BSI-Präsident: "Cyberangriffe auf kritische Infrastrukturen sind realistisch"

Die Gefahr von Cyberattacken nimmt immer mehr zu. Auch Deutschland ist im Visier von Hackern und ausländischen Mächten. BSI-Präsident Arne Schönbohm erklärt, wie gut Deutschland gewappnet ist.

Im Mai erlangten Hacker Zugang zum Computernetzwerk der US-Großstadt Baltimore: Sie verschlüsselten Daten und legten so die Verwaltung lahm. Als Lösegeld verlangten sie Bitcoins im Wert von damals etwa 100.000 Dollar. Doch Baltimore weigerte sich, zu zahlen. Stattdessen investierte die Stadt in neue Hardware und Sicherheit. Verwaltungseinnahmen fielen durch die Sperre aus. Schätzungen zufolge soll der Angriff die Stadt knapp 18 Millionen Dollar kosten.

Solche Attacken sind heutzutage jederzeit möglich – auch in Deutschland. 2016 legte beispielsweise ein Virus die IT des Krankenhauses in Neuss lahm. Auch hier entstand ein Schaden in Millionenhöhe. Und Mitte Juli wurde bekannt, dass eine Schadsoftware das Netzwerk der Kliniken des Deutschen Roten Kreuzes attackierte.

Daneben warnen Experten vor Angriffen auf Stromkonzerne oder Wasserversorger, die weitreichende Folgen für die Gesellschaft hätten. Erst Anfang Juli hat das Stromunternehmen Innogy darum ein Trainingszentrum in Essen eröffnet, in dem IT-Experten von Stromnetzkonzernen für den Ernstfall üben können. In welcher Gefahr sich Deutschland befindet, wer die Bundesrepublik angreifen könnte und was Bürger selbst für ihre Sicherheit tun können, erklärt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, im Interview mit t-online.de.

t-online.de: Herr Schönbohm, wie groß ist die Gefahr durch Cyberattacken in Deutschland?

Arne Schönbohm: Weltweit gibt es Hunderte Millionen Schadprogramme und jeden Tag kommt eine sechsstellige Anzahl neuer Schadprogramme dazu. Diese richten sich gegen Bürger, Wirtschaft, den Staat und gegen sogenannte Kritische Infrastrukturen. Ziel kann es sein, Infrastrukturen zu sabotieren oder Unternehmen zu erpressen. Ich denke da beispielsweise an das Thema Ransomware, also die Verschlüsselung und damit das Unbrauchbarmachen von Daten, um Lösegeld zu erpressen.

Was ist mit Kritischen Infrastrukturen gemeint?

Darunter verstehen wir Infrastrukturen, die für das Fortbestehen des gesellschaftlichen Lebens in Deutschland von besonderer Bedeutung sind. Dabei kann es sich beispielsweise um Nahrungsproduzenten, Logistik-, Finanz-, oder Telekommunikationsunternehmen sowie Stromerzeuger- und Wasserversorger handeln.

Und welcher dieser Bereiche ist besonders gefährdet?

Da würde ich ungern einen Bereich herausheben, da jede dieser Infrastrukturen wichtig für das gesellschaftliche Leben ist. Stellen Sie sich vor, Sie könnten kein Geld mehr überweisen oder abheben. Oder Internet und Telefon fallen aus. Aber natürlich kann man sagen, dass die Energieerzeugung und -versorgung von besonderer Bedeutung sind. Wenn die ausfallen, sind ja auch viele andere Bereiche betroffen.

Im Bericht von 2018 über die Gefährdungslage auf Kritische Infrastrukturen berichtet der BSI von 145 Meldungen von kritischen Sektoren. Wer steckt hinter diesen Angriffen?

Hierbei ist zu beachten, dass es sich nicht nur um Cyberangriffe handelt. Der größte Teil dieser Meldungen basiert auf Hardware-Ausfällen, Fehlkonfigurationen oder sonstigen Störungen. Teilweise handelt es sich aber tatsächlich um organisierte Kriminalität, wie bei den genannten Ransomware-Attacken. Es können aber auch andere Staaten dahinterstecken.

Andere Staaten? Sind wir etwa im Krieg?

Nein, wir sind nicht im Krieg. Aber es ist davon auszugehen, dass sich verschiedene Staaten auf solche Angriffe auf Kritische Infrastrukturen vorbereiten. Und derartige Angriffe sind durchaus realistisch. Auch Deutschland mit seinen zahlreichen Kritischen Infrastrukturen muss für ein solches Szenario gut vorbereitet sein. Grundsätzlich ist das auch der Fall. Mit dem IT-Sicherheitsgesetz 2.0. sollen insbesondere im präventiven Bereich weitere notwendige Befugnisse für das BSI eingeführt werden.

