https://www.faz.net/-gqz-7oirn

BSI-Präsident Hange im Gespräch : Wir müssen uns technisch und rechtlich auf sicherem Grund bewegen

  • Aktualisiert am

Seit 2009 Präsident des Bundesamts für Sicherheit in der Informationstechnik: der Mathematiker Michael Hange Bild: dpa

Was bedeutet „Heartbleed“ für die digitale Gesellschaft, was für das Vertrauen in Open Source Software? Und welche Verpflichtungen hat sein Amt gegenüber dem BND? BSI-Präsident Hange im Gespräch.

          Herr Hange, am Mittwoch besuchte Innenminister Thomas de Maizière ihr Bundesamt für Sicherheit in der Informationstechnik. Haben Sie mit ihm über „Heartbleed“ gesprochen?

          Wir haben ihm die Schwerpunkte unseres Bundesamts dargestellt. Wir sprachen über Kryptographie und zu Themen der Zukunftsgestaltung, dazu zählen Cloud Computing und die mobile Kommunikation. Natürlich sprachen wir auch kurz über „Heartbleed“.

          Das BSI stufte „Heartbleed“ als kritisch ein. In dieser Woche sahen sie „weiteren Handlungsbedarf“. Was bedeutet „Heartbleed“ für die digitale Gesellschaft?

          Das betroffene OpenSSL ist eine frei verwendbare Open-Source-Software. Sie hat keinen Hersteller, der zur Verantwortung zu ziehen ist. Wir haben, nachdem der Fehler erkannt wurde, zuerst an Webservices gedacht, darunter auch an die Anwendungen bei kritischen Infrastrukturen und im  Netz der Bundesbehörden. Unsere erste Warnung am Tag der Entdeckung galt den Betreibern der Web- und Mailservices. Die Lücke ist deshalb kritisch, weil sie von außen sichtbar ist und beim tatsächlichen Angriff kaum Spuren hinterließ. Zudem betraf die Lücke einen Sicherheitsmechanismus. Wenn auch die Verschlüsselung technisch nicht selbst betroffen war, so doch die Software, mit der sie verbaut wurde.

          Zeigt „Heartbleed“ nicht auch, dass die Gesellschaft ziemlich unvorbereitet auf derartige Probleme trifft. Die Frage, wer wann handeln musste, war lange unklar. Software musste aktualisiert, Zertifikate erstellt, Schlüssel erzeugt und Passwörter geändert werden – in der richtigen Reihenfolge, im gesamten Internet.

          Das ist ein entscheidender Punkt. Deswegen war es wichtig, die Betreiber direkt anzusprechen. Dass Nutzer ihr Passwort ändern, reichte in der Tat nicht aus. Innerhalb unseres Verantwortungsbereichs, im Regierungsnetz, konnten wir gut reagieren. Darüber hinaus bestanden große Gefahren, auch für kritische Infrastrukturen. Über die Allianz für Cyber-Sicherheit haben wir viele Unternehmen erreicht. Als deutlich wurde, dass „Heartbleed“ nach Bekanntwerden für Angriffe ausgenutzt wurde, haben wir auch eine öffentliche Warnung ausgesprochen.

          Das BSI ist für die Sicherheit des Regierungsnetzes zuständig, es betreibt dieses Netz aber nicht. Wie lange hat die „Heartbleed“-Diagnose gedauert?

          Das Regierungsnetz, für dessen Sicherheit und technische Koordination wir zuständig sind, haben wir sofort überblickt. In einer einstelligen Zahl von Serverinstallationen musste auch nach unserer Warnung nachgelegt werden. Die Angreifbarkeit war gegeben, wir haben aber bisher keine Schäden registriert.

          Hatte nicht jemand Server im Betrieb, von denen sie zuvor nichts wussten?

          Vor Überraschungen sind auch wir nicht sicher. Aber das Netz des Bundes ist so konzipiert, dass es nur zwei Übergänge zum Internet gibt. Die Behörden sind angehalten, auch nur diese zu nutzen. Darüber hinaus betreiben die Ministerien ihre Technik eigenverantwortlich. Für sie gilt allerdings eine Verpflichtung, uns Schadensfälle zu melden. Im Falle von „Heartbleed“ waren im zweistelligen Bereich Projekte mit externen Serveranbietern betroffen.

          Open-Source-Software, wie dem betroffenen OpenSSL, werden besondere Eigenschaften zugeschrieben. Die Software wird nicht aus Profitgründen entwickelt und steht jedem zur Einsicht und zum Einsatz zur Verfügung. Diese Offenheit half gegen „Heartbleed“ nicht. Zwei Jahre blieb die Sicherheitslücke unbemerkt. Überdenken Sie ihre starke Befürwortung der Open-Source-Prinzipien?

          Weitere Themen

          Russischer Ort streitet über Stalin-Statue Video-Seite öffnen

          Aufstellen oder nicht? : Russischer Ort streitet über Stalin-Statue

          Seitdem in der russischen Ortschaft Kusa eine alte Stalin-Statue in einem Teich entdeckt wurde, spaltet sie das Städtchen. Soll sie am alten Ort wieder aufgestellt werden, wie das der kommunistische Aktivist Stanislaw Stafejew fordert? Oder sollte sie lieber ins Museum?

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.