Können Cyberangriffe Börsenkurse steuern oder Autobremsen manipulieren?
Aus einer kleinen Einheit, die aus dem Bundesnachrichtendienst hervorging, hat sich Deutschlands Superbehörde für Cybersicherheit entwickelt. Sie hat rund 700 Mitarbeiter. In seinem ersten Interview spricht der neue Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, über gefährliche Smartphones, ferngesteuerte Autos – und Wirtschaftslenker, die nur langsam erkennen, dass sie schon längst Ziel digitaler Angriffe sind.
Autos, Flugzeuge, Operationssäle – ohne Computer funktioniert heute kaum noch etwas. Das lockt auch Kriminelle. Befürchten Sie, Menschen könnten in Zukunft aufgrund von Cyberattacken ums Leben kommen?
Die Gefahr ist real. In den USA sind bereits Autos gehackt worden. Es ist also nur noch ein kleiner Schritt, bis jemand versucht, Bremsen zu manipulieren. Schwere Unfälle und Todesfälle wären dann möglich. Damit es nicht so weit kommt, beschäftigen sich die Automobilhersteller damit – und das BSI auch.
Was kann bei einem groß angelegten Angriff auf die Infrastruktur im schlimmsten Fall passieren?
Natürlich gibt es das Szenario, bei dem es in Europa nach einem Stromausfall dunkel wird. Dass sich Hacker Zugang zu Atomreaktoren verschaffen und sie zum Explodieren bringen, halte ich allerdings für Quatsch. Und trotzdem: Wir dürfen nicht nur über Digitalisierung reden, sondern brauchen gleichzeitig auch ein Mindestmaß an Cybersicherheit.
Der unveröffentlichten Kriminalstatistik für 2015 zufolge war die Computerkriminalität rückläufig. Wie erklären Sie sich das?
Wenn die Kriminalität zurückginge, wäre das zunächst natürlich ein gutes Zeichen. Wir beobachten bei dieser Deliktgruppe allerdings ein großes Dunkelfeld. Laut einer Umfrage der IHK Norddeutschland wird lediglich jeder zehnte Vorfall zur Anzeige gebracht.
Ist die Frage nicht vielmehr, ob die Polizei überhaupt alle Taten erfasst? Ein Hackerangriff taucht seit 2014 nur noch dann in der Statistik auf, wenn der Hacker auch in Deutschland am Computer saß. Cyberkriminelle agieren oft aus dem Ausland. Wird hier das wirkliche Ausmaß verschleiert?
Es ist nicht meine Aufgabe, der Polizei Ratschläge zu erteilen. Richtig ist, dass Cyberkriminalität nicht an Landesgrenzen haltmacht. Das Lagebild zur Cybersicherheit, das wir jedes Jahr erstellen, bildet viel eher ab, wie groß die Gefahr für die komplexe IT-Sicherheit hierzulande ist. Im vergangenen Jahr haben wir mehr als 430 Millionen Programme gezählt, die Schaden anrichten können. Im ersten Quartal dieses Jahres haben wir 60 Fälle von sogenannter Ransomware, also einer Art digitaler Schutzgelderpressung, registriert. Im Vorjahr gab es dagegen keine entsprechenden Meldungen.
Was macht die digitale Waffe Ransomware so gefährlich?
Arne Schönbohm
Ransomware richtet auf den Systemen der Opfer unmittelbaren Schaden an. Der Täter schleust ein Schadprogramm auf den Computer oder das Smartphone, damit der Nutzer nicht mehr auf seine Daten zugreifen kann. Dann wird Lösegeld gefordert. Was das im Ernstfall bedeutet, hat sich im Februar in Neuss gezeigt, wo die IT eines Krankenhauses auf diese Weise lahmgelegt wurde. Wir müssen damit rechnen, dass erfolgreiche mittelständische Unternehmen häufiger angegangen werden. Ganze Maschinensteuerungsanlagen könnten so außer Gefecht gesetzt werden.
Und diese Form des Angriffs nimmt gerade dramatisch zu?
Bei einer Umfrage innerhalb der Allianz für Cybersicherheit – das ist ein Zusammenschluss aller wichtigen Akteure im Bereich der Cybersicherheit – gab von 500 befragten Unternehmen jedes dritte an, Opfer von Ransomware geworden zu sein, meist über E-Mail-Anhänge. Ein Drittel der betroffenen Firmen sagte, kein Lösegeld bezahlt zu haben. Zwei Drittel ließen die Frage offen.
Wo lauert die Cybergefahr im Alltag?
