Michael Hange ist Präsident des Bundesamtes für Sicherheit in der Informationstechnik in Bonn (BSI). Im Interview mit Volontärin Nina Reckendorf äußert er sich zur aktuellen Lage, zum bestmöglichen Schutz für Privatpersonen und zur Rolle der Behörde.
Herr Hange, Sie haben als Hauptredner beim Tag der IT-Sicherheit an der Universität Paderborn über die aktuelle Lage in Deutschland gesprochen. Wie sieht die aus?
Wir haben im Dezember 2014 einen Lagebericht herausgegeben, der zeigt, dass sich das Angriffspotenzial auf IT-Systeme qualitativ und quantitativ erheblich verstärkt hat. Es gibt insbesondere im Bereich der Software eine Vielzahl von Schwachstellen, die von Hackern genutzt werden können, um mit Schadprogrammen die IT-Systeme anzugreifen.
Können Sie diese Hacker-Angriffe konkretisieren und Beispiele nennen?
Wir erleben in Deutschland täglich Angriffe auf das Regierungsnetz, aber auch Unternehmen berichten zunehmend über Fälle zum Beispiel von Cyber-Erpressung. Dabei werden Endgeräte durch den Einsatz von Verschlüsselung blockiert. Für eine Freigabe wird dann Geld vom Opfer gefordert. Auch stellen wir eine Vielzahl sogenannter Botnetze fest, mit denen Spam und Schadprogramme verteilt, aber auch Webseiten bzw. Server durch Angriffe blockiert werden können. Unter Botnetzen versteht man Netze von gekaperten und unbemerkt ferngesteuerten Rechnern. Wir gehen in Deutschland davon aus, dass wir ca. eine Million solcher gekaperter Rechner haben.
Was ist die Rolle und Aufgabe Ihres Bundesamtes in diesem Zusammenhang?
Die Aufgabe unseres Bundesamtes ist es, IT-Sicherheit zu fördern. Wir legen dazu zum Beispiel Mindeststandards für Sicherheitsprodukte fest. Unser Wirken ist also präventiv. Für die Bundesregierung übernehmen wir ganz konkret den Schutz von Daten und Netzen. Hier betreiben wir einen sehr hohen Aufwand zum Beispiel bei der Detektion von Schadprogrammen. Privatanwendern und Unternehmen helfen wir mit Empfehlungen und Beratungsangeboten. Wir geben auch Hinweise, wie man vom BSI erkannte Schadprogramme abwehren kann.
Können Sie einen kompakten Kriterienkatalog aufstellen, was ich als Privatperson tun kann, um mich bestmöglich zu schützen?
Die wichtigsten Maßnahmen sind eine Personal Firewall, ein aktuell gehaltenes Virenschutzprogramm, aktuelle Softwarestände, Passwortschutz und ein guter Browser. Auf unserer Bürger-Webseite unter www.bsi-fuer-buerger.de haben wir die wichtigsten Maßnahmen zusammengestellt. Wir veröffentlichen da auch konkrete Anleitungen, wie man einen PC sicher macht. Das heißt, wir unterbreiten Angebote, aber für die Umsetzung seiner eigenen Cybersicherheit ist letztlich jeder Nutzer selbst gefordert. Sorge bereitet uns eine immer noch weit verbreitete digitale Sorglosigkeit. Trotz vieler Hinweise werden Patches – das sind Software-Updates, die Sicherheitslücken schließen – nicht immer rechtzeitig vor der Ausnutzung der Sicherheitslücken installiert. Daten können zur Sicherheit verschlüsselt werden, man muss es aber auch tun. Sicherheit ist kein Ist-Zustand, sondern ein Prozess, an dem man ständig arbeiten muss. Auch wir als Behörde müssen ständig unsere Sicherheitssysteme optimieren.
Was sind neue Technologien und Produkte, an denen derzeit gearbeitet wird?
Die drei Tendenzen – der immer höhere Grad an Vernetzung, die zunehmende Komplexität der IT und die Allgegenwärtigkeit durch mobile Endgeräte – haben bewirkt, dass die Herausforderungen an Sicherheit wesentlich größer geworden sind. Mit Kryptografie haben wir einen starken IT-Sicherheitsmechanismus zur Vertraulichkeit, sowohl bei der Übertragung als auch bei der Speicherung von Daten. Auch im Einsatz bei der Authentifizierung von Personen und Daten liefert Kryptographie eine sichere methodische Basis. Eine technologische Herausforderung stellen die Produkte zur Abwehr von Cyberangriffen dar.
Es werden immer mehr Stimmen laut, dass in unserem digitalen Zeitalter Big Brother Wirklichkeit geworden ist: Wir werden von Nachrichtendiensten abgehört, es gibt Vorratsdatenspeicherung etc. Wie ist Ihre Einschätzung?
Prinzipiell ist der Schutz vor hochwertigen Angriffen – sogenannten Advanced Persistent Threats – sehr schwierig. Als Privatperson kann ich mich vor gezielten, hochwertigen Angriffen wie beispielsweise von Nachrichtendiensten nicht wirklich gut schützen. Gleichzeitig bin ich als Privatperson aber eher im Fokus von Cyber-Kriminellen, die an mein Geld wollen. Auf der anderen Seite zielen auch die Geschäftsmodelle einiger Global Player im IT-Bereich auf die Vermarktung personenbezogener Daten. Mit der Akzeptanz dieser AGBs hat der Kunde keine Kontrolle mehr über die Daten, die weitergegeben werden. Auch im Netz gibt es nichts umsonst. Die Währung bei vermeintlich kostenfreien Angeboten sind dann die persönlichen Daten und die digitale Spur des Nutzerverhaltens. Man bezahlt also mit den Daten, die man an dieser Stelle abgibt. Vorratsdatenspeicherung ist ein Thema für die Polizei und nicht für das BSI.
Herr Hange, haben Sie vielen Dank für das Gespräch.