Interview / BSI-Präsidentschaft

Von KRITIS und Kooperation

Interview mit dem neuen BSI-Präsidenten Arne Schönbohm

Mitte Februar hat Arne Schönbohm die Leitung des Bundesamts für Sicherheit in der Informationstechnik (BSI) übernommen. Die <kes> interviewte ihn anlässlich seines Amtsantritts zu aktuellen Schwerpunkten des BSI sowie zur Lage der Informations-Sicherheit.

<kes>: Herr Schönbohm, Sie übernehmen die BSI-Präsidentschaft in einer Zeit, in der viel über das neue ITSicherheitsgesetz und seine Umsetzung gesprochen wird. Wie bedeutsam ist dieses Gesetz für Ihr Haus und die ITSicherheit in Deutschland?

Arne Schönbohm: Mit dem Beschluss des IT-Sicherheitsgesetzes wurden im vergangenen Jahr die Aufgaben und Verantwortlichkeiten des BSI erneut ausgeweitet. Es stärkt die Rolle des Amtes als zentrale Stelle für Belange der IT-Sicherheit in Wirtschaft und Gesellschaft. Das Gesetz ist für das BSI daher ähnlich bedeutend wie die Novellierung des BSI-Gesetzes 2009.

Insbesondere die Zusammenarbeit mit den kritischen Infrastrukturen wird durch das IT-Sicherheitsgesetz völlig neu definiert. Kurz gesagt nehmen wir nun die Rolle, die wir seit 2009 für die Bundesbehörden besitzen, auch für die Betreiber der kritischen Infrastrukturen ein. Im Vordergrund steht die Einhaltung eines Mindestniveaus an IT-Sicherheit und die Meldung von IT-Störungen an das BSI durch die Betreiber.

Umgekehrt hat das BSI als zentrale Cybersicherheitsbehörde Deutschlands sämtliche Informationen zu sammeln, die für die Abwehr von Angriffen auf die IT-Sicherheit kritischer Infrastrukturen relevant sind, sie zu bewerten und an die Betreiber sowie die zuständigen Aufsichtsbehörden weiterzuleiten.

Durch diesen im Gesetz verankerten kooperativen Ansatz profitieren nicht nur Staat und Wirtschaft vom Know-how des jeweils anderen, sondern der gesamtgesellschaftlichen Aufgabe größtmöglicher IT-Sicherheit kann so am besten Rechnung getragen werden.

<kes>: Das heißt, das IT-Sicherheitsgesetz wird die Arbeit des BSI dieses Jahr intensiv prägen?

Arne Schönbohm: 2016 steht für uns ganz klar im Zeichen der Umsetzung und Operationalisierung des IT-Sicherheitsgesetzes. Das Kabinett hat Mitte April dem ersten Teil der Rechtsverordnung zur Umsetzung des Gesetzes zugestimmt. Die Verordnung bestimmt zunächst kritische Infrastrukturen in den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung.

Bis Anfang 2017 sollen per Änderungsverordnung auch die Betreiber in den Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen identifizierbar werden. Sowohl personell als auch organisatorisch müssen wir uns daher hier zügig und gut aufstellen.

<kes>: Welche weiteren Schwerpunkte sehen Sie für das BSI in diesem Jahr?

Arne Schönbohm: Ein wichtiges Thema ist für uns in diesem Jahr die Unterstützung der „Digitalen Agenda“ der Bundesregierung. Es ist erklärtes Ziel, die Digitalisierung in Deutschland voranzutreiben. Ohne IT-Sicherheit wird die Digitalisierung am Ende jedoch nicht erfolgreich sein. Daher bauen wir in diesem Jahr vor allem den Dialog mit der Entscheiderebene in den Unternehmen aus, um sie davon zu überzeugen, IT-Sicherheit als Teil des Risikomanagements eines Unternehmens zu begreifen und sich gerade auch in Bereichen wie Industrie 4.0 oder Automotive entsprechend aufzustellen.