Smartphones sind das wohl größte Sicherheitsrisiko. 96 Prozent aller Schadsoftware werden in das weitverbreitete Android-Betriebssystem eingeschleust mit dem Ziel, Daten zu stehlen und den Besitzer damit zu erpressen. Das läuft dann nach dem Motto: Gib mir Geld. Ansonsten schädige ich mit den gestohlenen Informationen deinen Ruf. Oder: Sonst bleibt das Handy mit all deinen Fotos verschlüsselt.
Entschlüsseln die Täter denn die Telefone wirklich, wenn man zahlt?
Darauf sollte man sich nicht verlassen. Im Netz ist die Ganoven-Ehre noch begrenzter als in der Realität. Die Empfehlung des BSI ist ganz klar, auf Lösegeldforderungen nicht einzugehen.
Welche Gefahren sehen Sie für Unternehmen?
Exponierte Vorstände und Spitzenmanager sind besonders gefährdet. Wer ihre Smartphones überwacht, kann herausfinden, wo sich die Entscheider aufhalten, wen sie wann treffen. Daraus lässt sich unter Umständen ableiten, ob über eine große Firmenübernahme verhandelt wird. Solche Informationen können an der Börse viel Geld wert sein.
Wer steckt hinter solchen Attacken?
Im Digitalen kann die Herkunft der Attacke leicht verschleiert werden. Als BSI betrachten wir technische Aspekte, die manchmal Anhaltspunkte für den Urheber eines Cyberangriffs sein können, keinesfalls jedoch eine Garantie. Cyberangriffe werden von Kleinkriminellen ebenso durchgeführt wie von der organisierten Kriminalität oder auch staatlichen Akteuren. Nachrichtendienstliche Cyberangriffe lassen sich am schwersten zuordnen. Unsere Aufgabe als BSI ist es, alle Angriffe abzuwehren, egal, aus welcher Himmelsrichtung sie kommen.
Sicherheit kostet Geld. Muss man der Wirtschaft deshalb Sicherheit auch per Gesetz verordnen?
Das IT-Sicherheitsgesetz ist 2015 in Kraft getreten. Unternehmen mit kritischer Infrastruktur – etwa Energieversorger – müssen spezielle Sicherheitsvorkehrungen treffen und Störungen melden. Nun geht es darum, das Gesetz umzusetzen. Wir analysieren die Meldungen und können andere Unternehmen warnen, die auch Ziel einer Attacke werden könnten. Gerade mittelgroße oder kleinere Unternehmen sind noch nicht immer auf dem notwendigen Stand der Technik.
Bevor Sie BSI-Chef wurden, haben Sie das IT-Sicherheitsgesetz heftig kritisiert: Die Kriterien seien zu schwammig, sie würden eine Flut von Meldungen auslösen. Haben sich Ihre Sorgen in Luft aufgelöst?
Als ich das sagte, war das IT-Sicherheitsgesetz noch nicht ausformuliert. Mir ging es vor allem darum, dass nicht nur die Wirtschaft aufrüsten muss, sondern auch der Staat seinen Anteil leistet. Ich finde, dass diese Balance mittlerweile gewährleistet ist.
Sie selbst kommen aus der Wirtschaft, was Ihnen bei der Ernennung durch den Innenminister viel Kritik eingebracht hat. Ihnen wurde zu viel Nähe zur Industrie und mangelnde Fachkompetenz vorgeworfen.
Ich habe mich lange mit der Materie befasst, drei Bücher geschrieben und ein Beratungsunternehmen in diesem Bereich aufgebaut, das zum Beispiel IT-Angriffe auf Großunternehmen – in deren Auftrag – durchgeführt hat. Wenn ich nun die Chance bekomme, selbst gestaltend mitzuwirken, dann will ich das auch tun.
In den USA gab es gerade einen Streit zwischen Apple und dem FBI, weil sich der Softwarekonzern weigerte, das iPhone eines Attentäters zu entsperren. Müssen verschlüsselte Kommunikationsmittel eine Hintertür für staatliche Behörden haben?
Das ist eine schwere Frage, die von der Politik beantwortet werden muss. Als BSI haben wir eine klare Haltung: Zur sicheren Kommunikation im Internet treiben wir uneingeschränkt den Einsatz von Verschlüsselungslösungen voran. Wir empfehlen Bürgern wie Unternehmen, zum Schutz der Privatsphäre und geschäftlich relevanter Informationen Verschlüsselung einzusetzen. Natürlich dürfen Verschlüsselungen, die wir anbieten, keine Hintertüren haben.
Dieses Interview erschien zuerst auf in der Welt.