Haben Sie ein Beispiel für eine Cyberattacke auf wichtige deutsche Einrichtungen?

Auf nationaler Ebene gab es bislang bei Kritischen Infrastrukturen keine nachhaltigen Beeinträchtigungen durch Angriffe. Aber auf einzelne Krankenhäuser unterhalb der KRITIS-Schwelle konnten wir zum Beispiel Ransomware-Attacken beobachten, die erfreulicherweise noch nicht zu nachhaltigen Störungen geführt haben. Ein bekanntes internationales Beispiel für einen solchen Angriff sind die Attacken auf Stromerzeuger in der Westukraine im Dezember 2015 und 2016. Damals waren etwa 200.000 Personen für mehrere Stunden ohne Strom. Ähnliche Attacken sind Angriffe auf sogenannte SCADA-Anlagen. Das sind Anlagen, die industrielle Produktionsanlagen kontrollieren. Da gibt es bestimmte Sabotage-Tools, die mittlerweile im Umlauf sind.

Warum müssen Stromnetze überhaupt ans Internet angeschlossen und so gefährdet sein?

Weder die Produktionsanlagen noch die Stromnetzsteuerung sollten direkt mit dem Internet verbunden sein. Allerdings haben wir mittlerweile eine intelligente Netzsteuerung. Stichwort: Smart-Grid. Früher war es so, dass wir ein paar große Stromerzeuger hatten, die eine hohe Versorgungsstabilität gewährleistet haben. Heute haben wir Tausende, einzelne Energieerzeugungsquellen und beispielsweise Haushalte, die sich flexibel ins Netz einspeisen. Der Vorteil ist, dass die Effizienz, Effektivität und Umweltbilanz bei der Stromerzeugung so steigen. Aber durch die zunehmende Vernetzung gibt es auch mehr Angriffsmöglichkeiten auf Versorger. Dagegen treffen die Unternehmen und wir als BSI mit zahlreichen Maßnahmen Vorsorge.

Inwiefern?

Als Cyber-Sicherheitsbehörde beobachten wir auf der einen Seite die Cybersicherheitslage, erstellen ein Lagebild, können Unternehmen warnen und IT-Sicherheitsmaßnahmen empfehlen. Durch das IT-Sicherheitsgesetz unterliegen KRITIS-Betreiber zudem Meldepflichten und müssen aktuelle IT-Sicherheitsmaßnahmen umsetzen. Auf der anderen Seite können wir auch mit unserem Mobile Incident Response Team (MIRT) helfen, wenn Kritische Infrastrukturen Unterstützung benötigen. Ein Beispiel ist das Krankenhaus in Neuss 2016. Damals wurden durch einen Ransomware-Angriff Daten verschlüsselt und die IT musste heruntergefahren werden. Wir sind dann mit einem Team am Freitagnachmittag ausgerückt und haben Mitarbeiter und Geschäftsführung des Krankenhauses beraten, was in so einem Fall zu tun ist. Die Klinik ging vorbildlich mit dem Fall um, hat große Transparenz geschaffen und sich inzwischen gut aufgestellt.

Kann das BSI auch anderweitig unterstützen, als nur beratend zur Seite zu stehen?

Das ist ein Thema des kommenden IT-Sicherheitsgesetzes 2.0. Bisher können wir nur Ratschläge geben und helfen, wenn wir angefordert werden. Es könnte aber zu Cyberangriffen kommen, die einen erheblichen Kollateralschaden verursachen können – wie ein Angriff auf Stromnetze. Im schlimmsten Fall nehmen dann die Betroffenen unsere Ratschläge nicht an. In diesen Fällen wollen wir in Zukunft anweisen können, dass entsprechende Sicherheitsmaßnahmen umgesetzt werden.

Klingt so, als ob Bürger sich über Angriffe Sorgen machen müssten.

Nein, die Bürgerinnen und Bürger müssen sich im Allgemeinen keine Sorgen um Angriffe machen. Es geht uns darum, die Digitalisierung sicher zu gestalten, sei es für Bürgerinnen und Bürger, sei es für einen starken Wirtschaftsstandort Deutschland, sei es für Kritische Infrastrukturen oder auch die Bundesverwaltung. Für die Verbraucherinnen und Verbraucher stellen wir zum Beispiel mit www.bsi-fuer-buerger.de oder unserer Hotline unmittelbar Tipps und Empfehlungen zur Verfügung.

