Experten im Dialog

Arne Schönbohm über Informationssicherheit

Wie ist es um die IT- und Cybersicherheit in Deutschland bestellt?

Wir sind in Deutschland gut aufgestellt und brauchen auch Vergleiche mit den Nationen nicht zu scheuen, die von Vielen als Vorreiter in der Digitalisierung genannt werden, wie etwa Estland oder Israel. Richtig ist aber auch, dass man eine hundertprozentige Sicherheit nicht garantieren kann. Die Gefährdungslage ist sehr dynamisch, beinahe täglich kommen neue Bedrohungen hinzu, gegen die wir uns wappnen müssen. Für die Bundesverwaltung gelten in Bezug auf die IT-Sicherheit die Standards des Umsetzungsplan Bund von 2017. Auf Landes- und Kommunalebene bestehen jeweils eigene Vorgaben. Unterschiede gibt es beispielsweise bei den Rechenzentren oder externen IT-Dienstleistern, die in die Infrastruktur einbezogen sind. Das Ziel: Erkennbare Gefahren bereits abfangen, bevor sie mit den Endnutzern in Berührung kommen.

Die fortschreitende Digitalisierung bewirkt die zunehmende Vernetzung aller Verwaltungsebenen – die Aufrechterhaltung der Cyber-Sicherheit ist eine der Voraussetzungen für deren Erfolg. Ein wesentliches Element ist dabei die ebenenübergreifende Zusammenarbeit der IT-Sicherheitsverantwortlichen, die auf Basis eines vertrauensvollen Informationsaustausches die gemeinsame Abwehr von Cyberangriffen ermöglicht und zur Reduzierung der Folgen von IT-Sicherheitsvorfällen beiträgt.

Wo sehen Sie aktuell die größten Bedrohungen?

Angreifer gehen immer häufiger stufenweise vor und schneiden Angriffe auf das jeweilige Opfer zu. Cyber-Angriffe mit der Schadsoftware Emotet haben insbesondere zum Jahreswechsel 2019/2020 erhebliche Schäden in der deutschen Wirtschaft, aber auch bei Behörden und anderen Organisationen verursacht. Emotet lädt auf infizierten Systemen weitere Schadsoftware nach – je nachdem, welche Angriffsmöglichkeiten und welches „Opferpotential“ die Täter sehen. Stellen sie etwa fest, dass sie mit einer Verschlüsselung von Daten große Teile der Organisation lahmlegen könnten und es sich um ein zahlungskräftiges Unternehmen handelt, rollen sie Ransomware aus, um Lösegeld zu erpressen.

Die Gefahr durch Emotet ist anhaltend hoch. Neben technischen Schutzmaßnahmen ist auch die Sensibilisierung und Umsicht der Mitarbeitenden entscheidend, etwa in Bezug auf den Umgang mit E-Mails, die häufig als Einfallstor genutzt werden. Vor allem Wissensvermittlung und Aufklärung sind hier wichtige Gegenmaßnahmen. Werden technische und organisatorische IT-Sicherheitsmaßnahmen – zum Beispiel im Rahmen der Anwendung des IT-Grundschutz des BSI – konsequent umgesetzt, kann das Ausmaß an Schäden bei einer Infektion geringgehalten werden. Es lohnt sich also, in IT-Sicherheit zu investieren.

Überwiegt die Gefahr durch Kriminelle oder ist es schlicht Nachlässigkeit bei den Nutzern?

Die Angriffe werden immer besser und komplexer, so dass man den Nutzern häufig keinen Vorwurf machen kann. Dennoch sind auch die Anwender ein wichtiger Teil eines IT-Sicherheitskonzepts. Die Abwägung auf Seiten der Angreifer, ob sich ein Angriff lohnt, beinhaltet wahrscheinlich neben dem eigenen Aufwand auch die angenommenen Schutzmaßnahmen des Opfers sowie die Schutzwürdigkeit beziehungsweise den Wert der Daten.

Hier sind Verwaltungen oft in einer schwierigen Situation. Anders als Firmen können sie ihren Betrieb natürlich nicht einfach einstellen. Sie sind gezwungen, verlorene Daten entweder selbst wiederherzustellen oder durch Lösegeldzahlungen zurückzukaufen, um ihren öffentlichen Auftrag zu erfüllen. Letzteres scheint dann oft der leichtere Weg, schadet allerdings langfristig allen öffentlichen Verwaltungen. Das BSI rät daher von Lösegeldzahlungen ausdrücklich ab.

Lassen Sie uns einen Blick auf die Methoden werfen. Wie haben sich die Angriffswege geändert?

Durch das opportunistische Vorgehen werden schon viele Opfer erreicht. Bei lohnenswerteren Zielen setzen die Täter aber auch maßgeschneiderte Angriffsvektoren und Angriffswerkzeuge ein. Dabei nutzen die Täter häufig „Social Engineering“-Techniken zur Verbreitung der Angriffe. Social Engineering bedeutet, dass man sich vorab mit den Opfern und deren jeweiligen Umständen befasst und so mögliche Angriffspunkte sucht.

Dadurch können Angreifer nicht nur Absenderadressen von E-Mails fälschen, sondern auch vermeintliche, inhaltlich sinnvolle Antworten auf zuvor ausgespähte E-Mails an die Kommunikationspartner senden. Die bekannten Betreffzeilen und zitierten E-Mail-Inhalte tatsächlich vorausgegangener Kommunikation lassen die Spam-Mails für die Empfänger authentisch erscheinen und verleiten sie dazu, angehängte schädliche „Köder“-Dokumente zu öffnen und so die Tür für die Schadsoftware zu öffnen.

Was sollten Bürgermeisterinnen und Bürgermeister bzw. Verantwortliche unternehmen, um ein hohes Schutzniveau zu gewährleisten?

