Free

Stimmen vom BSI-Kongress

Anfang Mai fand der 20. Deutsche IT-Sicherheitskongress erneut in rein digitaler Form statt. Unser Rückblick liefert Auszüge aus der Eröffnungsrede und den Grußworten.

Lesezeit 11 Min.
BSI-Kongress

Am 7. und 8. Mai richtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum 20. Mal den Deutschen IT-Sicherheitskongress in Bonn aus. Die Jubiläumsausgabe wurde aus dem früheren Plenarsaal des Bundestags im Bundeshaus in Bonn live gestreamt. Eine Rekordzahl von 10450 Teilnehmern* hatte sich dabei digital zugeschaltet und die Vorträge und Diskussionen zur Cybersicherheit in Deutschland verfolgt – die Teilnahme war kostenfrei. Über Chatrooms war auch wieder der Austausch untereinander sowie mit Vortragenden und dem „Standpersonal“ der 17 virtuellen Aussteller möglich.

Die Aufzeichnungen der beiden Kongresstage standen noch bis zum 9. Juni 2024 online zur Verfügung – auf www.bsi.bund.de/ IT-Sicherheitskongress sind weiterhin Fotos der Veranstaltung, ein knapp dreiminütiger Video-Clip (Zusammenfassung und Blick hinter die Kulissen) sowie die 445-seitige Kongressdokumentation mit den Langfassungen der 30 Vortrags-Paper kostenlos abrufbar.

Im kommenden Jahr macht der Deutsche IT-Sicherheitskongress eine Pause – der 21. „BSI-Kongress“ findet dann 2026 statt, wobei einer Randbemerkung zufolge auch ein hybrides oder Präsenzformat infrage kommen könnte.

Bedrohungslage

Claudia Plattner (BSI): „Das Thema Cybersecurity passt nicht mehr auf eine DIN-A4-Seite. Wir habens versucht – es ist mehr so eine DIN-A0-Tapete geworden.“

BSI-Präsidentin Claudia Plattner sprach zum Einstieg von einer besorgniserregenden Bedrohungslage. Die dringendste Bedrohung durch Ransomwareangriffe mache vor allem KMU zu schaffen.

Neben Datendiebstählen, Spionage und Sabotage seien nicht zuletzt auch Themen rund um Desinformation bedeutsam, etwa „Hack & Leak“ als Riesenthema im Kontext von Wahlen: „Wahlen sind das Kernstück unserer Demokratie. Daher ist es wichtig, dass wir die Durchführung dieser Wahlen sicherstellen können – insbesondere müssen wir sie vor illegitimer Einflussnahme schützen“, betonte Plattner. Überdies seien nach wie vor eine weitere Professionalisierung auf der Täterseite mit mehr und mehr Cybercrime as a Service sowie eine steigende Anzahl von Sicherheitslücken zu beobachten: mittlerweile ungefähr 70 pro Tag, was fast eine Steigerung um +25 % zum Vorjahr bedeute.

Cybernation Deutschland

„Wir haben verstanden, dass wir eine solche Situation nicht in ‚klein klein‘ beherrschen können – wir müssen groß denken“, erläuterte Plattner: „Wir müssen im Prinzip ein ganzes Land dafür aufstellen, mit dem Thema Cybersicherheit klarzukommen und sichere Digitalisierung zu beherrschen. Deswegen haben wir dieses Motto ‚Cybernation Deutschland‘ ausgerufen – Kooperation gewinnt“. Hierzu nannte die BSI-Chefin sechs Punkte zur Gliederung: Zuallererst müsse man Cybersicherheit auf die Tagesagenda der Entscheider heben, und zwar nicht nur „dass“, sondern „was“: „Die müssen wissen, was zu tun ist. Sie müssen sich um dieses Thema kümmern – jeden Tag!“

Dr. Markus Richter (BMI): „Wir haben eine geopolitische Lage, die sehr angespannt ist und alles von uns abverlangt.“

Außerdem müsse man zweitens die Cyber-Resilienz substanziell erhöhen: „Das fängt in den Institutionen schon damit an: Welche IT habe ich eigentlich? Die wenigsten können das klar beantworten. Trotzdem ist das wichtig: Erst wenn ich weiß, was ich habe, weiß ich auch, was ich schützen muss.“ Weitere bedeutsame Maßnahmen gehen von einer Umgebung, um Schwachstellen zu patchen, bis hin zum Business-Continuity-Management (BCM), wobei gelte: Backups zu haben ist gut, wichtig sei aber auch, das Wiedereinspielen und die richtige Reihenfolge zu üben: „Das ist kein Selbstläufer, das muss man machen. Ich erwähne das immer so, weil ich weiß, dass das ein unglaublich arbeitsintensiver Teil ist. Wir haben die technischen Möglichkeiten, wir sind nicht schutzlos ausgeliefert. Aber wir müssen sie auch nutzen“, mahnte Plattner.

