https://www.faz.net/-gqz-7jo4u

BSI-Präsident Michael Hange im Gespräch : „Wir müssen von einer massiven Bedrohung der Wirtschaft ausgehen“

  • Aktualisiert am

Noch lassen sich Computer an ihrem Aussehen erkennen. Bald sind sie so klein und unscheinbar, dass wir nicht bemerken werden, wie nahe sie uns auf die Pelle rücken. Bild: Reuters

Bis zur NSA- Affäre mussten sich die Beamten des BSI den Vorwurf der Paranoia gefallen lassen. Nun sprich Präsident Michael Hange über Erkenntnisse und Konsequenzen aus dem Fall Snowden.

          9 Min.

          Herr Hange, wie überraschend sind für Sie die Snowden-Enthüllungen?

          Aus technischer Sicht war damit zu rechnen. Der immense Einsatz an Finanzmitteln und anderen Ressourcen, die Amerika seit 2001 investierte, hat uns überrascht. Die Enthüllungen unterstreichen: Alle können von Cyber-Angriffen betroffen sein, Unternehmen, Behörden und Bürger. Es geht nicht nur um das Ausspähen, sondern auch um Cyber-Erpressung oder Sabotage.

          Wie gehen Sie mit den neuen Erkenntnissen um?

          Uns interessiert ihre technische Facette. Wir unterscheiden zwischen aktiven und passiven Angriffsmethoden. Einbrüche hinterlassen Spuren. Anders ist das beim passivem Angriff, beispielsweise per Funkerfassung. Hier gelingt es, spurlos Kommunikationssignale abzugreifen – es sei denn, es gibt einen Insider wie Snowden.

          Bei manchen galt das BSI vor der Snowden-Affäre als leicht paranoid.

          Die Bedeutung von Warnungen und Schutzempfehlungen sollten nicht unterschätzt werden, vor allem, wenn die Konsequenzen von Angriffen wie beim Ausspähen nicht bemerkt werden. In Bezug zur NSA-Debatte spricht der Bundestagsabgeordnete Uhl von einem Weckruf, der zu einem Umdenken führen sollte. Ich teile diese Einschätzung.

          Hinter verschlossenen Türen räumt fast jeder in Berlin ein, dass es auch um Wirtschafts- und Industriespionage geht.

          Wir müssen heute von einer massiven Bedrohung der Wirtschaft ausgehen. Ein gängiges Betriebssystem hat Programmzeilen in zweistelliger Millionenhöhe. Laut Schätzungen sind bei industrieller Softwareerstellung etwa zwei Promille davon fehlerbehaftet. Sicherheitslücken sind unvermeidlich. Die Kryptographie ist allerdings inzwischen so weit entwickelt, dass bei richtiger Implementierung Vertraulichkeit durch Verschlüsselung gewährleistet werden kann.

          Wobei die Verschlüsselung wenig nützt, wenn sie beispielsweise während einer Kommunikationsverbindung unterbrochen oder ganz aufgehoben wird.

          Ja, das ist bei der Mobilkommunikation so.

          Das haben wir bei Frau Merkels Handy gesehen.

          Angriffe auf erdgebundene Übertragungswege sind aufwendiger und auch risikoreicher für den Angreifer. Das Anzapfen kann entdeckt werden. Wir raten bei Mobilkommunikation inzwischen grundsätzlich zur Ende-zu-Ende Verschlüsselung.

          Der Diplom-Mathematiker Michael Hange ist Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Seine Behörde ist zuständig für die Sicherheit des Regierungsnetzwerks und hat nach Snowdens Enthüllungen das Handy der Bundeskanzlerin untersucht
          Der Diplom-Mathematiker Michael Hange ist Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Seine Behörde ist zuständig für die Sicherheit des Regierungsnetzwerks und hat nach Snowdens Enthüllungen das Handy der Bundeskanzlerin untersucht : Bild: Helmut Fricke

          Aber auch die nutzt nichts, wenn Behörden die Anbieter zwingen, Hintertüren aufzuhalten.

          Vor etwa fünfzehn Jahren hatten wir hierzu eine Debatte. Die Bundesregierung hat sich letztlich für die freie Nutzung von Kryptoverfahren entschieden. Diesem Auftrag fühlt sich auch das BSI zur Förderung von IT-Sicherheit verpflichtet.

