Der Weg zur „Cybernation Deutschland“ : Interview mit BSI-Präsidentin Claudia Plattner

<kes>: Was sind aus Ihrer Sicht die drängendsten Aufgaben für Wirtschaft und Staat hinsichtlich der Informations-Sicherheit?

Plattner: Das Wichtigste vorab: Wir müssen IT-Sicherheit auf die Agenda der Entscheidungsgremien von Staat, Wirtschaft, Wissenschaft und Gesellschaft heben, und zwar überall. Cybersicherheit muss in ganz Deutschland Chefinnen- und Chefsache werden, denn: Unternehmen und Institutionen in Deutschland werden jeden Tag von Cyberkriminellen angegriffen. IT-Störungen und Cyberangriffe auf kritische Infrastrukturen gefährden die tägliche Versorgung Deutschlands. Unser Land ist Ziel von Cyberspionage und -sabotage. Der gesellschaftliche Zusammenhalt in Deutschland wird von außen gefährdet, etwa durch Desinformation. Das Vertrauen der Menschen in den Staat und seine Digitalisierung schwindet.

Was ich damit sagen will: Der Bedarf ist breit gestreut. In besonderem Maße stellen wir ihn beispielsweise im Bereich der Wirtschaft bei den kleineren Unternehmen fest. Werden diese Opfer von Cyberangriffen, kann sich das nicht nur schnell für diese Unternehmen als existenzbedrohend auswirken – sehr häufig sind dann ganze Wertschöpfungsketten betroffen. Auf staatlicher Ebene sind zuletzt vor allem Länder und Kommunen von IT-Sicherheitsvorfällen gebeutelt gewesen. Hier stehen häufig nicht genügend Ressourcen für nachhaltige Informationssicherheit zu Verfügung. Da würden wir gerne mehr und besser unterstützen.

<kes>: Was steht für das BSI 2024 besonders im Fokus?

Plattner: Unsere Schwerpunktthemen sind in diesem Jahr neben der Umsetzung der EU-Rechtsvorschriften Cyber-Resilience-Act (CRA) und NIS-2 insbesondere die Themen, mit denen wir die Cyberresilienz in Deutschland ganz direkt erhöhen und gleichzeitig die Digitalisierung voranbringen können. Wir arbeiten in diesem Sinne mit Hochdruck an neuen, pragmatischen Sicherheitsstandards – zum Beispiel für Cloud-Anwendungen und digitale Identitäten, aber auch mit Blick auf den IT-Grundschutz, mit dem wir Cybersicherheit in Zukunft stärker mess- und automatisierbar gestalten werden. Und selbstverständlich ist künstliche Intelligenz mit all ihren Anknüpfungspunkten zur Informationssicherheit eines unserer Topthemen in diesem Jahr.

<kes>: Kann oder muss „der Staat“ künftig mehr für die Informationssicherheit und sichere Digitalisierung der Wirtschaft und Bürger tun als bisher?

Plattner: Ja, das muss er – und in meinen Augen können wir das auch. Wir müssen ein Deutschland bauen, das seine Bürgerinnen und Bürger kompetent und effektiv Management und Wissen Herausforderungen und Visionen Claudia Plattner ist seit dem 1. Juli 2023 Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI). Zum Jahresauftakt hat die sie nach ihrer Einschätzung der aktuellen Situation sowie ihren Zielen und Visionen für das BSI und die Informationssicherheit gefragt. © DATAKONTEXT GmbH · 50226 Frechen · 2024 7 #1 schützt, das Sicherheit beherrscht und das Digitalisierung beherrscht. Das ist eine große Kraftanstrengung, die der Staat aber nicht alleine bewältigen kann. Das kann nur im Schulterschluss mit Wissenschaft, Wirtschaft und Zivilgesellschaft gelingen. Und dafür wiederum ist es enorm wichtig, dass jedes Unternehmen, jede Bürgerin und jeder Bürger auch selbst ein Bewusstsein für diese Herausforderungen hat. Das versuchen wir gerade auf vielen Ebenen zu erzeugen.

