Manfred Kloiber: Am Donnerstag hat Bundesinnenminister Hans-Peter Friedrich in Bonn das Nationale Cyber-Abwehrzentrum offiziell eröffnet. Beschlossen hatte es die Bundesregierung schon im Februar und seit April arbeitet es bereits. Der Innenminister gab sich aufgrund der massiven Zunahme von Hacker-Attacken ziemlich besorgt. Vor allem kritische Infrastrukturen wie die Strom- und Wasserversorgung seien wegen des hohen Vernetzungsgrades sehr verwundbar. Gibt es konkrete Zahlen, die die Sorgen des Ministers untermauern können, Peter Welchering?
Peter Welchering: Also sowohl die Zahlen der Kriminalitätsstatistik, die vorliegen, als auch die Zahlen der Einschätzung der Sicherheitslage, die das Bundesamt für Sicherheit in der Informationstechnik vorgenommen hat und am Donnerstag vorgestellt hat, als auch die Prognosen verschiedener Sicherheitsexperten – die unterstreichen allesamt die von Innenminister Friedrich da vorgetragene Sorge schon ganz extrem. Das BSI hat ja am Donnerstag den jüngsten Bericht zur Lage der IT-Sicherheit vorgelegt. Und das lässt eben nichts gutes erwarten. So weisen die Experten darauf hin, dass beispielsweise Cloud-Computing-Plattformen zunehmend zum Aufbau von Botnetzen missbraucht werden. Die Zahl der Denial-of-Service-Attacken, die Zahl der Spam-Versande von solchen Botnetzen steigt dann auch rapide und es wird ein weiterer Anstieg erwartet. Die Zahl der Attacken auf die Stromkonzerne nimmt zu – insgesamt auf alle kritischen Infrastrukturen. Das ist auch das erste Mal, dass das BSI in seiner IT-Sicherheitslage darauf so offen eingeht. Und GSM-Mobilfunk – das wird als Einfallstor für die Wirtschaftsspionage gesehen. Smartphones sind ein regelrechtes Sicherheitsrisiko diesem Bericht zufolge und auch die digitalen Steuerungen in Sachen Stromversorgung und in zahlreichen Industriebetrieben sind sehr gefährdet. Also so lässt sich der Bericht zur Lage der IT-Sicherheit kurz zusammenfassen.
Kloiber: Und wie soll dieses neue Cyber-Abwehrzentrum diesen Gefahren entgegenwirken?
Welchering: In erster Linie durch Koordination. Die bisher bestehenden Strukturen und die Abwehrstäbe bleiben bestehen. Also das Bundesverteidigungsministerium hat seine eigenen Abwehrstäbe, das Bundeskriminalamt hat Mitarbeiter für die Cyberabwehr, der Bundesnachrichtendienst hat so etwas und die Verfassungsschützer. Und da liegt auch gleichzeitig die Crux: Die müssen koordiniert werden. Und da hat auch am Donnerstag beispielsweise der stellvertretende innenpolitische Sprecher der SPD-Bundestagsfraktion, Michael Hartmann, gemeint, das sei doch eine Art Mogelpackung, weil hier keine schnelle Reaktion auf digitale Bedrohung durch das Cyber-Abwehrzentrum möglich sei, sondern zunächst einmal dann diese Mehrfachstrukturen koordiniert werden müssen, ehe da eine Verteidigungsstrategie vorgetragen werden könne.
Kloiber: Wie ist denn dieses Cyber-Abwehrzentrum personell aufgestellt?
Welchering: Also zurzeit arbeiten da zehn Experten, zehn Mitarbeiter aus drei Behörden. Die Federführung liegt beim Bundesamt für die Sicherheit in der Informationstechnik. Da ist auch seit April, seit die die Arbeit aufgenommen haben, nichts dran geändert worden. Und deshalb stellt das BSI auch sechs Experten. Zwei Experten kommen vom Bundesamt für Verfassungsschutz. Und zwei Experten werden gestellt vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Und das Bundeskriminalamt, die Bundespolizei und der Bundesnachrichtendienst sollen demnächst mit eingebunden werden.
Kloiber: Es werden immer wieder die sogenannten kritischen Infrastrukturen genannt. Welche Rolle spielen sie im aktuellen Lagebericht, also Stromnetz, Telekommunikationssysteme, Wasserversorgung, Logistik und Banken?