Seit Jahresanfang begleitet uns darüber hinaus das Thema Ransomware, nicht zuletzt anlässlich der Angriffe auf mehrere deutsche Krankenhäuser. Diese Angriffsart zählt ohne Frage zu den Themen, die Wirtschaft, Verwaltung und Privatpersonen gleichermaßen umtreibt. Solchen Bedrohungen wollen wir praxis- und zeitnah begegnen und haben daher im März ein entsprechendes Papier mit Tipps zum Umgang mit Ransomware und zur Verhinderung solcher Angriffe veröffentlicht (s. a. S. 43).

<kes>: Wie schätzen Sie generell die derzeitige Lage in Sachen Informationssicherheit für Behörden und Privatwirtschaft ein?

Arne Schönbohm: Wie wir in unserem letzten Lagebericht beschrieben haben, muss die Gefährdungslage in Deutschland in vielen Bereichen als hoch bewertet werden. Nicht zuletzt die Ransomware- Vorfälle der letzten Monate machen eindrucksvoll deutlich, wie verwundbar viele Unternehmen und Institutionen nach wie vor sind. Aber nicht nur diese ungezielten Breitenangriffe, sondern auch gezielte Angriffe, die unter hohem Aufwand langfristige Ziele verfolgen, machen Unternehmen und Verwaltungseinrichtungen zu schaffen. Diese Advanced Persistent Threats – kurz: APT – zeichnen sich durch große personelle, finanzielle und technische Möglichkeiten aufseiten der Angreifer aus. Bis solche Angriffe entdeckt werden, vergehen oft mehrere Monate und der Schaden für die betroffenen Institutionen ist enorm.

<kes>: Wo liegen die wesentlichen Risiken und Chancen, wo die drängendsten Probleme und gegebenenfalls Versäumnisse? Welche Veränderungen erwarten Sie hier für die nähere Zukunft?

Arne Schönbohm: Unternehmen und Verwaltungseinrichtungen müssen sich auf die Bedrohungen der IT-Sicherheit immer wieder neu einstellen und Maßnahmen der Prävention, Detektion und Reaktion vorbereiten und umsetzen. Das ist aufwändig und erfordert Zeit, Geld und personelle Ressourcen. Einzelne Unternehmen sind bereits seit vielen Jahren sehr aktiv. Andere Unternehmen haben wenig bis gar nichts getan. Das trifft vor allem auf viele kleine und mittelständische Unternehmen zu.

Der positive Trend der letzten Jahre ist aber, dass sich Unternehmen langsam stärker mit Cyber-Sicherheit beschäftigen. Leider erfolgt dies oft erst, nachdem Probleme aufgetreten sind. Dabei sollten sich die Akteure doch längst bewusst sein, dass die zunehmende Vernetzung und Digitalisierung aller Lebens- und Arbeitsbereiche ohne IT-Sicherheit nicht zum Erfolg führen wird.

<kes>: Wie steht es um die Kooperationsbemühungen innerhalb der Allianz für Cybersicherheit? Wie gut hat diese Initiative ihr Ziel schon erreicht, die Cybersicherheit in Deutschland zu erhöhen?

Arne Schönbohm: Die Allianz für Cybersicherheit nimmt seit ihrer Gründung eine sehr positive Entwicklung. Die Zahl der Partner, Multiplikatoren und Teilnehmer steigt stetig an, sodass wir mit den Angeboten der Allianz immer mehr Institutionen regelmäßig und dauerhaft erreichen können.

Die Zusammenarbeit mit der Wirtschaft ist aber auch außerhalb der Arbeit der Allianz für Cybersicherheit ein wichtiges Thema für das BSI – und dies nicht nur im Bereich KRITIS. Deswegen ist die „Hannover Messe“ mittlerweile ein wichtiger Termin für uns, um mit der Industrie in Kontakt zu kommen und Themen wie Industrie 4.0 oder die ITSicherheit im Bereich Automotive zu adressieren. Es geht uns darum, die IT-Anwender der Wirtschaft stärker einzubinden. Eine Digitalisierung ohne Cyber-Sicherheit wird es nicht geben.

