Materialien zum BSI-Kongress 2005

Eröffnungsrede Otto Schily

"IT-Sicherheit als nationale Aufgabe"Rede von Otto Schily, Bundesminister des Innern, auf dem 9. Deutschen IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am 10. Mai 2005 in Bonn-Bad Godesberg
(Es gilt das gesprochene Wort!)

Sehr geehrter Herr Bürgermeister Naaß,
sehr geehrter Herr Dr. Helmbrecht,
sehr geehrte Fr. Prof. Eckert,
sehr geehrte Damen und Herren!

Ich begrüße Sie sehr herzlich auf dem 9. Deutschen IT-Sicherheitskongress in Bonn/Bad Godesberg. Dass diese Tagungsreihe des Bundesamtes für Sicherheit in der Informationstechnik in den 15 Jahren ihres Bestehens zur größten Veranstaltung zum Thema im deutschsprachigen Raum geworden ist, spricht sehr deutlich für die herausragende Stellung des BSI als dem Kompetenzzentrum für Informations- und Kommunikationssicherheit in Deutschland und weit darüber hinaus.

Moderne Informations- und Kommunikationstechnik entfaltet eben – das ist inzwischen eine Binsenweisheit – ihre positive Wirkung nur dann, wenn wir umfassende Sicherheit organisieren. Die Bundesregierung sieht darin eine ihrer vorrangigen Aufgaben.

Wie grundlegend sich dabei die Fragestellungen in den vergangenen 15 Jahren verändert haben, beweist ein Blick in die Tagesordnung des ersten Kongresses im Jahr 1990. Ein sehr wichtiger Punkt war seinerzeit die Abstrahlsicherheit – ein Thema, das im Zusammenhang mit der zwar abnehmenden, aber die damalige Sicherheitslage noch stark bestimmenden Blockkonfrontation stand.

Heute haben wir ein verändertes europäisches Sicherheitsumfeld, das durch zwei gegensätzliche Tendenzen gekennzeichnet ist. Zum einen gehören wir aus verteidigungs- und außenpolitischer Sicht zu einem historisch einzigartigen gefestigten Stabilitätsraum. Wir haben eine erweiterte EU, sind fest im transatlantischen Bündnis verankert und entwickeln auf europäischer Ebene eine gemeinsame Sicherheitspolitik.

Die gegenläufige Entwicklung ist, dass unsere Sicherheit heute von nichtstaatlichen Akteuren extrem bedroht ist. Wir sprechen in diesem Zusammenhang von einer asymmetrischen Bedrohung. Dazu gehören der internationale islamistische Terrorismus und die weit verzweigte organisierte Kriminalität. Damit entstehen neue Gefahrenlagen auch im Bereich der Informations- und Kommunikationstechnik. Es geht zwar auch heute noch darum, die Spionage eines fremden staatlichen Nachrichtendienstes abzuwehren. Wir müssen darüber hinaus aber eine Vielzahl von Angriffen nichtstaatlicher Akteure abwehren, die entweder auf Störung oder Zerstörung von Informations- und Kommunikationseinrichtungen gerichtet sind oder die die Informations- und Kommunikationsmittel für ihre verbrecherischen Ziele zu nutzen versuchen. Außerdem hat sich jenseits von Terrorismus und organisierter Kriminalität eine spezifische Computer-Kriminalität herausgebildet, für die wir neue Bekämpfungsstrategien entwickeln müssen.

Dass unsere IT-Systeme in immer größerem Ausmaß Hackerangriffen und der Bedrohung durch Viren und Würmer ausgesetzt sind, gilt für die Anlagen privater Anwenderinnen und Anwender genauso wie für Firmennetze. Die Gefährdungssituation hat sich in letzter Zeit deutlich verschärft und die folgenden Zahlen belegen das sehr eindrucksvoll:

An den Knotenpunkten des Kommunikationsnetzes der Bundesverwaltung – des sog. IVBB – hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch nie so viele, so gefährliche und so weit verbreitete Viren wie im Jahr 2004 registriert. Das IVBB war letztes Jahr über 2,5 Millionen Angriffsversuchen ausgesetzt. Dabei handelte es sich bei über 80 Prozent der gefundenen Schadprogramme um Würmer oder Trojaner. Durchschnittlich waren monatlich rund 6 Prozent der E-Mails infiziert, die an den zentralen E-Mail-Gateways der Bundesbehörden geprüft wurden.

