Wie schätzen Sie die aktuelle Cybersicherheitslage in der Bundesrepublik ein?
Gerhard Schabhüser - Die Gefährdungslage im Cyberraum ist so hoch wie nie zuvor. Wir hatten bereits im BSI-Lagebericht 2021 die Lage in Teilen mit "Alarmstufe Rot" bewertet. Wenn ich jetzt sage, dass die aktuelle Gefährdungslage höher ist, müsste ich eigentlich von einer Krise sprechen. Und in der Tat sind wir zweimal an einer Krise vorbeigeschrammt – in beiden Fällen waren es Folgen des russischen Angriffskrieges gegen die Ukraine. Der erste Fall war der Hack des Viasat-Satellitennetzwerkes unmittelbar zu Beginn der Invasion. In der Folge waren alle Modems des Netzwerks gestört. In Deutschland führte der Hack dazu, dass die Fernwartung von Windparks nicht mehr möglich war. Wäre auch die Steuerung der Windparks über das Viasat-System erfolgt, wäre es möglicherweise zu einem Energieengpass gekommen. Der zweite Fall geht auf die Hackergruppe Anonymous zurück. Die Hacker haben im März 2022 die Rosneft Deutschland GmbH gehackt. Die Rosneft Deutschland ist eine Tochter des russischen Mineralölkonzerns Rosneft, aber auch Teil der kritischen Infrastruktur in Deutschland. Die Systeme von Rosneft Deutschland waren so gestört, dass wir dort in eine Engpasssituation gekommen wären, wenn die Systeme nicht innerhalb von 10 bis 20 Tagen mit Unterstützung des BSI in einen Notbetrieb gebracht worden wären. Dann hatten wir noch eine ganze Reihe DDoS-Angriffe von pro-russischen Hackergruppen im vergangenen Jahr und Anfang dieses Jahres. Aber diese Angriffe auf Websites waren relativ leicht abzuwehren.
Insgesamt ist Ransomware immer noch die größte Bedrohung für Wirtschaft und Gesellschaft. Diese Erpressungsversuche haben oft unmittelbare Auswirkungen auf Bürgerinnen und Bürger, insbesondere wenn die öffentliche Verwaltung angegriffen wird. Manchmal werden auch IT-Dienstleister angegriffen. Wenn solche Firmen lahmgelegt werden, sind sehr viele Kunden unmittelbar betroffen.
Bei den Angreifern dreht sich derzeit viel um Russland und russische Hackergruppen. Welche anderen Gruppen gibt es?
– Es gibt sehr viele Angreifergruppen. Im Crime-Bereich ist das sehr heterogen. Da kann man kaum einen Schwerpunkt ausmachen. Bei Spionage gibt es circa über 130 aktive Gruppen. Aber man sieht schon eine Häufung aus Russland, China, Nordkorea und Iran.
Wie stellt das BSI den Schutz vor all diesen Gruppen her?
– In den Netzen des Bundes sind wir befugt, Sicherheitsmaßnahmen zu treffen, die bis in das Fernmeldegeheimnis hineinreichen. Wir dürfen Schadsoftware-Erkennungssysteme an den Grenzen zu den Netzen des Bundes betreiben. Dort suchen wir in E-Mails automatisiert nach Schadsoftware. Wenn die Automatisierung eine Warnung anzeigt, dann dürfen wir auch "mit Menschen" da reinschauen. Umgekehrt dürfen wir auch Schadsoftware-Prävention betreiben, wenn wir sehen, dass aus den Netzen des Bundes seltsame IP-Adressen angesteuert werden. Dann können wir diese Mails blockieren und schauen, ob vielleicht schon etwas im Netz verseucht ist. Ebenso operativ arbeiten wir bei der Fallbearbeitung. Etwa wenn es einen Cybervorfall in der Bundesverwaltung, einer kritischen Infrastruktur oder bei Organisationen von besonderem öffentlichen Interesse gibt. Dann leisten wir mit unserem Mobile Incident Response Team Erste Hilfe und analysieren die Situation. Das können wir nicht für jeden machen, aber für diese Bereiche schon. Wir sind dann vor Ort, installieren forensische Sensoren und machen sogenanntes Reverse Engineering. Und natürlich beraten wir die Betroffenen, wie sie den Schaden begrenzen und/oder stoppen können.