<kes>:  Welche Rolle spielen Ihrer Einschätzung nach dabei Zertifikate und Siegel für die Sicherheit?

Plattner: Wenn Zertifikate und Siegel transparent, verständlich und verlässlich über die Sicherheit zum Beispiel von IT-Produkten informieren, dann finde ich sie absolut sinnvoll und wichtig.

Zum Schutz von Verbraucherinnen und Verbrauchern haben wir als BSI deswegen das IT-Sicherheitskennzeichen eingeführt. Es bietet Orientierung bei Kaufentscheidungen, indem es die grundlegenden Sicherheitseigenschaften von IT-Produkten auf einen Blick erkennbar macht. Warum das wichtig ist: Von außen ist oft nicht erkennbar, ob und wie Geräte und Dienste von Angreifern missbraucht werden können. Sie können zum Beispiel ausgenutzt werden, um Hackerangriffe durchzuführen, persönliche Daten abzugreifen oder das Heimnetzwerk zu manipulieren. So können Schäden für die Nutzenden selbst oder Dritte entstehen, denen Hersteller schon mit grundlegenden Sicherheitseigenschaften entgegenwirken können.

Diesen Schutz benötigen aber natürlich nicht nur Verbraucherinnen und Verbraucher – auch Unternehmen müssen sich auf die Sicherheit von IT-Produkten verlassen können. Beide Zielgruppen adressiert der CRA, der bald in Kraft tritt. Er ist ein wichtiger Schritt, um die Cybersicherheit innerhalb der Europäischen Union und damit weltweit signifikant zu erhöhen, denn zukünftig müssen innerhalb der EU alle Produkte mit digitalen Elementen grundlegende Cybersicherheitsanforderungen im Sinne von „Security by Design“ erfüllen. Und das gilt nicht nur zum Zeitpunkt des Inverkehrbringens: Die Hersteller müssen zusätzlich auch über den öffentlich zugesicherten Supportzeitraum Sicherheitsupdates bereitstellen, um die Cybersicherheit der Produkte aufrechtzuerhalten.

Mit Inkrafttreten der Verordnung werden Software und Produkte, die mit dem Internet verbunden sind, die CE-Kennzeichnung tragen. Und die ist dann auch ein Siegel dafür, dass diese Produkte und Services den Cybersicherheitsnormen entsprechen. Damit können sowohl Kunden als auch Unternehmen fundierte Entscheidungen im Sinne der eigenen IT-Sicherheit treffen. Das ist ein echter Meilenstein.

<kes>: Welche Veränderungen erwarten Sie in Sachen Bedrohungslage und Abwehr für die absehbare Zukunft?

Plattner: Die Lage ist schon heute besorgniserregend: Wir haben hier ein Problem, um das wir uns kümmern müssen, denn wir stehen dauerhaft unter Beschuss. Allein der Blick auf die deutsche Wirtschaft gibt wichtige Insights: Der Digitalverband Bitkom schätzte den Schaden, der im vergangenen Jahr durch Datendiebstahl, Spionage und Sabotage entsteht, auf 206 Milliarden Euro. Das sind 43 % des Bundeshaushalts 2023!

Mit Blick auf immer professioneller agierende Cyberkriminelle und die angespannte geopolitische Situation brauche ich keine Glaskugel, um sagen zu können: Das wird in der näheren Zukunft nicht besser werden.

Die Frage ist nicht ob, sondern wann Deutschland auch großflächig, tiefgreifend und nachhaltig von einem Cyberangriff getroffen wird. Darauf müssen wir uns jetzt schon vorbereiten.

<kes>: Wie sieht Ihre Vision für die Cybersicherheitsarchitektur in Deutschland in fünf Jahren aus? Welche Institutionen werden welche Aufgaben übernehmen und was sollte sich gegebenenfalls ändern?