          In ein paar Jahren haben wir ein Internet der Dinge. Dann telefonieren nicht mehr nur Menschen, sondern auch unsere Autos und Zahnbürsten. Heizungsanlagen tun es in den „smart grids“ schon heute. Technisch ist die Totalüberwachung bald möglich.

          Es ist wichtig, dass politische Rahmenbedingungen geschaffen werden. Daraus folgenden Sicherheitsstandards entsprechend kann das BSI die eingesetzten Produkte und Prozesse zertifizieren. Schon bei der Formulierung der Standards für den neuen Personalausweis und die elektronische Gesundheitskarte haben wir darauf geachtet, dass nur sichere Kryptoalgorithmen eingesetzt werden. Eine wesentliche Komponente der neuen Stromnetze sind die digitalen Zähler der Endkunden, die manipulationssicher und den Forderungen des Datenschutzes entsprechend Verbrauchszahlen vertraulich erheben sollen. Entscheidend für die Sicherheit der Technologien ist die Beherrschbarkeit der Kommunikationsprozesse im Hintergrund.

          Bei den kritischen Infrastrukturen von Flughäfen und Kraftwerken hat sich die Industrie bislang zurückhaltend verhalten. Der Preis für Sicherheit ist offenbar sehr hoch.

          In der letzten Legislaturperiode ist ein IT-Sicherheitsgesetz in Vorbereitung gewesen, das vor der Bundestagswahl nicht mehr in das Parlament eingebracht werden konnte. Einige Wirtschaftsverbände hatten Bedenken beim Thema Meldepflicht. Wir haben im Augenblick eine Situation, in der sehr viele Angriffe stattfinden, wir aber nur von wenigen erfahren.

          Welche Zahlen können Sie nennen?

          Pro Tag werden rund 40.000 neue Schadprogramme entwickelt. Auf den Regierungsinformationsverbund gibt es täglich 2000 bis 3000 Angriffe normaler Qualität. Zudem finden täglich etwa zehn Angriffe mit Sabotagecharakter statt. Die Herausforderung ist, in der Masse der Angriffe die zu erkennen, welche qualitativ hochwertig sind.

          Ist der Fall Snowden Vorbote einer nächsten Eskalationsstufe in der digitalen Aufrüstung?

          Die Qualität von Cyberangriffen, der Sabotage und Spionage, hat zugenommen. Das erfordert mehr Anstrengungen in der Abwehr. Mit zunehmender Abhängigkeit von IT werden höhere Aufwendungen für den Schutz einhergehen. Die Veröffentlichungen durch Snowden haben das Bewusstsein geschärft.

          Das Versprechen von Vernetzung und Big Data, die Welt besser und sicherer zu machen, ist bislang kaum erfüllt. Interessant ist aber, dass die Systeme, etwa die Pre-Crime Analytik, selbst nicht scheitern – im Gegenteil. Fehlprognosen oder Fehlalarme werden eher als Anlass gesehen, die Programme auszubauen.

          Es ist in der Tat so, dass die Pre-Crime Analytik in Amerika sehr stark auf Big Data setzt. Die Verknüpfung mathematischer Algorithmik mit sozialwissenschaftlich-empirischen Methoden in großen Datenmengen soll bessere Erkenntnisse, beispielsweise bezüglich Verhaltensfaktoren erbringen. Das Attentat beim Boston-Marathon wurde von einigen amerikanischen Experten als Aufforderung verstanden, die Datenmengen zu erhöhen und die Analysemethoden zu verbessern. Letztendlich ist es die Herausforderung an Politik und Gesellschaft, die Frage zu beantworten, was wir wollen und was wir zulassen.

          Ein Wesensmerkmal überwachter Gesellschaften ist Misstrauen. Diese Erkenntnis findet sich in der Literatur schon ganz früh, als die ersten Computer mit spieltheoretischen Algorithmen anfingen, Spiele zu spielen. Wie schafft man wieder Vertrauen?