Und die massenhafte Zunahme dieser Plage setzt sich fort: Im ersten Quartal dieses Jahres lag der Anteil der infizierten E-Mails bereits bei 8 Prozent.

Anrede!

Das Problem hat neben seinem massiven Ausmaß, eine Reihe von weiteren Aspekten, zum Beispiel eine sich wandelnde strukturelle Dimension: Wir haben es heute mit einem veränderten Täterprofil zu tun. Früher waren Personen, die Viren oder andere Schadprogramme in Umlauf brachten, häufig Schüler und Studenten – so genannte "Skript-Kiddies". Inzwischen hat sich die Szene professionalisiert und hinter den Attacken stehen immer öfter handfeste finanzielle Interessen. Die Hacker wollen Geld machen und nicht mehr nur zeigen, was sie können, indem sie Schwachstellen aufdecken.

Laut Symantec zielten im letzten Jahr 16 Prozent der Angriffe auf E-Commerce-Unternehmen. Das entspricht einer Zunahme um etwa 400 Prozent gegenüber dem vorherigen Halbjahr und weist auf sehr breit angelegte Angriffe auf die Zahlungsströme im Internet hin.

In diesen Zusammenhang gehört das Stichwort "Phishing": Betrüger versuchen, über E-Mails, die ein Geldinstitut als Absender vorgaukeln, an Zugangsdaten zum Online-Banking zu gelangen und so die Bankkonten der nichts ahnenden Kontoinhaber leer zu räumen.

Nach Angaben der Anti-Phishing-Working-group gingen im Februar 2005 Phishing-Attacken von knapp eintausend Servern aus, die jeweils abertausende von Phishing-Mails an potentielle Betrugopfer versandten. Im November des Vorjahres waren es lediglich 381.

Das Problem hat auch eine sich verschärfende zeitliche Dimension: Die Angriffe ereignen sich in immer kürzeren Abständen. Schwachstellen in Standardanwendungen und Betriebssystemen wurden im vergangenen Jahr immer schneller für Angriffe auf IT-Systeme genutzt. Bereits wenige Stunden nach oder sogar fast zeitgleich mit dem Bekanntwerden einer Sicherheitslücke waren erste Angriffe zu verzeichnen. Das sind die so genannten Zero-Day-Exploits.

Nach Messungen von Symantec konnten Hacker innerhalb von knapp 6 Tagen nach dem Bekanntwerden einer Sicherheitslücke ein neues Schadprogramm entwickeln. Das bedeutet, dass für die geschädigten IT-Systeme in dieser kurzen Zeitspanne oft weder die notwendigen Programmupdates zur Verfügung gestellt noch Maßnahmen entwickelt werden können, um die Sicherheitslücke zu schließen.

Anrede!

Die wirtschaftlichen Auswirkungen dieser IT-Angriffe sind verheerend, denn gute und verlässliche Kommunikations- und Informationssysteme sind bekanntlich eine Grundvoraussetzung für wirtschaftliche Entwicklung. Zwar war die Vertraulichkeit von Unternehmensdaten schon immer durch Wirtschaftsspionage gefährdet. Heute jedoch verfügen Wirtschaftskriminelle über ganz neue Möglichkeiten, sich unlautere Wettbewerbsvorteile zu verschaffen. Sie spähen gezielt und IT-gestützt Unternehmensnetze aus und die dort abgelegten Informationen zu Ausschreibungen, Verträgen und Preisen. Die Forschungs- und Entwicklungsabteilungen sind zwar am stärksten bedroht, inzwischen sind jedoch nahezu alle Unternehmensbereiche gefährdet.

Wir können zudem nicht gänzlich ausschließen, dass lebenswichtige IT-Infrastrukturen ins Visier professioneller Hacker geraten oder gar Terroristen das Internet zu ihrer Waffe machen. Auch wenn unsere Sicherheitsbehörden so genannte Cyberangriffe mangels konkreter Hinweise für unwahrscheinlich halten, gibt es zumindest die theoretische Möglichkeit eines so gearteten terroristischen Angriffs auf unsere Infrastrukturen. Und das heißt, dass wir uns wappnen müssen.