Plattner: Unser Ziel ist es, unsere staatliche Cybersicherheitsarchitektur – also die Frage nach dem „Wer macht was“ in der Cybersicherheit – durch effiziente Strukturen, sorgfältig definierte Schnittstellen und eine klare Kooperationsstrategie zu verbessern: Das BSI ist das technische Kompetenzzentrum des Bundes für IT-Sicherheit und gesetzlich die für Cyberabwehr zuständige Bundesbehörde. Gesamtstaatliche Cybersicherheit berührt aber auch Zuständigkeiten der Nachrichtendienste, der Strafverfolgung und der Verteidigung. Hinzu kommt die Zuständigkeitsverteilung innerhalb unserer föderalen Struktur.

Trifft uns ein großflächiger Cyberangriff, brauchen wir jeden der genannten Bereiche – auf Landes- wie auf Bundesebene. Wir müssen dann sofort – und das meine ich wörtlich – alle Informationen verfügbar haben und Maßnahmen übergreifend koordinieren. Dafür sind wir, das muss ich so offen sagen, heute noch nicht aufgestellt: Wir haben weder das eine Lagebild, das gesamtstaatliche Informationen bündelt, noch haben wir das eine Lagezentrum, von dem aus schnell auch über föderale Grenzen hinweg abgestimmt gehandelt werden kann. Das müssen wir ändern, so wie im Koalitionsvertrag vereinbart und in der nationalen Sicherheitsstrategie der Bundesregierung beschrieben – mit dem BSI in der Rolle als Zentralstelle für Cybersicherheit im Bund-Länder-Verhältnis im Sinne einer föderal integrierten Cybersicherheitsarchitektur.

Warum ich das so betone: Eine konstante Unterstützung der Länder durch das BSI ist zum heutigen Tage verfassungsrechtlich nicht möglich. Gleiches gilt für eine Koordinierung der Zusammenarbeit zwischen Bund und Ländern für mehr Cybersicherheit in der Fläche. Zusammenarbeiten dürfen wir aktuell lediglich im Wege der Amtshilfe – und das nur ausnahmsweise und punktuell. Die Umsetzung der Zentralstelle würde eine auf Dauer angelegte, institutionalisierte Form der Kooperation zwischen Bund und Ländern oder auch zwischen den Ländern ermöglichen.

Die steigende Bedrohungslage als auch die zusätzlichen Aufgaben, die vor allem mit Inkrafttreten der genannten NIS 2-Verordnung auf uns zukommen. Das neue Gesetz ist ein wichtiger Meilenstein, was den Schutz unserer kritischen Infrastrukturen betrifft. Für das BSI bedeutet es ganz konkret, dass wir demnächst für 29 000 Unternehmen zuständig sein werden – bisher sind es 4500. Wir sollen und wollen diesen Firmen dabei helfen, sicherer zu werden – und das braucht eine entsprechende personelle Ausstattung.

<kes>: Wenn Sie einen Wunsch frei hätten, um die Arbeit des BSI zu erleichtern, welcher wäre das?

Plattner: Mein Wunsch ist, dass wir es hinbekommen, beim Thema Cybersicherheit wirklich für die Sache einzustehen. Ich will es mal so formulieren: Die Herausforderungen, mit denen wir es zu tun haben, sind nicht immer nur die Angreifer. Und genau deshalb brauchen wir eine gemeinsame Vision einer „Cybernation Deutschland“ und engagierte Mitstreiterinnen und Mitstreiter. Gemeinsam wollen wir das Thema Cybersicherheit auf die Agenda heben, die Cyberresilienz in unserem Land deutlich erhöhen und gleichzeitig die Digitalisierung voranbringen.

Das kann nur gelingen, wenn wir die Technologiekompetenz, die wir in Deutschland haben, auch gezielt nutzen. Und dazu gehört ganz konkret für uns als BSI, Cybersicherheit pragmatisch zu gestalten. Wenn wir es dabei dann noch hinbekommen, einen florierenden Cybermarkt zu schaffen, werden wir schon viel erreicht haben. Ich bin optimistisch, dass uns das auch gelingt.