München – Der Name ist sperrig: Bundesamt für Sicherheit in der Informationstechnik, kurz: BSI. Die Bedeutung der Bonner Behörde ist in den vergangenen Jahren aber extrem gewachsen: Das BSI ist für die Cybersicherheit in Deutschland zuständig. Viele Jahre leitete Arne Schönbohm das BSI, Ende 2022 wurde er von Bundesinnenministerin Nancy Faeser (SPD) versetzt. Seit Juli 2023 ist Claudia Plattner BSI-Präsidentin. Wir sprachen mit ihr über Lücken in der IT-Sicherheit – und wie sich jeder selbst schützen kann.
Als BSI-Präsidentin kennen Sie die Bedrohungslage in Deutschland so gut wie sonst kaum jemand. Leben Sie seit Ihrem Amtsantritt in permanenter Angst, Ihr privates Handy oder Ihr Computer könnten gehackt werden?
Nein, das auf keinen Fall. Aber ich gehe natürlich sehr bewusst mit dem Thema Informationssicherheit um. Ich kümmere mich beispielsweise um vernünftige Passwörter und nutze fast ausschließlich Apps und Services mit Zwei-Faktor-Authentifizierung.
Das heißt?
Die Zwei-Faktor-Authentifizierung kennen viele vom Online-Banking: Das ist eine zweistufige Überprüfung des Nutzers und kann zum Beispiel bedeuten, dass der Anbieter, bei dem Sie sich anmelden möchten, nach der Passworteingabe noch einen Bestätigungscode an ein weiteres Ihrer Geräte sendet, zum Beispiel Ihr Smartphone. Der zweite Faktor kann aber auch Ihr Fingerabdruck auf einem entsprechenden Sensor oder die Verwendung einer Chipkarte sein: Nur, wenn sich auch dieses Mittel zur Identitätsbestätigung in Ihrem Besitz befindet, können Sie den Dienst benutzen. Da muss ein Angreifer schon viel tun, um das auszuhebeln.
Wie behält man bei den ganzen Passwörtern den Überblick?
Wir empfehlen Passwort-Manager, das macht das Leben leichter und sicherer. Ich nutze das seit Jahren, man gewöhnt sich schnell daran. In Zukunft werden wir aber auch neue Methoden sehen – zum Beispiel eine gut abgesicherte biometrische Erkennung, etwa durch Fingerabdrücke oder Gesichtserkennung. Was ich übrigens auch regelmäßig auf meinem Handy mache: Ich entferne Apps, die ich nicht nutze.
Warum?
Im Zweifelsfall bekommen Apps mit, was ich auf meinem Handy mache. Je weniger Apps auf dem Handy installiert sind, desto weniger Daten fließen ab. Generell gilt: Jede App ist immer auch ein potenzielles Einfallstor für Angreifer – vor allem, wenn sie kein regelmäßiges Update bekommt. Insoweit ist es sinnvoll, Apps vom Handy zu entfernen, die man nicht braucht.
Wie sieht es mit der Sicherung von Dateien, etwa Fotos aus? Machen Sie das?
Ja. Meine Handydaten sichere ich mindestens einmal im Jahr, auch Dateien auf dem Rechner sichere ich.
Was gilt für Privatnutzer?
Regelmäßige Back-ups sollte jeder machen. Am einfachsten ist die Sicherung der Daten in der Cloud, hier gibt es verschiedene Anbieter. Natürlich lassen sich Daten auch auf einer externen Festplatte sichern. Aber geht diese verloren, sind die Daten weg.
Erkennen Sie eine betrügerische E-Mail oder Whats-App-Nachricht sofort?
Ich wünschte, ich könnte das von mir behaupten. Aber leider ist das nicht so. Diese Betrugsmaschen werden ja immer besser. Beim nigerianischen Prinzen, der mir angeblich Geld überweisen wollte, wenn ich ihm davor Geld überweise, war es relativ leicht, den Betrug dahinter zu erkennen. Aber ich habe auch schon E-Mails bekommen, die täuschend echt aussahen und von denen ich wirklich nicht direkt wusste, ob sie echt waren oder gefälscht.
Wie haben Sie reagiert?