Wie steht Deutschland denn sicherheitstechnisch im europäischen Vergleich da?

Das ist schwer zu vergleichen, weil in Deutschland Kritische Infrastrukturen in der Regel in privater Hand sind. In anderen Ländern sind sie oft entweder staatlich oder es gibt eine große staatliche Beteiligung. Das heißt, dass es dort andere Möglichkeiten der Einflussnahme und Durchsetzung von Notwendigkeiten gibt. Wir haben in Deutschland allerdings Kompetenzen aufgebaut, an denen sich andere Staaten orientieren und die in die europäische Gesetzgebung eingeflossen sind. Die Informationssicherheit in der Digitalisierung ist das neue "Made in Germany". Zufrieden zurücklehnen können wir uns aber nie. Es bleibt viel zu tun, um das hohe Niveau zu halten.

Was wäre das?

Da gibt es verschiedene Punkte: zum Beispiel, ob unsere aktuellen Ressourcen ausreichen. Denken Sie an das Thema 5G-Aufbau oder Zertifizierung von 5G-Netzwerken und Netzinfrastruktur-Komponenten. Oder Standardisierung und Zulassung im Bereich des automatisierten vernetzten Fahrens.

Sehen Sie durch das Aufkommen von 5G oder dem autonomen Fahren mehr Gefahren für die Zukunft?

Das ist genau eines der Themen, das uns klar vor Augen hält, dass wir die Informationssicherheit in der Digitalisierung gestalten müssen. Je weiter wir digitalisieren, umso mehr Angriffsmöglichkeiten gibt es und umso höher wird das Niveau notwendiger Informationssicherheit. Das sind zentrale Aspekte, an denen wir arbeiten.

Auch das Zuhause wird dank Smart Home immer mehr vernetzt. Dabei besteht ja auch die Gefahr, dass Kriminelle intelligente Geräte im Heim übernehmen können, um ein sogenanntes Botnetz zu bilden. Mit dieser Rechenpower lassen sich dann andere Einrichtungen angreifen. Sind durch unsichere Privathaushalte auch deutsche Infrastrukturen gefährdet?

Darüber müssen wir uns in der Tat klar werden: Jedes mit dem Internet verbundene Gerät kann für einen Angriff missbraucht werden. Botnetze aus Geräten des Internets der Dinge können Überlastungsangriffe (DDoS-Angriffe, Anm. d. Red.) durchführen, sie können Spam-Mails verschicken oder zum Errechnen von Krypto-Währungen missbraucht werden. Ein bekanntes Beispiel dafür ist das Mirai-Botnetz. Diese Schadsoftware hatte 2016 rund eine Million Router der Telekom angegriffen und lahmgelegt.

• Digitalrat-Experte im Gespräch: "Uns geht es viel zu gut"
• Sicherheitsexperte: "Smarte Geräte erschaffen eine Welt voller Probleme"
• Kanzleramtschef im Interview: "Es muss Schluss sein mit den Funklöchern"

Wie können Nutzer sich vor solchen Angriffen schützen?

Zum einen sollten sie auf ihren Geräten immer aktuelle Sicherheitspatches aufspielen. Das gilt für Smartphones, aber auch Smart-Home-Geräte selbst. Zum anderen sollten Nutzer immer das Standardpasswort der Geräte ändern. Und: Anwender sollten kontrollieren, welche Daten aus dem Smart Home tatsächlich abfließen. Botnetze wie das Mirai-Botnetz machen sich dadurch bemerkbar, dass Geräte nach außen kommunizieren, obwohl sie das gar nicht sollten. Das ist ein guter Hinweis dafür, dass eine Fremdsteuerung vorliegt.

Den Datenverkehr prüfen? Ist das nicht ein wenig zu viel verlangt vom Otto-Normal-Nutzer?

Ja, das ist relativ komplex. Aber damit sich solche Angriffe wie mit dem Mirai-Botnetz nicht wiederholen, arbeiten wir intensiv an einem sogenannten IT-Sicherheitskennzeichen. Die Pläne dazu wurden Ende 2018 vorgestellt und basieren auf technischen Richtlinien des BSI. Für Heimnetz-Router haben wir eine solche Richtlinie bereits erarbeitet. Auf diese Weise sollen Kunden beim Kauf von mit dem Internet verbundenen Geräten – zum Beispiel einer Waschmaschine – anhand eines solchen Labels sofort erkennen können, welche Sicherheitsfunktionalitäten, beispielsweise die Update-Fähigkeit, ein solches Gerät enthält. Das ist quasi wie ein elektronischer Beipackzettel.

Herr Schönbohm, vielen Dank für das Gespräch.