30 Jahre BSI: : Thought-Leader mit stetig wachsenden Aufgaben

BSI Forum: 1991 wurde das BSI gegründet. 30 Jahre sind in der IT eine gefühlte Ewigkeit. Ist das BSI eine junge oder eine alte Behörde?

Schönbohm: Es gibt natürlich viele Behörden, die älter sind als wir. Aber für eine Behörde, die sich mit dem Thema der IT-Sicherheit, der Cybersicherheit befasst, ist 30 Jahre ein bemerkenswertes Alter. Denken Sie zurück ins Jahr 1991: kein weit verbreitetes Internet, keine Mobiltelefonie, schon gar kein Internet der Dinge, Smart Factories oder Smart Cities. Viele Errungenschaften, die wir heute selbstverständlich nutzen, gehörten 1991 wohl eher in das Reich der Science-Fiction, oder sogar der Fantasie.

BSI Forum: Entsprechend sind auch die Anforderungen an die Cyber-Sicherheit heute und 1991 kaum miteinander vergleichbar?!

Schönbohm: Cyber-Sicherheit ist heute eine gesamtgesellschaftliche Aufgabe, die Staat, Wirtschaft sowie Bürgerinnen und Bürger gleichermaßen betrifft. Vor 30 Jahren sah das ganz anders aus: IT-Sicherheit war damals ein Nischenthema der Sicherheitspolitik, weit weg vom Alltag der Bürgerinnen und Bürger oder der Unternehmen. Heute gilt es, die fortschreitende Digitalisierung aller Lebensbereiche sicher zu gestalten, um für alle Menschen in Deutschland die großen Potenziale der Digitalisierung möglichst risikofrei nutzbar zu machen.

BSI Forum: Dass schon 1991 eine Behörde gegründet wurde, die sich mit dem Thema IT-Sicherheit beschäftigen sollte – war das nicht beinahe revolutionär?

Schönbohm: Durchaus. Dem BSI-Errichtungsgesetz zugrunde lag ein damals neues Verständnis von Prävention, Information und Aufklärung – erstmals formuliert im „Zukunftskonzept Informationstechnik“ der Bundesregierung im Juli 1989. Alle Betroffenen und Interessierten sollten über Risiken der Informationstechnik und mögliche Schutzmaßnahmen unterrichtet werden. Spätestens mit Beginn der breiten Nutzung des Internets ab 1993 wurde deutlich, wie zukunftsweisend dieser Ansatz damals schon war.

BSI Forum: Das Aufgabenspektrum des BSI hat sich über die Jahre gewandelt und erweitert. Was waren die wichtigsten Meilensteine?

Schönbohm: Von Beginn an umfasste der Arbeitsauftrag des BSI den Schutz der Regierungsnetze und der Bundesverwaltung vor Cyber-Angriffen. Mit der Novellierung des BSI-Gesetzes 2009 konnte das BSI für die Bundesbehörden verbindliche Sicherheitsstandards für die Beschaffung und den Einsatz von IT entwickeln. Das BSI wurde zudem zur zentralen Meldestelle für IT-Sicherheit innerhalb der Bundesverwaltung, um bei IT-Krisen nationaler Bedeutung durch Informationen und Analysen die Handlungsfähigkeit der Bundesregierung sicherzustellen.

Für die Bürgerinnen und Bürger haben wir ein umfangreiches Beratungs- und Informationsangebot aufgebaut, das sich immer größerer Beliebtheit erfreut, je weiter die Digitalisierung in unserem Alltag voranschreitet. Ähnliches gilt für Unternehmen, für die wir heute – unter anderem mit der Allianz für Cyber-Sicherheit – breite und maßgeschneiderte Angebote zur Verfügung stellen können. Wir konnten uns auch gegenüber den Ländern und Kommunen als verlässlicher Partner etablieren und pflegen mittlerweile durch das „Nationale Verbindungswesen“ eine enge Zusammenarbeit.

Heute verfügt das BSI auf der Basis seiner technisch tiefgehenden Expertise als Thought-Leader in Sachen Cyber-Sicherheit über eine integrierte Wertschöpfungskette von der Beratung über die Entwicklung sicherheitstechnischer Lösungen, der Abwehr von Angriffen auf die Cyber-Sicherheit bis hin zur Standardisierung und Zertifizierung.

BSI Forum: Inwiefern haben die IT-Sicherheitsgesetze die Aufgaben des BSI noch einmal ausgeweitet?