An wen wende ich mich als mittelständisches Unternehmen, wenn ich Opfer eines Cyberangriffs werde?
– Gerne an das BSI, allein schon für das Lagebild ist das wichtig. Und wir können Betroffenen auch Materialien zur Verfügung stellen, eine Art Erste-Hilfe-Paket, wo unter anderem auch von uns qualifizierte Dienstleister aufgelistet sind.
Was bietet das BSI für Bürgerinnen und Bürger?
– Informationskampagnen mit Hilfetipps, die sich auch an Mitarbeitende in kleineren Unternehmen richten: Da geht es um das einfache Erklären von schwierigen IT-Sicherheitsproblemen, um konkrete Handlungsempfehlungen zu geben. Meine Einschätzung ist, dass die Sensibilität für das Thema schon vorhanden ist. Aber die Handlungsbereitschaft ist noch nicht so hoch, wie sie sein sollte. Jeder weiß, dass etwas getan werden muss, aber der Schritt vom Wissen zum Handeln wird noch nicht oft genug getan. Das hat viele Gründe. Ein Grund ist, dass Cyberprobleme oft erst sehr spät erkannt werden. Die Probleme sind nicht immer unmittelbar erlebbar. Ransomware ist natürlich sehr erlebbar und hat die Sensibilität drastisch nach oben getrieben. Zum Teil fehlt aber auch das Wissen darum, was zu tun ist, um aus den Problemen wieder herauszukommen. Da versuchen wir, mit zielgruppenspezifischen Kampagnen zu helfen. Und wir wollen den Verbraucherinnen und Verbrauchern mit unserem IT-Sicherheitskennzeichen ganz direkt Orientierung geben. Das ist ein freiwilliges Siegel, das ein Produkteanbieter beim BSI beantragen kann. Der Anbieter muss einige formale Voraussetzungen erfüllen. Dann darf er das Sicherheitskennzeichen auf seiner Produktverpackung anbringen – zusammen mit einem QR-Code, der zur Website des BSI führt, wo aktuelle Informationen zum Sicherheitsstatus des Produkts abgerufen werden können. Das Siegel soll Verbraucherinnen und Verbraucher in die Lage versetzen, das Thema Informationssicherheit bei ihrer Kaufentscheidung angemessen zu berücksichtigen.
Was müsste aus Ihrer Sicht passieren, damit das BSI für mehr Sicherheit sorgen kann?
– Die Angreifer entwickeln ihre Technik weiter. Wir müssen prüfen, ob unsere Befugnisse ausreichen, um Schützen zu können, zum Beispiel die Scanbefugnisse des BSI. Wir können durchaus in den Netzen des Bundes nach Schwachstellen scannen. Was wir brauchen, ist eine Scanbefugnis des BSI für die gesamte kritische Infrastruktur, um zu schauen, wo Schwachstellen und Einfallstore sind. Kürzlich wurden die sogenannten Vulkan Files veröffentlicht. Dort fand man ein groß skalierbares Scantool, mit dem die Angreifer sehen konnten, wo es Schwachstellen gibt. Jetzt scannen unsere Angreifer überall nach Verwundbarkeiten, um irgendwo reinzukommen. Die halten sich an kein Gesetz, an keine Regeln und bereiten Angriffe vor, und wir sitzen hier und könnten technisch nach solchen Verwundbarkeiten suchen, dürfen es aber nicht. Wir können daher Betroffene nicht warnen.
Dann sehe ich noch Handlungsbedarf bei der Cybersicherheitsarchitektur in Deutschland, was die Bund-Länder-Aufstellung angeht. Nach dem Grundgesetz gilt das Trennungsprinzip, das heißt jede staatliche Ebene hat ihre Aufgaben eigenverantwortlich und mit eigenen Ressourcen zu erfüllen. Eine Zusammenarbeit zwischen Bund und Ländern ist daher nur in explizit geregelten Fällen möglich. Deshalb ist die Bundesregierung dabei, das BSI zu einer Zentralstelle auszubauen. Einseitig kann das BSI die Länder im Moment nur im Rahmen der Amtshilfe unterstützten. Das müssen wir ändern.