          Die Diskussion ist im Lichte der Veröffentlichungen sehr grundsätzlich: Wie stark kann man Herstellern und Anbietern vertrauen? Wie gehen Staaten und Geheimdienste miteinander um? Wie sehr sind Unternehmen staatlichen Interessen verpflichtet? Eine Vertrauen schaffende Maßnahme wären transparente Prozesse bei der Erarbeitung von Sicherheitsstandards. In der IT-Sicherheit werden bestimmte IT-Hersteller, Diensteanbieter und Behörden als Vertrauensanker gebraucht – beispielsweise zum Herstellen von Kryptoprodukten oder als Zertifizierungsstellen. Das BSI versteht sich nicht nur als kompetente Stelle für IT-Sicherheit, sondern auch als Institution, der Vertrauen entgegengebracht werden muss.

          Als kleines, unbeugsames Dorf in einer Welt transnationaler Überwachungstechnologien?

          Das BSI steht nicht allein da. In Deutschland haben wir Hersteller und Prüfstellen in der IT-Sicherheit, die ein hohes Maß an Vertrauenswürdigkeit besitzen. Auch die IT-Sicherheitsbehörden vieler Staaten arbeiten vertrauensvoll zusammen. Ich halte es für wichtig, zu einer gemeinsamen europäischen Datenschutzgrundverordnung zu kommen, und verlorengegangenes Vertrauen durch Maßnahmen wie ein No-Spy-Abkommen wiederzugewinnen. In der globalen Welt braucht man einen transnationalen Vertrauensrahmen durch Regelungen und Verpflichtungen.

          Wie schätzen Sie die Möglichkeit von mehr oder minder integren europäischen Systemen ein, die starken Daten- und Rechtsschutzkriterien entsprechen? Das Stichwort Schengen-Cloud ist von Seiten der Telekom gefallen. Netzwerke die sich im europäischen Rahmen bewegen, könnten, wenn sie von eigenen Diensten kompromittiert würden, anders reagieren. Könnte die Snowden-Debatte auch hier ein Weckruf sein für eine europäische Initiative wie einst beim Airbus?

          Wir müssen nun, ähnlich wie bei Airbus, das in Europa vorhandene Know-how bündeln, um in Souveränität ein eigenes Produkt entwickeln und wie den Airbus zum Fliegen bringen zu können. In der Informationstechnik haben wir es aber mit einer komplizierteren Struktur zu tun. Wir erleben permanente und äußerst dynamische Konvergenzprozesse mit schwierig zu prognostizierendem Geschäftserfolg. Insofern müssen auch die Ansätze der Bündelung europäischer Fähigkeiten differenzierter sein.

          Ist der europäische Markt dafür zu klein?

          Ich glaube, dass der europäische Binnenmarkt ausreichen würde. Es mangelt auch nicht an Ideen und Initiativen. Es ist eine Frage der Schwerpunktsetzung und der Geschäftsmodelle. Beim Zukunftsthema Cloud hat Europa eine gute Chance, da der Standort eine große Rolle spielt. Wer allerdings auf das falsche Pferd setzt, kann sehr schnell scheitern.

          Investitionen mit ungewissem Ausgang sind also eher im Silicon Valley möglich als bei uns?

          Es ist ein Zusammenspiel von Angebot und Nachfrage. Da die Digitalisierung der Gesellschaft eine immer wichtigere Rolle spielt, sollte das Zusammenspiel von Forschung, Produktion und Marketing für IT-Sicherheitskomponenten und -systeme gefördert werden. Bei vorzeigbaren Referenzanwendungen sehe ich auch gute Exportchancen.

          Sie sehen einen Markt für integre, europäische Systeme?

          Die Chance besteht, da bin ich sicher. Ein solcher Markt entsteht nicht von jetzt auf gleich, die Durchdringung des Marktes mit nicht-europäischen Produkten und Dienstleistungen ist groß, die getätigten Investitionen sind enorm. Eine spontane Abkehr ist unrealistisch, aber auch nicht zwingend erforderlich. Vielmehr wäre es angebracht, außereuropäische Firmen zu mehr Transparenz aufzufordern. Es muss möglich sein, außereuropäischen Systemkomponenten – wie beispielsweise Router – mit eigenen nationalen Krypto-Algorithmen abzusichern und so die Kommunikationssouveränität zu erlangen. Findet kein vertrauenswürdiger Dialog mit diesen Herstellern statt, muss umgedacht werden.

          Was kann die EU machen?

