Manfred Kloiber: Ein Cyber-Abwehrzentrum mit eigenen Einsatzkräften stößt ja in der politischen Diskussion gerade auf erheblichen Widerstand. Wie ist das denn auf dem BSI-Kongress diskutiert worden, Peter?
Peter Welchering: Da hat Arne Schönbohm, der BSI-Chef eine sehr kluge Strategie verfolgt. Er hat sich mit seiner Behörde sehr deutlich von Zitis abgesetzt, also der Behörde, die Sicherheitslücken aufspüren und für Ermittlungszwecke nutzen soll, der Behörde, die Verschlüsselung knacken soll. Das BSI hingegen, das wolle starke Verschlüsselung.
Deshalb gebe es eine Chinesische Mauer zu Zitis. Und die Entwickler, die mehr Sicherheit durch Verschlüsselung hinbekommen wollten, seien eh besser als die Ermittler, die Verschlüsselung knacken wollen. Also das Ganze war schon eine ziemliche Charming-Tour, mit der sich das BSI von seiner besten Seite präsentieren wollte.
Kloiber: Das klingt sehr stark danach, als wolle der BSI-Chef die Unabhängigkeit seiner Behörde demonstrieren.
Welchering: Tatsächlich scheint sich Arne Schönbohm da gerade freizuschwimmen. Das beobachtet man natürlich auch im Innenministerium sehr genau. Auf der anderen Seite muss das BSI aus dem Dunstkreis der Sicherheitsbehörden heraustreten. Und diese Distanz will BSI-Chef Schönbohm ja auch rüberbringen, wenn er etwa davon spricht, dass er einen ganz anderen gesetzlichen Auftrag wahrnehmen soll als Wilfried Karl, der Zitis-Leiter. Wir sind die Guten, soll da rüberkommen.
"Ungeprüfte Consumer-Ware wird uns künftig das Leben schwer machen"
Kloiber: Sie haben ja erwähnt, dem Sicherheitsniveau in Deutschland haben selbst die Diskutanten auf dem Podium eine schlechte Note gegeben. Welche Sicherheitsprobleme sind auf dem Kongress denn als die bedrohlichsten identifiziert worden?
Welchering: Ungeprüfte Consumer-Ware wird uns künftig das Leben schwer machen. Die Lampe, die am Internet hängt, der Roboter-Staubsauger mit IP-Adresse, die Billig-Überwachungskamera, die ihre Bilder über Netz sendet. Die können leicht gekapert und als Bot-Armee missbraucht werden. Hier haben weder Hersteller noch Verbraucher Interesse an Sicherheitsstandards. Die Hersteller wollen billig produzieren. Die Verbraucher günstig einkaufen. Ob Kamera, Lampe oder Staubsauger dann eine Industriesteuerung angreifen, interessiert niemanden. Das Qualitätsniveau der eingesetzten Software ist ein weiteres Problem. Und in der IT-Administration fehlen die Sicherheitsfachkräfte.
"Ohne gesetzliche Standards wird es nicht gehen"
Kloiber: Wurden da Lösungen diskutiert in bad Godesberg?
Welchering: Techniken, um die bisher üblichen 30 bis 40 Fehler pro 1.000 Lines of Code zu vermeiden, haben wir. Die müssen natürlich weiterentwickelt werden. Aber die müssen vor allen Dingen umgesetzt werden. Daran fehlt es. Da fehlt die Bereitschaft in den Unternehmen. Und die Politik hat das Problem noch nicht erkannt.
Die Forderung nach Mindestsicherheitsstandards, nach minimalen Qualitätsstandards ist richtig, aber allein ein Gütesiegel, wie die Politik das derzeit diskutiert, wird hier wenig bringen. Ohne gesetzliche Standards wird es nicht gehen.
Kloiber: Peter Welchering berichtete über den BSI-Sicherheitskongress, diese Woche in Bonn Bad-Godesberg, vielen Dank!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