Welchering: Also sie nehmen in diesem Bericht einen so breiten Raum ein wie früher noch nie zuvor. Bisher hat ja gerade das BSI die Gefährdung dieser Infrastrukturen immer ein wenig heruntergespielt. Aber jetzt haben sie diese Gefährdung sehr, sehr realistisch geschildert, auch davor gewarnt, eine Prognose abgegeben. Und das ist dann ja auch vom Bundesinnenminister prompt aufgenommen worden. Er sprach sehr deutlich über die Gefährdung der Stromnetze, hat hier besonderen Wert darauf gelegt, wie leicht es eben im Prinzip möglich ist, beispielsweise Lastverteilungsrechner anzugreifen. Und darauf reagierte ja auch sofort die Versorgungswirtschaft am Tag darauf – ziemlich schmallippig und pikiert übrigens. Der angemahnte Nachbesserungsbedarf sei doch schon längst gegeben. Und der Minister würde auf diese Weise doch eher Hacker auf die Stadtwerke und auf die Versorgungsbetriebe als lohnendes Ziel lengen, wurde dort argumentiert.
Kloiber: Gibt es denn konkrete Vorschläge der BSI-Spezialisten, wie solche kritischen Infrastrukturen besser abgesichert werden können?
Welchering: Das ist für mich das eigentlich Überraschende an diesem Bericht. Die BSI-Experten gehen sehr stark darauf ein, dass eben Sicherheitslücken im Betriebssystem und in der Anwendungssoftware eine ganz wesentliche Ursache sind für genau diese Gefahren. Und für Angriffe auf solche kritischen Infrastrukturen wie etwa auf Lastverteilungsrechner werden die auch ganz gezielt genutzt oder beispielsweise für Angriffe eben auf Industriesteuerungen. Das ist auch bisher immer ein wenig heruntergespielt worden. Auch in diesem Bericht ließt sich dann, dass Sicherheitslücken im Betriebssystem von der Bedeutung her abgenommen haben. Aber insgesamt wird sehr deutlich gemacht: Wir müssen sehr viel mehr tun, um diese Sicherheitslücken zu schließen. Zwar wird das Wort "Fuzzing", um eine automatisierte Suche nach Sicherheitslücken dann in Gang zu setzen, im Bericht nicht erwähnt, aber die Methoden, die solche Fuzzing-Strategien haben, werden sehr deutlich erwähnt. Und da scheint auch tatsächlich im Bundesamt für Sicherheit in der Informationstechnik so eine Art Kehrtwende vorzuliegen. Da soll sehr viel stärker jetzt eben gegen diese Sicherheitslücken gearbeitet werden – sie müssen deutlich geschlossen werden. Das ist das Neue, das Überraschende an diesem Bericht.
Peter Welchering: Also sowohl die Zahlen der Kriminalitätsstatistik, die vorliegen, als auch die Zahlen der Einschätzung der Sicherheitslage, die das Bundesamt für Sicherheit in der Informationstechnik vorgenommen hat und am Donnerstag vorgestellt hat, als auch die Prognosen verschiedener Sicherheitsexperten – die unterstreichen allesamt die von Innenminister Friedrich da vorgetragene Sorge schon ganz extrem. Das BSI hat ja am Donnerstag den jüngsten Bericht zur Lage der IT-Sicherheit vorgelegt. Und das lässt eben nichts gutes erwarten. So weisen die Experten darauf hin, dass beispielsweise Cloud-Computing-Plattformen zunehmend zum Aufbau von Botnetzen missbraucht werden. Die Zahl der Denial-of-Service-Attacken, die Zahl der Spam-Versande von solchen Botnetzen steigt dann auch rapide und es wird ein weiterer Anstieg erwartet. Die Zahl der Attacken auf die Stromkonzerne nimmt zu – insgesamt auf alle kritischen Infrastrukturen. Das ist auch das erste Mal, dass das BSI in seiner IT-Sicherheitslage darauf so offen eingeht. Und GSM-Mobilfunk – das wird als Einfallstor für die Wirtschaftsspionage gesehen. Smartphones sind ein regelrechtes Sicherheitsrisiko diesem Bericht zufolge und auch die digitalen Steuerungen in Sachen Stromversorgung und in zahlreichen Industriebetrieben sind sehr gefährdet. Also so lässt sich der Bericht zur Lage der IT-Sicherheit kurz zusammenfassen.
Kloiber: Und wie soll dieses neue Cyber-Abwehrzentrum diesen Gefahren entgegenwirken?