Ich hab’ die Mails sicherheitshalber gelöscht. Es ist auch keine Schande, wenn jemand Opfer einer Betrugsmasche wird, das kann jedem passieren. Wichtig ist mir, dass sich jeder bewusst ist, dass es diese Maschen gibt. Ich rate jedem zur Wachsamkeit.
Was macht das Erkennen von Betrugsmaschen so kompliziert?
Auch dank Künstlicher Intelligenz werden die Betrugsmaschen immer schwieriger zu durchschauen: Sprachlich sind betrügerische Mails oder Kurznachrichten inzwischen auf einem hohen Niveau und anders als früher frei von Rechtschreibfehlern. Außerdem sind Betrüger dazu übergegangen, Informationen über ihre Opfer zu sammeln. Damit lassen sich personalisierte E-Mails erzeugen, und auf einmal ist das, was aussah wie eine Telefonrechnung, am Ende eben doch keine Telefonrechnung.
Welche Muster beobachten Sie bei Angriffen auf Unternehmen?
Hier geht es meist darum, jemanden aus dem Unternehmen dazu zu bringen, Geld zu überweisen. Die zweite Masche ist, Mitarbeiter auf gefälschte Internet-Seiten zu locken. Damit schaffen die Täter ein Einfallstor, um Schadsoftware ins Firmennetzwerk einzuschleusen.
Wie können sich Betriebe schützen?
Auch Firmen raten wir zu Maßnahmen wie der Zwei-Faktor-Authentifizierung. Zudem sollte immer mit neuesten Software-Versionen gearbeitet werden. Und ganz wichtig: Die Mitarbeiter müssen sensibilisiert werden, nicht auf alles zu klicken.
Was droht im schlimmsten Fall?
Sehr plakativ ist der Angriff auf die Südwestfalen IT, einen kommunalen IT-Dienstleister in Nordrhein-Westfalen. Dort wurden ganz hinten in der Nahrungskette die IT-Netzwerke lahmgelegt. Vorne in der Kette konnte auf den Standesämtern nicht mehr geheiratet werden, in den Zulassungsbehörden wurden wäschekörbeweise die Anträge für die Kfz-Zulassung durch die Gegend getragen. Jetzt kann man sich vorstellen, dass es durchaus bedrohlichere Szenarien gäbe.
Welche wären das?
Ein Angriff auf die kritische Infrastruktur zum Beispiel – seien es Stromnetze, seien es große Telekommunikationsnetze. In der Ukraine gab es solche Cyberangriffe auf die Infrastruktur bereits als Teil der russischen Kriegsführung. In Deutschland sehen wir bisher vor allem Kriminalität und Propaganda im Netz. Von einem großen Angriff sind wir bisher zum Glück verschont geblieben.
Eigentlich ist das doch fast verwunderlich. Deutschland wirkt mit seinem Zuständigkeitswirrwarr zwischen Bund, Ländern und etlichen Behörden in Fragen der IT-Sicherheit oft etwas überfordert.
Klar ist, dass wir uns auf jeden Fall noch deutlich besser aufstellen müssen. Die Diskussion um die Kompetenzen zwischen Bund und Ländern gibt es ja schon lange.
Aber wie sieht die Lösung aus?
Im Krisenfall sind drei Dinge wichtig: Sofort alle Informationen verfügbar haben, schnell ins Handeln kommen und dieses Handeln koordinieren. Wenn durch einen Cyberangriff in München und Hamburg gleichzeitig die Lichter ausgehen, müssen wir sofort gemeinsam handeln können. Das ist aber in wichtigen Aspekten zurzeit nicht möglich: Eine regelmäßige beziehungsweise dauerhafte oder gar institutionalisierte Unterstützung der Länder durch das BSI ist verfassungsrechtlich nicht möglich. Zusammenarbeiten dürfen wir aktuell nur ausnahmsweise und punktuell, und noch dazu erst dann, wenn einer schon am Boden liegt. Das müssen wir ändern, mit dem BSI in der Rolle als Zentralstelle für Cybersicherheit im Bund-Länder-Verhältnis.
