BSI-Präsident Helmbrecht "Ich sehe Cloud Computing noch skeptisch"

Udo Helmbrecht ist der Kammerjäger der IT: Der Präsident des Bundesamts für Sicherheit in der Informationstechnik soll die Deutschen vor Computerschädlingen warnen und sie für Angriffe wappnen. Mit manager-magazin.de spricht er über aktuelle Bedrohungen, organisierte IT-Kriminalität und die beschränkten Kompetenzen seiner Behörde.

mm.de: Herr Helmbrecht, wie viele Spam-Mails bekommen Sie am Tag?

Helmbrecht: Im E-Mail-Postfach meines beruflichen Rechners eine oder zwei, weil ich einen sehr guten Spam-Filter habe. Privat bekomme ich gar keine, weil ich mit meiner Adresse sehr sorgfältig umgehe.

mm.de: Unternehmen können leider nicht so selektiv mit ihren E-Mail-Adressen umgehen. Deshalb richten unerwünschte Mails nach wie vor großen wirtschaftlichen Schaden an, wie unter anderem im Bericht "Die Lage der IT-Sicherheit in Deutschland" deutlich wird, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre herausgibt. Gerade haben Sie den Bericht für 2009 veröffentlicht. Welche Ergebnisse haben Sie überrascht?

Helmbrecht: In diesem Jahr fällt auf, dass die Attacken im Internet im Bereich der organisierten Kriminalität angekommen sind. Mit der Verbreitung von Schadprogrammen verdient eine inzwischen hoch professionelle und arbeitsteilig agierende Untergrundwirtschaft viel Geld. Das Vorgehen der Kriminellen ähnelt dem im wahren Leben: Bei der Onlinekriminalität gibt es Wertschöpfungsketten, die Mitglieder sind über die ganze Welt verstreut und verdienen an vielen verschiedenen Stellen der Kette mit.

Zudem werden die Angriffsmethoden beim Phishing in Deutschland immer ausgefeilter. Mittlerweile werden Schadprogramme auf Webseiten hinterlegt, sodass ein Nutzer sie sich unbemerkt auf den Rechner lädt, indem er eine manipulierte oder gefälschte Homepage öffnet. Trojaner kann man sich auch als Auftragsarbeit beschaffen, meist beinhalten die Programme noch eine Garantie, dass sie dem gängigen Virenschutzprogrammen mindestens fünf Wochen standhalten. Wirksame Schutzmaßnahmen gegen diese Methoden zu entwickeln, ist die nächste große Herausforderung, die auf uns zukommt.

mm.de: Wie stellen Sie die organisierten Strukturen der IT-Kriminalität fest?

Helmbrecht: Wir betreiben zum einen das IT-Netzwerk des Bundes, das auch schon Angriffen ausgesetzt war. Zum anderen erhalten wir Informationen von Partnerbehörden wie dem Bundeskriminalamt, das unter anderem Erkenntnisse über Anzeigen und Strafverfolgungen hat.

An der professionellen Ausführung der Schadprogramme erkennt man, dass sie heute mit viel Aufwand und auch Know-how auf Seiten der Angreifer entwickelt werden. Manches wird sogar als Baukasten im Internet angeboten, wo man sich Schadprogramme nach Wunsch zusammenstellen kann. Die Angreifer sind nicht mehr Script-Kiddies , die zeigen möchten, was sie können. Es handelt sich um eine florierende und lukrative Untergrundökonomie, eine graue Seite des Netzes.

"Es gibt keinen ausreichend gesicherten E-Mail-Verkehr"

mm.de: Gibt es gar nichts Positives über die IT-Sicherheitslage zu berichten?

Schad- und Späh-Software: So funktionieren Trojaner und Co.

Helmbrecht: Doch, es gibt auch positive Tendenzen, weil das Bewusstsein der Anwender für die Bedrohungen gestiegen ist. Das beweist auch die stark wachsende IT-Sicherheitsindustrie. Die Konsequenzen, die Unternehmen daraus ziehen, variieren aber sehr stark. Vor allem kleinere und mittelständische Firmen leisten sich aus finanziellen wie personellen Gründen häufig noch keine umfangreichen IT-Sicherheitssysteme. Große Unternehmen sind hier gut aufgestellt.

mm.de: Gerade bei Unternehmen ist der wirtschaftliche Schaden enorm, den Würmer, Trojaner und Co. anrichten. Wie hilft der BSI Unternehmen, sich gegen Sicherheitsrisiken zu rüsten?

