Fünf Fragen an Michael Hange, Präsident des Bundesamts für Sicherheit in der Informationstechnik
Hannover. Die Cyber-Kriminalität boomt wie nie zuvor. Deutschlands oberster Chef für die Sicherheit im Internet, BSI-Präsident Michael Hange, stellt dazu auf der Computermesse Cebit die neuesten Trends vor.
Hamburger Abendblatt:
Auf deutsche Unternehmen werden laut Bundeskriminalamt täglich 30.000 Cyber-Angriffe gestartet. Das sind elf Millionen im Jahr. Jetzt will der Gesetzgeber dafür eine Meldepflicht einführen. Gibt es nicht schon genug Bürokratie für die Wirtschaft?
Michael Hange:
Kritische Infrastrukturen etwa im Banken-, Energie-, Logistik-, Telekommunikations- oder Medienunterbereich sind nicht nur Sache der Unternehmen selbst. Denn hinsichtlich deren Sicherheit geht es um das Gemeinwohl. Inzwischen sind insgesamt 28 Branchen identifiziert, an die besondere Anforderungen in Form von Mindeststandards zu stellen sind. Mit übertriebener Bürokratie hat das nichts zu tun. Schließlich sollen dem Bundesamt für Sicherheit in der Informationstechnik künftig lediglich Attacken mit erheblichen Auswirkungen gemeldet werden – wie dies bereits in der Bundesverwaltung geschieht.
Ein Entwurf für ein entsprechendes IT-Sicherheitsgesetz liegt bereits seit einem Jahr vor. Warum lässt sich die Bundesregierung mit dem Vorhaben so viel Zeit?
Hange:
Die neue Bundesregierung hat sich im Koalitionsvertrag auf ein IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen verständigt. Viele Unternehmen wollen keine Meldung von Schadensfällen. Hier ist ein Kulturwechsel nötig. Wir brauchen belastbare Daten zu Cyberangriffen. Nur wenn man die Anzahl und ihre Qualität kennt, kann man Mindeststandards für eine bessere Sicherheit entwickeln.
Ihre Behörde hat im vergangenen Jahr dank der NSA-Affäre so oft in den Schlagzeilen gestanden wie nie zuvor. Sind Sie indirekt ein Profiteur der amerikanischen Ausspähpraxis?
Hange:
Die NSA-Affäre ist jedenfalls ein Weckruf für Deutschland. Der Öffentlichkeit wurde bewusst, dass es ein Bedrohungspotenzial gibt – nicht nur im kriminellen, sondern auch im nachrichtendienstlichen Bereich. Vieles, was man sich bislang theoretisch vorstellen konnte, ist offenbar längst Realität.
Als eine Konsequenz aus der NSA-Affäre wird über die Schaffung eines europäisches Internets diskutiert. Wie realistisch halten Sie ein „schengen.net“?
Hange:
Die Forderung eines europäischen Internets ist nicht realistisch. Wichtig wäre aber, Kommunikationsinhalte künftig stärker zu verschlüsseln und den Speicherort der Metadaten transparenter zu machen. In den USA stehen diese Daten, mit denen sich beispielsweise Bewegungsprofile erstellen lassen, nicht unter dem gleichen Schutz wie in Deutschland. Ebenso verhält es sich mit den Standorten von Cloud-Rechenzentren, die in den USA anderen Datenschutzregeln unterworfen sind.
Am heutigen Montag stellen Sie auf der Cebit das aktuelle Lagebild zur Cyber-Sicherheit in Deutschland vor. Was sind die wichtigsten Entwicklungen?
Hange:
Cyber-Angriffe sind für Internetkriminelle höchst attraktiv. Die Täter können viel zu selten ermittelt werden, weil sie international arbeitsteilig agieren und mit gefälschten Absendeadressen operieren. Die Untergrundökonomie boomt regelrecht. In Deutschland gab es 2013 allein 2200 DDos-Attacken, also Angriffe im Internet, mit denen Webserver und Netzwerke lahmgelegt werden können. Solche kriminellen Dienstleistungen kann man sehr günstig einkaufen, eine Stunde kostet gerade mal fünf Dollar. Daneben sind mittlerweile monatlich weltweit sieben Millionen neue Varianten von Schadprogrammen im Umlauf. Global sind ferner 1200 Bot-Netze geschaltet, mit denen Computer ohne Wissen der Inhaber ferngesteuert werden können.