Drittens brauche man Technologiekompetenz: „Wir werden technischen Themen nicht Herr werden, wenn wir auf dem Papier Checklisten beantworten. Nichts gegen Checklisten, aber der entscheidende Punkt ist: Wir müssen in eine Automatisierung kommen. Wir brauchen Technologie-Antworten auf Technologie-Fragen unserer Zeit.“ Daher sei es ebenfalls wichtig, viertens, die Digitalisierung voranzubringen, auch weil die heutigen Zwischenstadien heikel seien: „In allen Organisationen gibt es noch eine Menge ‚Legacy‘, die ist schwer zu schützen – vor allem, wenn sie mit neuen, hochdigitalisierten Systemen verbunden ist, die wir nutzen wollen, weil sie uns nach vorne bringen.“ In dieser Zwischenwelt ergebe sich eine sehr hohe Komplexität. Hier helfe es, „einen mutigen Schritt nach vorne“ zu machen.

Eine pragmatische Gestaltung der Cybersicherheit bildet den fünften Punkt: Man müsse eine Automatisierung erreichen und sich fragen: „Wie müssen die Produkte von morgen aussehen, damit wir irgendwann mal ‚vor die Welle‘ kommen? Denn da sind wir noch nicht: Wir sind immer noch sehr reaktiv unterwegs und es geht um die Frage: Wie kommen wir in den aktiven Modus?“

Hierzu brauche es unter anderem Standards und „Security by Design“, damit es auch mal „Probleme gibt, denen wir nicht hinterherjagen müssen, sondern die von Anfang an gelöst sind“, sagte Plattner weiter: „Das müssen wir jetzt gestalten!“

Dazu gehöre auch als sechtes Feld, einen Cyber-Markt beziehungsweise ein Cyber-Ökosystem in Deutschland zu schaffen: „Das ist mir deshalb wichtig, weil das BSI daran gar keinen so großen Anteil haben kann. Es geht darum, einen Markt aufzubauen, in dem sichere Produkte und Sicherheitsprodukte einen Wert haben, den die Menschen auch dafür bezahlen. Dieser Wert ist für uns alle eigentlich schon offensichtlich, aber er schlägt sich noch nicht in den Zahlen nieder.“ Es müsse ein Markt entstehen, der auch durch Forschung befeuert wird und der Produkte hervorbringt, die uns wirklich helfen.

Nur gemeinsam gehts

All das sei keine Aufgabe für eine oder mehrere Behörden, sondern für ein ganzes Land: „Damit ist auch klar, dass das nur zusammen gelingen kann – aus dem Zusammenspiel von Politik, Wirtschaft, Wissenschaft und Gesellschaft. Da müssen wir alle ran, das kann keiner von uns allein – und deshalb auch das Motto dieses Jahr ‚Kooperation gewinnt‘. Wir als BSI sehen uns als Möglichmacher, als Partner und Helfer. Wir wollen die richtigen Impulse setzen und ganz konkret Hilfestellungen geben. Wir wollen auch ganz konkret schützen, wo wir das können und dürfen“, versprach Plattner. Und das wolle das BSI vor allen Dingen mit allen anderen zusammen tun: mit weiteren Behörden auf Bundesebene oder auch international, denn Cyberangriffe und -sicherheit machen nicht an Ländergrenzen halt.

„Das gilt übrigens auch für Bundesländer-Grenzen“, sprach Plattner ein Problem übermäßig föderaler Strukturen an. Zum Beispiel müsse man sich über zeitgleich ablaufende Angriffe an verschiedenen Orten austauschen: „Dann brauchen wir in dem Moment ein gemeinsames Lagebild – wir müssen wissen, was da gerade passiert. Nur dann können wir unsere Verteidigung darauf ausrichten. Wir brauchen vor allen Dingen gegebenenfalls auch ein übergreifendes koordiniertes Krisenmanagement. Wir müssen uns zusammentun und von Sekunde Null an miteinander handeln können.“ Auch das könne aber nicht funktionieren, wenn diese Zusammenarbeit nicht zuvor geübt wurde: „Wir arbeiten gut mit allen – keine Frage. Aber wir müssen das auf den nächsten Level heben! Kooperation ist die einzige Chance, wie wir das hinbekommen“, unterstrich Plattner.

International sei neben NIS-2 auch der EU Cyber-Resilience-Act (CRA) bedeutsam: „Security by Design“ für die Produkte der Zukunft lasse sich eben nicht nur für Hessen, Hamburg oder Deutschland definieren – das brauche man mindestens auf europäischer Ebene. Dazu müssten Spezifikationen festgelegt und harmonisiert werden. Auch dabei gelte: „Nur in der Kooperation werden wir hiermit Erfolg haben können.“ Das BSI bereite sich intensiv auf seine künftigen Aufgaben zur Marktüberwachung vor, aber: „Wenn wir das im Elfenbeinturm tun, wird es nicht funktionieren. Wir müssen das mit den Unternehmen zusammen machen, die die Produkte am Ende des Tages auch tatsächlich herstellen. Uns geht es an dieser Stelle darum, adäquate Cybersicherheits Anforderungen zu definieren, damit wir hier weiterkommen – und irgendwann ‚vor die Welle‘.“

Lieferketten & Co.