Unter dem Begriff Kritische Infrastrukturen fassen wir alle Organisationen und Einrichtungen zusammen, die für das staatliche Gemeinwesen von lebenswichtiger Bedeutung sind. Dazu gehören die Informations- und Kommunikationstechnik, der Energiesektor, das Finanz- und Versicherungswesen, der Transport- und Versorgungssektor, das Notfall- und Rettungswesen, genauso wie das Gesundheitswesen und die öffentliche Verwaltung. Kritische Infrastrukturen sind wegen ihrer lebenswichtigen Funktionen in besonderem Maße auf sichere, und das heißt vor allem auf ausfallsichere IT angewiesen.

In Deutschland befinden sich etwa vier Fünftel aller Kritischen Infrastrukturen in privatwirtschaftlicher Hand. Die Grundlage der so genannten KRITIS-Strategie des Bundes zum Schutze dieser Infrastrukturen ist deshalb die Zusammenarbeit mit den privaten Infrastrukturbetreibern. Gleich nach den terroristischen Angriffen des Jahres 2001 hatte ich mich mit den wichtigsten Betreibern in Deutschland zusammengesetzt, um Bedrohungsszenarien und Schutzmöglichkeiten zu erörtern.

Anrede!

Zudem wurde das BSI von mir beauftragt, uns mit Hilfe einer Studie ein genaues Bild von Ausmaß und Charakter der IT-Abhängigkeit Kritischer Infrastrukturbereiche zu verschaffen. Die Ergebnisse haben wir inzwischen den Verbänden der Betreiber Kritischer Infrastrukturen vorgestellt. Wir sehen derzeit keine Verwundbarkeiten, die sofortiges Handeln erforderlich machen. Aber für die Zukunft müssen wir aufgrund der zunehmenden IT-Durchdringung auch mit einer größer werdenden Gefährdung rechnen.

Die ersten Schritte hin zu engeren, auch sektorenübergreifenden Kooperationen sind getan. In nächster Zeit wollen wir dann zu belastbaren und verbindlichen Vereinbarungen kommen.

Unsere Abhängigkeit von Informationstechnik nimmt ständig zu und es ist nicht zu erwarten, dass diese Entwicklung in absehbarer Zeit nachlässt. In dem gleichen Maße, in dem sich immer mehr Bereiche in Wirtschaft und Gesellschaft auf IT stützen, muss auch das öffentliche Bewusstsein für die damit verbundenen Risiken und für die große Bedeutung der IT-Sicherheit wachsen.

Hier wird noch viel Aufklärungsarbeit zu leisten sein, zu der das BSI schon heute einen wichtigen und sehr effektiven Anteil beiträgt. Die Netzadresse www.bsi-fuer-buerger.de ist Ihnen hoffentlich bekannt. Dort sind ganz hervorragende Bürgerinformationen abrufbar. Ganz aktuell beispielsweise gibt es dort einen Leitfaden, wie man die letzte Woche massenhaft in Umlauf gebrachte neueste Variante des Computerwurms Sober entfernt.

Anrede!

Besonders die Kinder und die Jugendlichen müssen nicht allein mit den großen Chancen, sondern auch mit den Gefahren in der IT-Technik vertraut gemacht werden. So wie aufgrund der heutigen Verkehrsinfrastruktur eine frühe Verkehrssicherheitserziehung dazu gehört, muss auch die Informationssicherheitserziehung Teil der Standard-IT-Ausbildung von jungen Menschen werden.

Das Gleiche gilt für die Ausbildungsprogramme typischer IT-Berufe (wie etwa Mathematisch-Technischer Assistent, Datenverarbeitungskaufmann oder Programmierer). Auch hier fehlen oftmals Konzepte für die IT-Sicherheit. Kenntnisse darüber, wie man sich gegen Computer-Viren schützt, müssen ebenso zur Qualifikation eines Berufsanfängers gehören wie das Standardwissen über Datenbanken, Programmiersprachen und Vorgangbearbeitungssysteme.