Was verstehen Sie unter aktiver Cyberabwehr?
– Aktive Cyberabwehr muss man zunächst deutlich von sogenannten Hackbacks trennen. Es gibt zum Beispiel die Möglichkeit, den Angreifer von seinen Opfern fernzuhalten. Technisch realisiert man das, indem man Umleitungen im Internet einrichtet. Dann kommen die Datenabfragen der Angreifer gar nicht erst beim Opfer an. Wir dürfen also die Netzbetreiber anweisen, IP-Adressen umzuleiten. Die Anordnungsbefugnis umfasst auch das Blockieren. Wenn wir zum Beispiel sehen, dass Einrichtungen aus einem Land massiv angreifen, dann können wir den IP-Verkehr blockieren. Das ist schon ein sehr starkes Mittel. Der letzte Schritt ist dann, in die Systeme des Angreifers selbst einzudringen und dort Schritte zur Abstellung des Angriffs einzuleiten. Beispielsweise Daten löschen oder Prozesse beenden. Ich denke, wenn man die Befugnisse des BSI in den genannten Bereichen noch etwas erweitert, kann man Cyberangriffe so weit abwehren, dass sie in Deutschland keine großen Auswirkungen haben.
Welche Herausforderungen und Chancen sieht das BSI im Bereich Künstliche Intelligenz und Cybersicherheit?
– Für uns hat das Thema drei Dimensionen: IT-Sicherheit für KI, IT-Sicherheit durch KI und Angriffe durch KI. Bei der Sicherheit für KI stellen sich zunächst die üblichen Fragen: Wie ist die Software geschrieben? Ist der Zugriff vernünftig organisiert und so weiter. Das ist nicht die große Herausforderung. Interessant wird es erst bei der Frage, wie KI zu Entscheidungen kommt. Das sehen wir durchaus als Sicherheitsaspekt. Und zum anderen: Wie wird KI trainiert, beziehungsweise wie lernt KI? Ist die KI robust gegen vergiftete Lernmengen? Wenn ich zum Beispiel unausgewogene Trainingsmengen nutze, dann kann es sein, dass die KI "schiefe" Ergebnisse produziert. Schaffe ich es zum Beispiel, die KI bei der Erkennung von Verkehrsschildern so zu trainieren, dass Aufkleber auf den Schildern nicht zu Fehlinterpretationen führen? Dass also ein Aufkleber auf einem Stoppschild nicht dazu führt, dass die KI das Stoppschild für ein Tempo-80-Schild hält? Das hätte natürlich unmittelbare Auswirkungen auf die Sicherheit. Mit so einem kleinen Aufkleber kann man tatsächlich das ganze Bild verbiegen. Das ist auch ein Bereich, mit dem wir uns beschäftigen, und das ist eine Herausforderung. Das Ziel sind automatische Prüfkriterien für den Hersteller oder den unabhängigen Prüfer einer solchen Anwendung. Dann bietet KI natürlich ein enormes Potenzial, große Datenmengen strukturiert zu analysieren, Anomalien zu erkennen und mit neuronalen Netzen Aussagen zu treffen, die für unsere Entscheidungsfindung sehr wichtig sein können. Angriffe durch KI wären genau das Gegenteil: Schwachstellen suchen, um sie auszunutzen. Also die dunkle Seite der Künstlichen Intelligenz. Was wir heute auch schon sehen, sind Deepfakes. Heute kann man Fakes oft noch mit bloßem Auge erkennen. Aber die Angreifer werden immer besser darin. Wir simulieren solche Dinge. Kürzlich besuchte eine Bundestagsabgeordnete das BSI, der wir das vorgeführt haben. Einer unserer Kollegen hat eine einminütige Rede aufgenommen. Und dann hat er eine zehnsekündige Sprachsequenz seines Chefs in das Tool geladen, und es klang so, als hätte sein Chef die Rede gehalten. Das war erstaunlich gut. Solche Tools erhöhen das Risiko für Desinformationskampagnen. Unsere Aufgabe ist es, Detektionsmechanismen zu finden.