<kes>: Gibt es eine „europäische“ oder sogar weltweite Perspektive beziehungsweise die Hoffnung auf eine verbesserte internationale Zusammenarbeit von Unternehmen und Behörden in Sachen Informations-Sicherheit?

Arne Schönbohm: Vernetzung und Digitalisierung hören an Landesgrenzen nicht auf, daher ist die internationale Zusammenarbeit für das BSI sehr wichtig. Auf europäischer Ebene sind viele Mechanismen bereits sehr gut etabliert, beispielsweise im Bereich der CERTs oder im Rahmen der NATO-Zusammenarbeit. Auch die EU-Agentur ENISA – European Union Agency for Network and Information Security – bildet eine zentrale Plattform des Austauschs. Das BSI pflegt darüber hinaus aber auch intensive bilaterale Beziehungen zu Partnerinstitutionen weltweit. Sehr gut etabliert sind der Austausch und die Zusammenarbeit zum Beispiel mit den Kollegen der ANSSI, unserer Schwesterbehörde in Frankreich.

<kes>: Erwarten Sie in der absehbaren Zukunft deutliche technische Fortschritte bei der Abwehr von Cyber-Bedrohungen? Wie könnten diese aussehen?

Arne Schönbohm: Fortschritte im Bereich der technischen Abwehr von Cyber-Angriffen erfolgen stets Schritt für Schritt – eine Tatsache, die manchmal schwer zu akzeptieren ist, wenn man das Hase-und-Igel-Spiel betrachtet, das sich die Angreifer mit ihren Opfern und der IT-Sicherheitsbranche liefern.

Durchbrüche können wir aber an anderer Stelle anstreben, nämlich bei dem Bewusstsein für die Bedeutung der IT-Sicherheit für alle Bereiche unseres täglichen Lebens und Arbeitens, die heute vernetzt, online oder digitalisiert vonstatten gehen. Hier warten ganze Branchen noch auf ihre Erweckung – und im nächsten Schritt dann natürlich auch auf die technische Umsetzung passgenauer Lösungen.

Wir bedanken uns für das Gespräch und wünschen Ihnen viel Glück und Erfolg in der neuen Position.

Vita Arne Schönbohm

Der gebürtige Hamburger Arne Schönbohm (Jahrgang 1969) studierte Internationales Management in Dortmund, London und Taipeh und ist seit mehr als zehn Jahren in führenden Positionen im Bereich der IT-Sicherheit tätig. Bevor er 2008 Vorstandsvorsitzender der BSS BuCET Shared Services AG (BSS AG) wurde, einem Unternehmen, das sich unter anderem der Beratung auf dem Feld der Cyber-Sicherheit verschrieben hat, war Schönbohm in verschiedenen Positionen für EADS tätig. Zuletzt war er dort Vizepräsident für Commercial and Defence Solutions.

Seine 13-jährige Industriekarriere begann der Diplom-Betriebswirt als Trainee in der zentralen Nachwuchsgruppe bei Daimler Chrysler Aerospace in München. Darüber hinaus arbeitete Schönbohm als Sicherheitsexperte und Berater verschiedener politischer Entscheidungsträger auf Bundesund Landesebene, so war er unter anderem Mitglied der Cyber Security Coordination Group der EU.

Zuletzt war Schönbohm mehr als drei Jahre als Präsident des 2012 gegründeten Cyber-Sicherheitsrats Deutschland e. V. tätig. Er ist zudem Autor diverser Bücher, darunter auch „Deutschlands Sicherheit – Cybercrime und Cyberwar“ (2011). Am 18. Februar 2016 hat Schönbohm sein Amt als Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) angetreten.