Welchering: In erster Linie durch Koordination. Die bisher bestehenden Strukturen und die Abwehrstäbe bleiben bestehen. Also das Bundesverteidigungsministerium hat seine eigenen Abwehrstäbe, das Bundeskriminalamt hat Mitarbeiter für die Cyberabwehr, der Bundesnachrichtendienst hat so etwas und die Verfassungsschützer. Und da liegt auch gleichzeitig die Crux: Die müssen koordiniert werden. Und da hat auch am Donnerstag beispielsweise der stellvertretende innenpolitische Sprecher der SPD-Bundestagsfraktion, Michael Hartmann, gemeint, das sei doch eine Art Mogelpackung, weil hier keine schnelle Reaktion auf digitale Bedrohung durch das Cyber-Abwehrzentrum möglich sei, sondern zunächst einmal dann diese Mehrfachstrukturen koordiniert werden müssen, ehe da eine Verteidigungsstrategie vorgetragen werden könne.
Kloiber: Wie ist denn dieses Cyber-Abwehrzentrum personell aufgestellt?
Welchering: Also zurzeit arbeiten da zehn Experten, zehn Mitarbeiter aus drei Behörden. Die Federführung liegt beim Bundesamt für die Sicherheit in der Informationstechnik. Da ist auch seit April, seit die die Arbeit aufgenommen haben, nichts dran geändert worden. Und deshalb stellt das BSI auch sechs Experten. Zwei Experten kommen vom Bundesamt für Verfassungsschutz. Und zwei Experten werden gestellt vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Und das Bundeskriminalamt, die Bundespolizei und der Bundesnachrichtendienst sollen demnächst mit eingebunden werden.
Kloiber: Es werden immer wieder die sogenannten kritischen Infrastrukturen genannt. Welche Rolle spielen sie im aktuellen Lagebericht, also Stromnetz, Telekommunikationssysteme, Wasserversorgung, Logistik und Banken?
Welchering: Also sie nehmen in diesem Bericht einen so breiten Raum ein wie früher noch nie zuvor. Bisher hat ja gerade das BSI die Gefährdung dieser Infrastrukturen immer ein wenig heruntergespielt. Aber jetzt haben sie diese Gefährdung sehr, sehr realistisch geschildert, auch davor gewarnt, eine Prognose abgegeben. Und das ist dann ja auch vom Bundesinnenminister prompt aufgenommen worden. Er sprach sehr deutlich über die Gefährdung der Stromnetze, hat hier besonderen Wert darauf gelegt, wie leicht es eben im Prinzip möglich ist, beispielsweise Lastverteilungsrechner anzugreifen. Und darauf reagierte ja auch sofort die Versorgungswirtschaft am Tag darauf – ziemlich schmallippig und pikiert übrigens. Der angemahnte Nachbesserungsbedarf sei doch schon längst gegeben. Und der Minister würde auf diese Weise doch eher Hacker auf die Stadtwerke und auf die Versorgungsbetriebe als lohnendes Ziel lengen, wurde dort argumentiert.
Kloiber: Gibt es denn konkrete Vorschläge der BSI-Spezialisten, wie solche kritischen Infrastrukturen besser abgesichert werden können?
Welchering: Das ist für mich das eigentlich Überraschende an diesem Bericht. Die BSI-Experten gehen sehr stark darauf ein, dass eben Sicherheitslücken im Betriebssystem und in der Anwendungssoftware eine ganz wesentliche Ursache sind für genau diese Gefahren. Und für Angriffe auf solche kritischen Infrastrukturen wie etwa auf Lastverteilungsrechner werden die auch ganz gezielt genutzt oder beispielsweise für Angriffe eben auf Industriesteuerungen. Das ist auch bisher immer ein wenig heruntergespielt worden. Auch in diesem Bericht ließt sich dann, dass Sicherheitslücken im Betriebssystem von der Bedeutung her abgenommen haben. Aber insgesamt wird sehr deutlich gemacht: Wir müssen sehr viel mehr tun, um diese Sicherheitslücken zu schließen. Zwar wird das Wort "Fuzzing", um eine automatisierte Suche nach Sicherheitslücken dann in Gang zu setzen, im Bericht nicht erwähnt, aber die Methoden, die solche Fuzzing-Strategien haben, werden sehr deutlich erwähnt. Und da scheint auch tatsächlich im Bundesamt für Sicherheit in der Informationstechnik so eine Art Kehrtwende vorzuliegen. Da soll sehr viel stärker jetzt eben gegen diese Sicherheitslücken gearbeitet werden – sie müssen deutlich geschlossen werden. Das ist das Neue, das Überraschende an diesem Bericht.