Die Verantwortlichen in den Kommunen müssen im Wesentlichen drei Dinge tun: 1. Sie müssen verstehen und verinnerlichen, dass eine erfolgreiche Digitalisierung ohne angemessene Informationssicherheit scheitern wird. 2. Sie müssen die notwendigen Investitionen tätigen. Cyber-Sicherheit ist kein lästiger Kostenblock, sondern eine notwendige Investition in die Handlungs- und Zukunftsfähigkeit der Kommune. Und 3. sollten sie dafür sorgen, dass sich Fachleute um die Cyber-Sicherheit der kommunalen Systeme kümmern. Eine Auflistung zertifizierter IT-Sicherheitsdienstleister ist auf der BSI-Webseite abrufbar.

COVID-19 wirkt in mancher Hinsicht als Katalysator – etwa durch mehr Homeoffice oder Video-Konferenzen. Hat sich die Sicherheitslage dadurch verändert?

Wir haben schon ziemlich früh, Anfang April, eine Reihe von Empfehlungen veröffentlicht, zum Beispiel für mehr IT-Sicherheit im Homeoffice oder zum Thema Videokonferenzen. Dafür haben wir sehr positives Feedback bekommen, denn sehr viele Menschen, aber auch viele Behörden und Unternehmen, mussten sich sehr schnell auf die veränderte Situation einstellen. Es war wichtig, die Cyber-Sicherheit dabei möglichst von Anfang an zu berücksichtigen, und unsere Empfehlungen haben dabei geholfen.

Gleichzeitig gab es auch auf Seiten der Cyber-Angreifer Aktivitäten mit Corona-Bezug. Die ersten Angriffsversuche und Methoden unter Verwendung des Themas COVID-19 ließen leider nicht lange auf sich warten. Neu ist das nicht, denn jedes aktuelle Thema oder Ereignis von öffentlichem Interesse lässt Cyber-Kriminelle neue Geschichten erfinden, um diese Themen für ihre Zwecke zu missbrauchen.

Das Online-Zugangsgesetz verspricht einen Digitalisierungsschub für die Verwaltung. Werden Kommunen dadurch verletzlicher?

Im Rahmen des Online-Zugangsgesetzes sind die Kommunen bei den jeweiligen Fachverfahren an Auflagen gebunden. Diese Anforderungen helfen, aus der eher heterogenen Landschaft der IT-Sicherungssysteme einheitlichere Teilgebiete zu schaffen. Dadurch kann eine hohe Sicherheit in den Fachanwendungen erreicht werden. Und sowohl Kommunen als auch die Bürgerinnen und Bürger können von einem sicheren Digitalisierungsschub profitieren.

Verwaltung und die Blockchain – sehen Sie hier Ansätze für neue und sichere Verwaltungsprozesse?

Es gibt diverse potenzielle Anwendungsmöglichkeiten der Blockchain-Technologie in der öffentlichen Verwaltung. So können zum Beispiel Daten effizienter innerhalb einer Verwaltung und zwischen Verwaltungen ausgetauscht, Daten-Dopplungen reduziert und Transaktionskosten gesenkt werden. Blockchain kann Verwaltungsprozesse transparenter, partizipativer und nachvollziehbarer für die Bürgerinnen und Bürger machen. Das BSI beschäftigt sich schon länger mit diesem Thema und hat dazu umfassende Informationen, Analysen und Empfehlungen veröffentlicht.

Was sind Ihre drei wichtigsten Empfehlungen an die kommunalen Verantwortungsträger in Bezug auf Sicherheit und Zukunftsfähigkeit?

1. Wer erfolgreiche Digitalisierung will, muss Informationssicherheit von Anfang an mitdenken. 2. Cyber-Sicherheit ist kein Kostenfaktor, sondern eine sinnvolle Investition in eben diese Zukunftsfähigkeit. 3. Das BSI ist auch für die Kommunen ein kompetenter Ansprechpartner in Fragen der Informationssicherheit. Mit dem IT-Grundschutz stellen wir Methodik und Maßnahmen, die auch für Kommunen individuell umsetzbar sind. Einen einfachen Zugang zu diesem Thema bekommt man durch das IT-Grundschutzprofil für Kommunen: Die „Basis-Absicherung Kommunalverwaltung“ wurde von einer kommunalen Arbeitsgruppe mit Unterstützung des BSI erstellt. Darüber hinaus bieten wir Kommunen mit der Allianz für Cyber-Sicherheit eine kostenlose Plattform, die mit verschiedenen Angeboten dazu beiträgt, die Informationssicherheit in den Kommunen und Verwaltungen zu stärken.

Was entspannt Sie, wenn Sie sich gerade nicht mit drängenden Fragen der IT-Sicherheit beschäftigen?

Bonn und Umgebung haben einiges zu bieten, was Kultur und Freizeitaktivitäten betrifft. Zusammen mit meiner Familie nutze ich diese Möglichkeiten oft und gerne. Darüber hinaus nehme ich gerne auch ein gutes Buch zur Hand, streame einen spannenden Film und spiele sehr gerne Tennis.

Herr Schönbohm, vielen Dank für das Gespräch.


Weiterführende Informationen

Hier geht es zum BSI und seinem umfangreichen Informationsangebot:
https://www.bsi.bund.de/DE/Home/home_node.html

Die ekom21 hält eine Menge Tools für IT-Sicherheit und Datenschutz bereit:
https://www.ekom21.de/loesungen/~themen/~it-services/~it-sicherheit-und-datenschutz/

Spannendes Interview mit Hessens Innenminister Peter Beuth zur IT-Sicherheit:
https://www.ekom21.de/:download/infocenter/mediathek/kundenzeitschrift/kundenzeitung-einfo21-02-2020.pdf?cid=2e4