ganz vielen Netzwerk-Thematiken und das haben wir halt eben auch bei manchen Mailservern.

heise security: Ich bin eine gute Security Fee und gewähre drei Wünsche, die was mit Security zu tun haben. Ist. Was wären denn Ihre?

Claudia Plattner: Ach ja, wenn ich mir was wünschen könnte.

heise security: Admins, die patchen?

Claudia Plattner: Die Admins, die patchen wäre Wunsch Nummer drei. Ich würde beim ersten Wunsch anfangen, nämlich dass wir es schaffen und es bei allen Entscheidern und Entscheidern, dass das Thema Cybersicherheit auf der Tagesagenda steht, im Risikomanagement verankert ist, so dass das quasi präsent ist und sie sich kümmern. Ich glaube, da können die anderen beiden schon was werden. Nämlich ich wünsche mir als Wunsch Nummer zwei, dass Hersteller von den hatten es jetzt auch schon eine ganze Weile mit dem Thema Cyber Security umgehen und einfach Produkte liefern, die das by Design, by Default drin haben und sie auch um den kompletten Lebenszyklus kümmern und verantwortungsvoll kümmern.

Das wäre Wunsch Nummer zwei und Wunsch Nummer drei: Ja Admins, die patchen wären super und zwar flächendeckend überall. Das wäre schon richtig, richtig gut.

heise security: Vielen Dank Frau Plattner, für das Gespräch und die Zeit, die sich genommen haben.

Claudia Plattner: Super gerne und jederzeit wieder.