Wie gehen Sie mit dem Spagat um, einerseits Sicherheitslücken zu schließen, während Ermittlungsbehörden Lücken gerne für ihre Zwecke nutzen?
Wir als BSI kommen – wie der Name schon sagt – aus der Sicherheitsecke. Unsere Position ist daher sehr klar und eindeutig: Wir müssen Schwachstellen schließen, und zwar so schnell wie möglich. Jede Schwachstelle, die existiert, kann und wird immer gegen uns verwendet werden.
Ist diese Botschaft bei den Sicherheitsbehörden schon angekommen?
Das müssen Sie die Sicherheitsbehörden fragen. Aber im Ernst: Wir sind natürlich nicht naiv, wir leben als BSI auch in der Realität. Am Ende obliegt es der Politik, da eine gute Abwägung zu finden.
Sie sind Mathematikerin, während Ihres Studiums haben Sie auch Kurse in Informatik belegt. Wie sind Sie zum Programmieren gekommen?
Im Alter von 13 Jahren habe ich das Programmieren angefangen. Mein Vater hatte mir in den 80er-Jahren einen Rechner mitgebracht: ein riesiger Klotz, grüner Bildschirm, Tastatur und Rechner in einem. 30 bis 40 Kilo hat das Teil gewogen. Und es war mein Vater, der mir die ersten Programmierschritte beigebracht hat – in Basic. Zwar gab es damals erste simple Computerspiele, aber Programmieren hat mir mehr Spaß gemacht – das gilt bis heute.
Sie programmieren noch?
Ja. Für mich gibt es kaum etwas Entspannenderes, als am Wochenende einfach mal ein paar Stunden Zeit zu haben, um am Computer etwas Neues auszuprobieren.
Was haben Sie zuletzt programmiert?
Wir als BSI agieren natürlich nach Recht und Gesetz. Aufgaben und Rollen des BSI sind durch relativ viele Gesetze geregelt. Vor einiger Zeit habe ich mir eine kleine Applikation geschrieben, die mir alle Gesetze mit BSI-Bezug binnen Sekunden liefern kann. Dann habe ich mir überlegt, dass ich gerne eine KI für diese Anwendung hätte. Damit könnte ich die KI fragen, wo ich welches Gesetz zu dieser und jener Thematik finde. Also habe ich kürzlich an einem Wochenende mein Programm mit allen deutschen Gesetzestexten angefüttert. Jetzt liegen alle Gesetze auf einer Festplatte und meine KI beantwortetet mir Fragen dazu.
Dann kann man nur hoffen, dass Ihre KI intelligent genug ist und Ihnen immer die korrekten Gesetzestexte liefert – nicht, dass das BSI auf einmal doch nicht mehr so ganz nach Recht und Gesetz arbeitet.
(lacht) Deswegen ist es ja auch so wichtig, dass am Ende immer der Mensch die Hoheit behält und man die KI nicht einfach machen lässt. Die Künstliche Intelligenz entbindet uns nicht von der Pflicht, unsere natürliche Intelligenz zu nutzen. Man muss wachsam und kritisch bleiben, die Entscheidung trifft am Ende immer noch der Mensch.
Ihr Vorgänger im Amt des BSI-Präsidenten war Betriebswirt und hatte eine klassische Verwaltungskarriere eingeschlagen. Hilft es Ihnen in Ihrer Position, vom Fach zu sein?
Keine Frage, mir hilft das natürlich. Das heißt aber nicht, dass das eine notwendige Voraussetzung ist, eine solche Behörde zu leiten.
Arne Schönbohm war Beamter, Sie sind auf Basis eines außertariflichen Vertragsverhältnisses beschäftigt. Schwächt das nicht Ihre Gestaltungsmöglichkeiten, wenn Sie sich auf einer Art Schleudersitz befinden?
Nein, ganz und gar nicht. Und falls jemand mich auf dieser Position nicht mehr für die Richtige hält, mache ich eben wieder etwas anderes. Egal ob ich Beamtin, politische Beamtin oder außertariflich beschäftigt bin: Ich bin beim BSI, weil ich etwas bewegen möchte. Mir liegt das Thema am Herzen – aus keinem anderen Grund mache ich diesen Job.
Interview: Sebastian Hölzle