Wie begegnet das BSI dem Fachkräftemangel?
– Personalgewinnung ist für uns kein Problem. Wir sind bei einer Besetzungsquote von 90 Prozent. Und das, obwohl wir uns in den drei Jahren zuvor verdoppelt haben. Wir begrüßen zwischen 100 und 200 neue Mitarbeitende im Jahr. Eigentlich heißt das, dass es für uns das Fachkräftemangel-Problem nicht gibt. Wir denken, dass der öffentliche Dienst durch Corona und die Unwägbarkeiten des Arbeitsmarktes insgesamt an Attraktivität gewonnen hat. Außerdem scheint es so zu sein, dass gerade Berufseinsteiger bei der Berufswahl nicht nur das Thema Geld im Kopf haben, sondern auch die Frage: Tue ich etwas Gutes für die Welt? Bei den MINT-Studiengängen sind wir bei den Absolventinnen und Absolventen die beliebteste Bundesbehörde. Auch in die Personalbindung investieren wir viel. Wenn trotzdem jemand geht, reißt das erst einmal eine Lücke. Aber gesamtgesellschaftlich gesehen finde ich das gar nicht schlecht, weil dann hat der Einzelne hier ein Mindset bekommen und Methoden gelernt, die dann in andere Bereiche der Gesellschaft überschwappen. Das ist dann gut für ganz Deutschland. Wenn wir Personal verlieren, dann fast immer, wenn ein Angebot aus der Forschung und Lehre kommt. Für den Professorentitel verlässt man gerne mal das BSI. Aber auch das finde ich nicht schlecht, weil gerade in der Lehre und Forschung diese wichtigen Themen weiterverbreitet werden müssen.
Wie erreichen wir als Gesellschaft Informationssicherheit?
– Auf der Nutzerseite würde ich mir wünschen, dass das Thema Informations- und Cybersicherheit ein integraler Bestandteil des Risikomanagements wird. Dann wäre das Thema auch immer für den Vorstand oder Aufsichtsrat relevant und würde sich als Chefinnen- und Chefsache etablieren. Auf der Herstellerseite wünsche ich mir, dass das Thema IT-Sicherheit integraler Bestandteil des Qualitätsmanagements wird. Auch hier haben wir eine regelmäßige Auditierung des Qualitätsmanagements, auch automatisch mit Vorstandsrelevanz. Und mit Blick auf die breite Öffentlichkeit halte ich zwei Dinge für wichtig: Leicht verständliche Botschaften und konkrete Hilfestellungen müssen für alle zugänglich sein. Das ist der eine Teil – der andere Teil ist etwas schwieriger umzusetzen. Eigentlich sollten die Bürgerinnen und Bürger gar nicht so viel selbst machen müssen. Wir brauchen Security by Design and Default – also Sicherheitsmechanismen, die von vornherein in die Anwendung eingebaut sind. Und darüber hinaus hätten wir einen Großteil der Probleme schon gelöst, wenn wir von Passwörtern wegkommen würden und immer eine einfach zu bedienende Zwei-Faktor-Authentifizierung integriert hätten. Dafür haben wir eigentlich schon die Plattformen. Wir haben in Deutschland über 60 Millionen elektronische Ausweise wie Personalausweise und so weiter. Wenn wir das flächendeckend in die Anwendungen reinbekommen, fällt ein Großteil der Probleme einfach weg. Neben Awareness- und Kompetenzmaßnahmen müssen wir die Probleme technisch lösen. Beim Autofahren werden uns ja auch viele Dinge abgenommen – und diesen Weg müssen wir auch bei der IT-Sicherheit einschlagen.
Das Interview führte Lorenz Abu Ayyash am 27. April 2023 in Bonn.