Helmbrecht: Wir bieten Firmen und Verwaltungen unserer Webseite  kostenlos Informationen an. Dort stellen wir auch Studienergebnisse zu neuen Technologien und Risiken vor und bieten mit dem "Leitfaden IT-Sicherheit" einen Einstieg in das Thema IT-Sicherheit an. Der IT-Grundschutz liefert Informationen, wie ein solides Sicherheitsmanagement im Unternehmen aussehen soll. Ein weiterer Informationsdienst für kleine und mittlere Unternehmen ist das Bürger-CERT , das über aktuelle Gefahren im Netz warnt.

Wir treten als staatliche Behörde aber nicht in eine Konkurrenzsituation mit der Privatwirtschaft. In manchen Bereichen, in denen sich unserer Meinung nach zu wenig tut, sehen wir unsere Aufgabe als Impulsgeber und stoßen so die Entwicklung von Sicherheitsprodukten an. Wir ziehen uns dann zurück, sobald Privatunternehmen die Idee aufgreifen und als Geschäftsmodell weiterentwickeln. Ein Beispiel ist die Verschlüsselungssoftware Chiasmus.

mm.de: Ist der E-Mail-Dienst De-Mail, der ab nächstem Jahr für eine sichere Übermittlung von Behörden- und Geschäftspost sorgen soll, auch auf dieser Grundlage entstanden?

Helmbrecht: Ja. Die Idee war, es, die E-Mail-Kommunikation zwischen Behörden und Bürgern sicherer zu machen. Generell gibt es unserer Ansicht nach noch keinen ausreichend gesicherten E-Mail-Verkehr. Wenn ich elektronische Post an das Finanzamt schicke, will ich sichergehen, dass sie auch wirklich dort ankommt und nur vom autorisierten Empfänger gelesen werden kann.

"Wollen nicht willkürlich auf die Daten des Bürgers zugreifen"

mm.de: Derzeit sorgt das Thema Cloud Computing für Furore: Indem man seine Daten nicht auf dem eigenen Server speichert, sondern in der Rechnerwolke eines Anbieters, können Unternehmen Kosten sparen. Dabei gibt es aber Bedenken, dass sensible Daten verloren gehen oder gestohlen werden können. Was halten Sie von der Idee?

Helmbrecht: Bei einem Geschäftsprozess, dessen Teilanwendungen auf mehreren Servern verteilt sind, muss man sicherstellen, dass es technisch funktioniert. Hier ist noch einiges zu leisten. Zudem muss man einem Anbieter solcher Services, wie etwa beim Outsourcing, vertrauen können. Insofern sehe ich den breiten Einsatz von Cloud Computing noch etwas skeptisch.

mm.de: Demnächst soll Ihre Behörde weiterreichende Kompetenzen bekommen: Momentan wird an einem Gesetzentwurf zur "Stärkung der Sicherheit in der Informationstechnik des Bundes" gefeilt, auch BSI-Gesetz genannt. Welche Auswirkungen hat das im Detail auf das BSI?

Helmbrecht: Das Gesetz zur Errichtung des BSI stammt aus dem Jahr 1990. Es ist also fast 20 Jahre alt und wurde seitdem nicht verändert. Aufgrund der rasant fortschreitenden Entwicklungen in der Informationstechnik ist es dringend notwendig, das Gesetz an die aktuellen Gegebenheiten anzupassen.

Zum Beispiel ist erforderlich, dass wir Informationen der Bundesverwaltung über Sicherheitslücken, Schadprogramme oder Angriffe auf die IT-Sicherheit zugeleitet bekommen, um diese Informationen in einer Hand zu sammeln und auszuwerten. Um Gefahren für die IT-Sicherheit des Bundes abzuwehren, muss das BSI Protokolldaten und Daten, die an den Schnittstellen anfallen, erheben und automatisiert auswerten. Nur dann können Schadprogramme erkannt und beseitigt werden.

In dem Zusammenhang wird der Gesetzentwurf häufig fehlinterpretiert: Wir wollen nicht willkürlich auf die privaten Daten des Bürgers zugreifen, sondern das BSI muss bestimmte Daten erheben und automatisiert auswerten, um die Sicherheit der Regierungsnetze zu gewährleisten. In der Regel werden die Daten nach der automatisierten Auswertung sofort gelöscht.

Verwandte Artikel
Die Wiedergabe wurde unterbrochen.