          Das BSI arbeitet als nationale IT-Sicherheitsbehörde in einigen europäischen Gremien mit. Ich selbst im Management Board der Europäischen Netz- und Informationssicherheitsagentur. Wir haben in der Vergangenheit gemeinsame Initiativen mit anderen Mitgliedsstaaten gestartet. Bei den europäische Institutionen ist der Wille erkennbar, durch die Datenschutzgrundverordnung und durch die Cybersicherheitsstrategie Rahmenbedingungen für ein besseres Datenschutz- und Datensicherheitsniveau zu schaffen. Unter dem Eindruck der großen Verunsicherung vieler europäischer Firmen wird zur Zeit auch von der Kommissarin Neelie Kroes das Projekt Cloud for Europe gefördert. Hier haben sich unter dem Vorsitz des estnischen Staatspräsidenten Tomas Ilves die Chefs führender europäischer IT- und TK-Unternehmen und Regierungsvertreter zusammengefunden, um europäische Clouddienstleistungen attraktiv zu gestalten.

          Ist die Wirtschaft seit Snowden besorgter?

          Aus den Reaktionen kann ich das mit einem klaren Ja beantworten. Für viele Unternehmen sollte die Debatte ein Weckruf sein. Wichtig ist, dass wir nicht in Aktionismus verfallen. Die Prävention muss sich verbessern, es muss in jedem Unternehmen Verantwortungen für IT-Sicherheit geben und man muss Konzepte erarbeiten, um das Unternehmenswissen und die Kronjuwelen zu schützen. Unternehmen müssen ihre Informationstechnik kennen. Das BSI setzt auf Empfehlungen und Angebote zur Hilfestellung. Wichtig in diesem Zusammenhang ist auch, dass wir nicht nur Produkte, sondern auch IT-Sicherheitsdienstleister zertifizieren. Damit geben wir der Wirtschaft vertrauenswürdige IT-Sicherheitsunternehmen an die Hand. Wichtig ist mir, dass IT-Sicherheit nicht nur unter dem momentanen Eindruck der Presseveröffentlichung zu den Ausspähungen ein Chefthema ist, sondern in nachhaltige Prozesse in den Unternehmen umgesetzt wird.

          Gibt es das schon?

          Wir haben schon einige Dienstleister zertifiziert, zum Beispiel im Bereich von Penetrationstests oder auch IT-Grundschutz-Auditoren. Bei den Penetrationstests geht es darum, dass vertrauenswürdige Hacker Angriffe simulieren. Wir können da als Zertifizierungsinstanz viel leisten, weil wir als Behörde fachlich entsprechendes Wissen und Erfahrungen haben und wettbewerbsneutral sind. Auch für die Privatanwender geben wir Empfehlungen heraus, beispielsweise zur sicheren Konfiguration des heimischen Rechners.

          Wie ist eigentlich Ihr eigenes Kommunikationsverhalten und was empfehlen Sie den Nutzern des Internets?

          Ich nutze Handys, Computer und neue Medien wie wahrscheinlich jeder andere auch. Kulturpessimismus oder Ablehnung wäre falsch, man würde sich ja dann aus einem Teil des Lebens vollständig zurückziehen. Man muss sich bewusst sein, dass man im Visier sein kann und die Mittel nutzen, um sich zu schützen.

          Je lebendiger unser „digitaler Zwilling“ wird, von dem der Bundespräsident redete, je mehr Vorrang das digitale Ich erhält, desto gefährlicher werden Angriffe wie Identitätsdiebstahl, die im Zweifelsfall das Umschreiben ganzer Identitäten erlauben würden.

