Netzpolitik
08.08.2013

BSI-Chef für generelle Verschlüsselung

Die Debatte über Ausspähaktionen des US-Geheimdienstes NSA sollte nach Ansicht des Präsidenten des deutschen Bundesamtes für Sicherheit in der Informationstechnologie (BSI) als Weckruf verstanden werden. Bisher habe es in Deutschland keine erfolgreichen Angriffe auf Regierungsnetze gegeben.

„Jetzt wird über die NSA diskutiert, aber es geht darum, sich grundsätzlich vor allen Angriffen und vor Informationslecks zu schützen", sagte Michael Hange im Reuters-Interview. „Sicherheit lebt von der konkreten Erfahrung von Bedrohungsszenarien. Darin liegt jetzt die Chance." Die Bereitschaft wachse, nun in Sicherheit zu investieren. Dies sei dringend nötig. Denn Cyberangriffe - egal welcher Herkunft - seien eine sehr große Gefahr auch für die deutsche Wirtschaft. Der Chef des BSI, das unter anderem für die Sicherheit des deutschen Regierungsnetzes zuständig ist, betonte die gemeinsame Notwendigkeit für Bürger, Firmen und staatliche Stellen, sich besser zu schützen. „Wir brauchen etwa Transparenz in der Leitungsführung.

Telekommunikationsanbieter müssen offenlegen, wie und wo sie ihre Daten übermitteln", forderte Hange. „Die Verschlüsselung, die derzeit nur vereinzelt benutzt wird, muss zudem Standard werden."

Daneben dringt Hange wegen unterschiedlicher nationalen Rechtslagen auf mehr Klarheit über Speicherorte digitaler Daten, die etwa für global agierende US-Konzerne meist in den USA liegen. „Jeder muss wissen und nachfragen, wo seine Cloud steht, also wo Daten gespeichert werden." Nötig sei der Aufbau eines europäischen Cloudnetzes. Es könne nicht sein, dass europäische Firmen von Anbietern außerhalb Europas abhängig seien.

Hange beklagte, Diskussionen wie über einzelne Cyberattacken oder nun über vermeintliche Ausspähaktionen der NSA lösten zwar eine kurzfristige Nachfrage nach Sicherheitsprodukten aus. Dieser Effekt sei aber bisher nie nachhaltig gewesen. „Ich wünsche mir, dass die Wirtschaft künftig stärker geprüfte beziehungsweise zertifizierte Krypto-Produkte, Firewalls und sichere Chipkarten Made in Germany einsetzt. Solche Produkte sind verfügbar, müssen aber von der Industrie auch angenommen werden, selbst wenn sie etwas teurer sind."

Hilfestellung
Das BSI leiste sowohl Bürgern als auch Firmen Hilfestellung, sagte Hange. Nur müsse der Rat auch angenommen werden. So hätten etwa Firmen ein Drittel der Empfehlungen für mehr IT-Sicherheit nicht umgesetzt. „Ein Drittel ist immer noch offen und bietet Angreifern Einfallstore. Seit Dezember 2012 weiß etwa die Telekomfirma Vodafone von Schwachstellen bei Smartphones. Das dementiert Vodafone jedoch, lediglich einige ältere EasyBox Router könnten noch eine Schwachstelle aufweisen. Eine Bedrohung sei jedoch nur gegeben, wenn Nutzer ihre WLAN Zugangsdaten nicht wie empfohlen geändert haben. Ein Update soll bald folgen.

Der BSI-Präsident pries das deutsche Regierungsnetz in Sicherheitsfragen als vorbildlich an. Dieses habe einen sehr hohen Sicherheitsstandard, der auch gegen die Angriffe von Nachrichtendiensten ausgelegt sei. „Wir nutzen eine durchgehende Verschlüsselung. Es ist ein fast geschlossenes System mit nur zwei Ein- und Ausgängen, so dass Angriffe besser kontrolliert werden können." Zudem gebe es ein regelrechtes Schottensystem, um den Übergang von einem Haus zum nächsten zu kontrollieren.

Keine erfolgreichen Angriffe
Das BSI registriere zwar eine wachsende Zahl an Angriffen. „Aber wir haben keinen Hinweis, dass ein Angriff irgendwo erfolgreich war." Viele der Erfahrungen könnten Firmen übernehmen. Das BSI setze auf marktgängige Produkte von vertrauenswürdigen Herstellern, ein Teil werde aber selbst entwickelt.

Erneut machte sich Hange auch für eine Meldepflicht von Cyberattacken auf Unternehmen in kritischer Infrastruktur wie Energie stark. „Die Möglichkeit der freiwilligen Meldung im Rahmen der Cyber-Allianz sollte stärker genutzt werden, um ein fundiertes Lagebild zu erreichen." Eine Meldepflicht wie in der Bundesverwaltung sei aber auch sinnvoll, weil sie ein breites Lagebild ermögliche, aus dem dann Mindeststandards für Sicherheitsanforderungen aufgestellt werden könnten. „Schließlich kann bei Cyber-Angriffen das Gemeinwohl gefährdet sein."

Mehr zum Thema

  • Die NSA-Debatte und EU-Datenschutz-Initiativen
  • Zusammenarbeit BND & NSA "nicht schlimm"
  • BND bestätigt Datenweitergabe an NSA
  • BND übermittelte NSA Metadaten in großem Stil
  • Bundesanwaltschaft will Auskunft zu NSA