Das alles sind wichtige Aspekte. Ich sehe die Rolle des Staates hier jedoch nicht nur als die des ständig Mahnenden, der mit erhobenem Zeigefinger die Unternehmen, die Verbände, die Bürgerinnen und Bürger an die mit den technologischen Chancen verbundenen Risiken erinnert. Prozessgestaltung ist das Schlüsselwort. IT-Sicherheit muss in alle Prozesse integriert werden, sie muss eine Selbstverständlichkeit sein. IT-Sicherheitskonzepte, IT-Sicherheitsbeauftragte, Revisionen und Notfallübungen, Berichtswesen bis zum Vorstand – all dies gibt es zwar bereits in einzelnen Bereichen. Es muss jedoch zur Chefsache in allen Unternehmen werden.

Anrede!

Auf der Bundesebene gehen wir mit gutem Beispiel voran und wollen die große Fachkunde des BSI für die Bundesverwaltung noch stärker in der Breite nutzen. Das gilt nicht nur für die Kryptographie als eine der Kernkompetenzen des BSI, die die Basis jedweder sicherer Regierungskommunikation ist.

Unter der Federführung meines Hauses erarbeiten wir zusammen mit dem BSI derzeit einen "Nationalen Plan zum Schutz der Informationsinfrastrukturen in Deutschland", den ich in Kürze dem Bundeskabinett und der Öffentlichkeit vorstellen werde. In diesen Plan werden wir präventive Schutz- und Organisationsmaßnahmen aufnehmen, die dabei helfen, die Einsatzrisiken zu minimieren. Ebenso werden wir Maßnahmen zur wirkungsvollen Reaktion bei IT-Sicherheitsvorfällen einführen.

Perspektivisch ist es unser Ziel, ein nationales IT-Krisenmanagement aufzubauen – mit einem IT-Krisenreaktionszentrum des Bundes im BSI.

Besonders wichtig ist die Nachhaltigkeit unserer Initiative. Das bedeutet, die deutsche IT-Sicherheitsindustrie zu unterstützen und damit unsere Kompetenz auf dem Gebiet zu stärken, um wiederum selbst international Standards setzen zu können. Denn um die nationalen Informationsinfrastrukturen langfristig schützen zu können, brauchen wir nicht nur politischen Willen und gute Absichten, sondern vertrauenswürdige IT-Dienstleistungen und Sicherheitsprodukte von zuverlässigen Anbietern.

Das BSI hat in diesem Zusammenhang eine Schlüsselrolle, damit wir in Zukunft "on top of things" sind, wenn es um neue IT-Sicherheitsanforderungen geht. Dafür müssen dem BSI zusätzlich operative Zuständigkeiten und Kompetenzen übertragen werden, die weit über seine jetzige, zumeist beratende Funktion hinausgehen.

Hierzu erhält das BSI die notwendigen zusätzlichen Ressourcen. Ich habe mich seit Jahren mit Erfolg für den personellen und sachlichen Ausbau des BSI eingesetzt. In diesem Jahr sind zum Beispiel 35 neue Stellen geschaffen worden. Die Haushaltsmittel für das Bundesamt haben sich seit 1998 von damals 34 Millionen auf heute 52,6 Millionen Euro erhöht. Das ist eine beachtliche Steigerung angesichts der angespannten Haushaltslage und zeugt davon, wie ernst wir die Informationssicherheit nehmen.

Um sie gewährleisten zu können, brauchen wir unterschiedliche Formen der Zusammenarbeit: Zum einen ist die enge Kooperation mit der Wirtschaft, mit den privaten Betreibern von Informationsinfrastrukturen, erforderlich. Zum anderen ist die IT-Sicherheit, wie die meisten anderen Bereiche der Sicherheitspolitik auch, ein wichtiges Thema auf der europäischen und auf der transatlantischen Agenda.

Mit dem bereits erwähnten "Nationalen Plan zur Sicherheit der Informationsinfrastrukturen in Deutschland" werden wir klare Vereinbarungen mit den privaten Betreibern darüber treffen, wie die notwendigen Aufgaben bewältigt werden sollen. Hierzu wird auch der gesetzliche Rahmen geprüft und gegebenenfalls angepasst werden.

Die Bundesregierung lädt die Partner in der Wirtschaft in regelmäßigen Abstimmungsrunden dazu ein, vor allem im Bereich der Kritischen Infrastrukturen bei der Umsetzung des Nationalen Plans mitzuwirken. Die nötigen Schutzmaßnahmen umzusetzen, sichert ja nicht nur die eigenen Geschäftsprozesse, sondern langfristig auch den Wirtschaftsstandort Deutschland und fördert so die internationale Wettbewerbsfähigkeit unseres Landes.