          In der Tat. Auch in meinem Bekanntenkreis hat es Fälle von Identitätsdiebstahl gegeben, bei denen im Namen der Bekannten Überweisungen getätigt wurden oder Identitäten in sozialen Netzen übernommen wurden. In Deutschland sind wir der Meinung, dass auch der Staat eine gewisse Pflicht hat, die Bürger zu schützen, was Integrität und Vertrauenswürdigkeit bei der Nutzung von Informationstechnik angeht. Deshalb wurde mit dem neuen elektronischen Personalausweis ein Medium nicht nur für hoheitliche Zwecke, sondern auch als Sicherheitsanker im Internetverkehr etabliert. Das stellt eine enorme Verbesserung des Schutzes von elektronischen Identitäten im Vergleich zu den allein softwaregestützen Passwortverfahren dar. Darüber hinaus wurde mit dem De-Mail-Gesetz ein Rechtsrahmen geschaffen, wie Bürger, Unternehmen und Behörden mit- bzw. untereinander sicher kommunizieren können. Mit diesen Angeboten ist ein Kommunikationsraum im Internet definiert, der verbindliche und vertrauliche Kommunikationsprozesse beherrschbar macht. Das noch vor der Wahl verabschiedete eGovernment-Gesetz, das die künftige digitale Kommunikation des Bürgers und der Unternehmen mit den Verwaltungen auf den Ebenen Kommune, Land und Bund regelt, nutzt diese flächendeckende sichere Infrastruktur. Der breite Einsatz solcher Sicherheitstechnologien im Umfeld sicherer Identifizierungsverfahren hat sich für die beteiligten deutschen Firmen auch sehr positiv auf die Exporte ins Ausland ausgewirkt. Sicherheitstechnologie made in Germany in Verbindung mit sichtbaren nationalen Referenzprojekten ist für einen wichtigen und wachsenden Exportmarkt essentiell.

          Warum schützt Open Source?

          Die meisten Standardangriffe erfolgen auf weit verbreitete Betriebssysteme wie etwa Windows, da arbeiten Angreifer ganz pragmatisch. In der Hochsicherheit schafft Open Source durch die Konfektionierbarkeit des Betriebssystems die Möglichkeit, den Umfang auf die Softwareanteile zu beschränken, die für spezielle Aufgabe zwingend erforderlich sind. Dadurch wird ein solches Betriebssystem leichter evaluierbar und schwerer angreifbar. Es wäre zu wünschen, dass Open Source eine größere Verbreitung findet, und der zusätzliche Aufwand für die Erstellung von spezieller Software zur Anbindung an markgängige IT-Produkte und Standards sich auf viele Schultern verteilt.

          Informatiker sind heißbegehrt und gutbezahlt. Wie findet das BSI seine Mitarbeiter?

          Hier stehen wir in natürlicher Konkurrenz zu Industrie und Wissenschaft. Wir müssen uns bei den Hochschulabsolventen als attraktiver Arbeitgeber ins Spiel bringen und uns um die besten Leute bemühen. Auch zu diesem Zweck nutzen wir beispielsweise soziale Netzwerke. Zudem sind wir auf Jobmessen und Hochschultagen präsent. Zur Zeit ist es für uns vorteilhaft, dass wir nach Umfragen bei Informatikstudenten als attraktiver Arbeitgeber gelten und seit vier Jahren auch Stipendien für Abiturienten anbieten können.

          Ihre Experten erkennen und bekämpfen Angriffe. Aber ein Abzapfen des Glasfaserkabels im Atlantik – das können sie nicht bemerken.

          Das Anzapfen eines Glasfaserkabels im Atlantik ist mit einem enormen technischen Aufwand verbunden. Datenabgriffe sind bei professioneller Handhabung genauso schwierig feststellbar wie Datenabgriffe auf dem Gebiet anderer Staaten.

          Und bei all dem reden wir noch nicht einmal über die Chinesen und Russen, weil es da keinen Snowden gibt und kein Facebook, das wir benutzen.

          Bei den Chinesen und Russen sind die Fähigkeiten der Analyse und des Re-Engineerings nicht zu unterschätzen, Schwachstellen zu identifizieren. China hat darüber hinaus eine langfristige Strategie zur globalen Positionierung der chinesischen IT-Industrie und kann sich auf einen großen Binnenmarkt stützen.

          Weitere Themen

          Drei deutsche Kurstädte ausgezeichnet Video-Seite öffnen

          Unesco-Welterbe : Drei deutsche Kurstädte ausgezeichnet

          Die deutschen Kurstädte Baden-Baden, Bad Ems und Bad Kissingen sind in die Liste des Unesco-Welterbes aufgenommen worden – neben Kurstädten in weiteren Ländern Europas. Auch die Künstlerkolonie Mathildenhöhe in Darmstadt schaffte es neu auf die Liste.

          Topmeldungen

          Menschen in der Wiesbadener Fußgängerzone

          Sinkende Impfbereitschaft : Sorgen vor dem Corona-Herbst

          Während die Infektionszahlen weiter steigen, lassen sich immer weniger Menschen gegen das Virus impfen. In Berlin wachsen die Befürchtungen, dass neue Einschränkungen nötig werden.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.