NSA-Spionage

D: IT-Bundesamt fordert generelle Verschlüsselung

Die Debatte über Ausspähaktionen des US-Geheimdienstes NSA sollte nach Ansicht des Präsidenten des deutschen Bundesamtes für Sicherheit in der Informationstechnologie (BSI) als Weckruf verstanden werden. "Jetzt wird über die NSA diskutiert, aber es geht darum, sich grundsätzlich vor allen Angriffen und vor Informationslecks zu schützen", sagte Michael Hange im Reuters-Interview.

"Sicherheit lebt von der konkreten Erfahrung von Bedrohungsszenarien. Darin liegt jetzt die Chance." Die Bereitschaft wachse, nun in Sicherheit zu investieren. Dies sei dringend nötig. Denn Cyberangriffe - egal welcher Herkunft - seien eine sehr große Gefahr - auch für die Wirtschaft.

BSI-Chef fordert europäische Cloud
Der Chef des BSI, das unter anderem für die Sicherheit des deutschen Regierungsnetzes zuständig ist, betonte die gemeinsame Notwendigkeit für Bürger, Firmen und staatliche Stellen, sich besser zu schützen. "Wir brauchen etwa Transparenz in der Leitungsführung. Telekommunikationsanbieter müssen offenlegen, wie und wo sie ihre Daten übermitteln", forderte Hange. "Die Verschlüsselung, die derzeit nur vereinzelt benutzt wird, muss zudem Standard werden."

Daneben drängt Hange wegen unterschiedlicher nationaler Rechtslagen auf mehr Klarheit über Speicherorte digitaler Daten, die etwa für global agierende US-Konzerne meist in den USA liegen. "Jeder muss wissen und nachfragen, wo seine Cloud steht, also wo Daten gespeichert werden." Nötig sei der Aufbau eines europäischen Cloudnetzes. Es könne nicht sein, dass europäische Firmen von Anbietern außerhalb Europas abhängig seien.

BSI: Empfehlungen werden zu oft ignoriert
Hange beklagte, Diskussionen wie über einzelne Cyberattacken oder nun über vermeintliche Ausspähaktionen der NSA lösten zwar eine kurzfristige Nachfrage nach Sicherheitsprodukten aus. Dieser Effekt sei aber bisher nie nachhaltig gewesen. "Ich wünsche mir, dass die Wirtschaft künftig stärker geprüfte beziehungsweise zertifizierte Krypto-Produkte, Firewalls und sichere Chipkarten Made in Germany einsetzt. Solche Produkte sind verfügbar, müssen aber von der Industrie auch angenommen werden, selbst wenn sie etwas teurer sind."

Das BSI leiste sowohl Bürgern als auch Firmen Hilfestellung, sagte Hange. Nur müsse der Rat auch angenommen werden. So hätten etwa Firmen ein Drittel der Empfehlungen für mehr IT-Sicherheit nicht umgesetzt. "Ein Drittel ist immer noch offen und bietet Angreifern Einfallstore. Seit Dezember 2012 weiß etwa die Telekomfirma Vodafone von Schwachstellen bei Smartphones - dieses Einfallstor ist bis heute nicht geschlossen."

Regierungsnetz nutzt durchgehende Verschlüsselung
Der BSI-Präsident pries das deutsche Regierungsnetz in Sicherheitsfragen als vorbildlich an. Dieses habe einen sehr hohen Sicherheitsstandard, der auch gegen die Angriffe von Nachrichtendiensten ausgelegt sei. "Wir nutzen eine durchgehende Verschlüsselung. Es ist ein fast geschlossenes System mit nur zwei Ein- und Ausgängen, sodass Angriffe besser kontrolliert werden können." 

Zudem gebe es ein regelrechtes Schottensystem, um den Übergang von einem Haus zum nächsten zu kontrollieren. Das BSI registriere zwar eine wachsende Zahl an Angriffen. "Aber wir haben keinen Hinweis, dass ein Angriff irgendwo erfolgreich war." Viele der Erfahrungen könnten Firmen übernehmen. Das BSI setze auf marktgängige Produkte von vertrauenswürdigen Herstellern, ein Teil werde aber selbst entwickelt.

Erneut machte sich Hange auch für eine Meldepflicht von Cyberattacken auf Unternehmen in kritischer Infrastruktur wie Energie stark. "Die Möglichkeit der freiwilligen Meldung im Rahmen der Cyber-Allianz sollte stärker genutzt werden, um ein fundiertes Lagebild zu erreichen." Eine Meldepflicht wie in der Verwaltung sei aber auch sinnvoll, weil sie ein breites Lagebild ermögliche, aus dem dann Mindeststandards für Sicherheitsanforderungen aufgestellt werden könnten. "Schließlich kann bei Cyberangriffen das Gemeinwohl gefährdet sein."