Anrede!

In der europäischen Sicherheitszusammenarbeit haben wir letztes Jahr mit ENISA, der Europäischen Agentur für Netz- und Informationssicherheit, eine Institution geschaffen, die dem großen Bedarf an Erkenntnisaustausch, Transparenz und Standardisierung im Bereich der europaweiten IT-Sicherheit Rechnung trägt.

Dass wir jetzt eine Stelle haben, die auf der europäischen Ebene Informations- und Netzsicherheit vorantreibt, geht auf unsere deutsche Initiative in der EU zurück. Ich hatte seit Mitte 2000 unter meinen europäischen Amtskollegen für die Idee geworben, eine dem BSI ähnliche Institution in Europa zu schaffen. Mit ENISA hat die Europäische Kommission unsere Forderung nach einer europäischen Koordinierungsstelle für den Bereich der Netz- und Informationssicherheit umgesetzt. Ich gehe davon aus, dass das BSI als nationale Spezialbehörde für IT-Sicherheit – gerade auch aufgrund seiner einmaligen Stellung in Europa – für die konkrete Ausgestaltung von ENISA eine Vorbildfunktion einnehmen wird.

In der konzeptionellen Ausrichtung von ENISA stehen die Informationssammlung und -bereitstellung im Vordergrund. Mit ENISA sollen nicht etwa die Kompetenzen des BSI auf eine höhere Ebene verlagert werden. Die Kernthemen der nationalen IT-Sicherheitspolitik müssen und werden auch weiterhin in der alleinigen Verantwortung nationaler Entscheidungsträger liegen. Aber wir brauchen im europäischen Verbund mehr Erfahrungsaustausch und mehr Dialog über Bekämpfungsstrategien.

Anrede!

Was für die nationale IT-Sicherheitspolitik gilt, hat selbstverständlich auch auf der europäischen Ebene seine Richtigkeit: Neben dem Engagement staatlicher bzw. europäischer Institutionen brauchen wir auch hier den Input von Fachleuten aus Wirtschaft und Industrie. Ihr Urteil, ihre Vorschläge und praktischen Erfahrungen sind für die weitere Ausgestaltung von ENISA unverzichtbar.

Aus meiner engen transatlantischen Zusammenarbeit mit Tom Ridge, dem ehemaligen US-amerikanischen Heimatschutzminister, ist die gemeinsame Idee zum Aufbau eines internationalen "Watch and Warning"-Netzwerks hervorgegangen. Dabei war uns von Anfang an klar, dass ein rein bilaterales Zusammengehen nicht ausreicht und wir allein im internationalen Rahmen Erfolg versprechende Lösungsansätze finden können. Unser Augenmerk muss dabei auf der Prävention und der Gefahrenfrüherkennung liegen, damit Schäden gar nicht erst entstehen können.

Im Oktober des letzten Jahres haben das Bundesinnenministerium und das US-Department of Homeland Security nach Berlin eingeladen, um auf dem Gebiet "Watch, Warning und Incident Response" Modelle verbindlicher Zusammenarbeit und intensiven "Information Sharings" zu diskutieren. In Kürze sollen bestehende regionale Netzwerke ausgebaut sowie eine Rahmenarchitektur zum Informationsaustausch auf internationaler Ebene geschaffen werden. Wir haben damit die Grundlage dafür geschaffen, sowohl heute bekannte Formen der Cyberkriminalität und IT-Bedrohung wesentlich effektiver zu bekämpfen, als auch künftige Gefahren schneller zu erkennen und einzudämmen.

Anrede!

Wir suchen den ständigen Erfahrungsaustausch: Mit anderen Regierungen, mit internationalen Organisationen, mit der Wissenschaft und vor allem auch mit den Praktikern in der deutschen IT-Sicherheitsindustrie. Ich freue mich daher sehr über Ihr zahlreiches Erscheinen und Ihr großes Interesse an diesem Fachkongress des BSI. Im Rahmen des anspruchsvollen und sehr vielfältigen Programms der kommenden Tage wünsche ich Ihnen allen viele neue wertvolle und weiterführende Erkenntnisse.