Schönbohm: Durch das erste IT-Sicherheitsgesetz erhielt das BSI 2015 Befugnisse und Aufgaben zum Schutz der kritischen Infrastrukturen – mit dem in diesem Jahr in Kraft getretenen IT-Sicherheitsgesetz 2.0 wurden diese noch einmal erweitert. Der Gesetzgeber hat hier ein solides rechtliches Fundament für die Arbeit des BSI geschaffen. Dieses Fundament und die damit verbundenen Aktions- und Durchgriffsmöglichkeiten des BSI – gerade auch in den kritischen Infrastrukturen – helfen dabei, das Thema Cyber-Sicherheit in der Mitte der Gesellschaft zu verankern. Außerdem wurde der digitale Verbraucherschutz in das IT-Sicherheitsgesetz 2.0 aufgenommen. So können wir die Sensibilisierung der Verbraucherinnen und Verbraucher – was das BSI bereits mit vielfältigen Angeboten praktiziert – ausbauen.

BSI Forum: Welche Voraussetzungen muss das BSI schaffen, um seinen vielen Aufgaben gerecht zu werden?

Schönbohm: Es muss seine Vernetzung mit allen anderen Akteuren in der Sicherheitsarchitektur Deutschlands ausbauen, es muss internationale Kooperationen fördern und forcieren, es muss für die Bürgerinnen und Bürger als Ansprechpartner in Sachen Cyber-Sicherheit noch sichtbarer werden – und es muss sich selbst immer wieder herausfordern, damit es all diesen Aufgaben gerecht werden kann.

Dafür braucht es zum einen motivierte Mitarbeiterinnen und Mitarbeiter, die über den Tellerrand sehen und ihrem Beruf mit hoher fachlicher Kompetenz und Leidenschaft nachgehen. Zum anderen braucht es eine agile Organisation, in der alle Beteiligten aktiv und anpassungsfähig sind: offen für Neues, bereit, bremsende Strukturen zu lösen und Kästchendenken aufzubrechen, auch und gerade um die anstehende räumliche Diversifizierung zu bewältigen.

BSI Forum: Wird das BSI heute von außen anders wahrgenommen als in den Anfängen?

Schönbohm: Das BSI hat sich in diesen 30 Jahren neben den Polizeien und den Nachrichtendiensten zu einer der drei tragenden Säulen der Sicherheitsarchitektur Deutschlands entwickelt. Wir, als die Cyber-Sicherheitsbehörde des Bundes, gestalten Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft in Deutschland. Der Aufbau und die Bündelung von Know-how im Bereich der Cyber-Sicherheit hat das BSI zu einer schlagkräftigen Institution gemacht, in der die Fäden der Cyber-Sicherheit zusammenlaufen.

BSI Forum: Ist Digitalisierung heute noch ohne Informationssicherheit denkbar?

Schönbohm: Deutschland digital sicher zu machen, das ist heute das Ziel des BSI. Informationssicherheit und Digitalisierung gehören heute untrennbar zusammen: Sie sind zwei Seiten derselben Medaille. Das BSI steht für beides.

Der stetige Ausbau des Amtes erfolgt gezielt in zukunftsorientierten Bereichen, die für die positive Weiterentwicklung der Bundesrepublik Deutschland von elementarer Bedeutung sind: Dazu zählt zum Beispiel der Bereich künstliche Intelligenz. Mit unserem Kriterienkatalog für KI-basierte Cloud-Dienste, den wir in diesem Jahr veröffentlicht haben, schaffen wir eine Grundlage für vertrauenswürdige KI und nehmen eine führende Rolle bei der Absicherung von KI-Anwendungen ein.

Ein weiteres Zukunftsfeld ist die Cyber-Sicherheit im Gesundheitswesen – von der IT-Sicherheit von Medizinprodukten über die elektronische Patientenakte bis zur Corona-Warn-App gibt es hier zahlreiche Digitalisierungsprojekte, in die das BSI involviert ist. Autonomes Fahren oder der Ausbau des 5G-Netzes sind weitere Beispiele für die Bandbreite der heutigen BSI-Themen.

Durch diesen gezielten Ausbau des BSI und die engagierte Arbeit seiner Mitarbeiterinnen und Mitarbeiter wird Deutschland jeden Tag ein Stück cyber-sicherer. Gleichzeitig zeigt das BSI, wie Informationssicherheit zu einem neuen Qualitätsmerkmal einer Digitalisierung „Made in Germany“ wird, durch die Deutschland seine Position auf den internationalen Märkten stärken und ausbauen kann.

Dieses Interview lesen Sie auch in der neuen Ausgabe des BSI-Magazins „Mit Sicherheit“, das Sie unter www.bsi. bund.de/BSI-Magazin als pdf herunterladen, als Printexemplar bestellen oder regelmäßig kostenlos abonnieren können.