Lieferketten seien ein weiterer bedeutender Problembereich, man denke nur an log4j oder die gerade noch rechtzeitig verhinderte Linux-Infiltration über die XZ Utils. Selbst wenn jemand seine Sache gut macht und seine eigene IT und Produkte schützt, heißt das nicht, dass er vor Schaden gefeit ist, wenn aus der Lieferkette ein Problem vererbt wird. Nicht zuletzt seien deshalb Software-Bills of Material (SBOM) im CRA verankert worden: So wisse man bei bekannt werdenden Sicherheitslücken zumindest schnell, wo man aufpassen und patchen oder auch abschalten müsse.

Um herauszufinden, welche Schwachstellen für einen IT-Anwender relevant sind, helfe das vom BSI mitentwickelte „Common Security Advisory Framework“ (CSAF, www.bsi.bund.de/CSAF). Damit sei ein automatischer Abgleich zwischen eingehenden (maschinenlesbaren) Schwachstellenmeldungen und der eigenen SBOM möglich: „Das ist uns deshalb so wichtig, weil wir dann auch an dieser Stelle über Automatisierung sprechen. Wir haben das manuell nicht mehr im Griff; das schaffen wir nicht. Dafür ist das viel zu viel“, konstatierte Plattner. Wenn wir jedoch mit entsprechenden Hilfsmitteln einen hohen Grad an Automatisierung erreichen, sei ein deutlich besserer Schutz möglich.

Der große Bogen von Bedrohung über Gesellschaft, Regulierung und Technik bis hin zum konkreten Handeln reflektiere die Komplexität der IT – und auf allen Ebenen gibt es etwas zu tun: „Das ist anspruchsvoll – da hängt alles mit allem zusammen. Und deswegen ist für uns das Thema Kooperation so wichtig. Auf allen Ebenen braucht es die richtigen Menschen, die etwas bewerkstelligen und das gemeinsam hinbekommen“, schloss die BSI-Präsidentin.

Grußworte

Dr. Markus Richter, Staatssekretär im Bundesministerium des Innern und für Heimat (BMI) sowie Beauftragter der Bundesregierung für Informationstechnik eröffnete sein Grußwort mit der Feststellung, dass IT-Sicherheit im Grunde genommen so alt sei wie die IT selbst: „Trotzdem haben wir das Gefühl, dass wir in einer neuen Zeitrechnung sind. Und ehrlich gesagt: Das stimmt auch. Wir beobachten nicht nur eine wahnsinnige Zunahme der Quantität, was Angriffe anbelangt, sondern auch die Qualität, die sich weiterentwickelt. Wir haben eine geopolitische Lage, die sehr angespannt ist und alles von uns abverlangt. Und deswegen tut es gut, dass wir mit dem BSI ein Team haben, das mit viel Innovationskraft und Expertise dieses Thema schon über einen langen Zeitraum begleitet.“

Dabei stehe das BSI nicht zuletzt für das Vereinbaren von Innovation und IT-Sicherheit, sagte Richter: „Oft wird das ja als gegensätzlich diskutiert – das BSI schafft es immer wieder, genau das Gegenteil darzustellen: nämlich Innovation nicht trotz IT-Sicherheit, sondern durch IT-Sicherheit.“ Das sei angesichts der fortschreitenden Digitalisierung aller Bereiche der richtige Ansatz.

Außerdem stünden das BSI und auch der IT-Sicherheitskongress exemplarisch für eine sektorübergreifende Zusammenarbeit: „Wir sehen gerade mit Blick auf kritische Infrastruktur, dass es uns noch besser gelingen muss, effektiv zusammenzuarbeiten.“ Richter begrüßte es als wichtig, dass auf europäischer Ebene im KRITIS-Umfeld eine Harmonisierung mit hohen Standards erfolgt – schließlich finde IT-Sicherheit im Vernetzten statt: „Insofern ist es wichtig, dass wir mit unseren Partnerinnen und Partnern international vernetzt eng zusammenarbeiten und einen europäischen Rechtsrahmen vorfinden, der gleiche Standards verlangt.“ Auf dieser Basis müsse nun vor allem das gemeinsame Wirken, Arbeiten und Handeln im Vordergrund stehen.

Neben den 30 Vorträgen und Eröffnungssessions gab es auch zwei Podiumsdiskussionen zum Kongressmotto „Cybernation Deutschland: Kooperation gewinnt“ sowie zur Sicherheit in Lieferketten (im Bild).

Für die ENISA, die übrigens 2024 ihr 20-jähriges Bestehen feiert, unterstrich Juhan Lepassaar, Executive Director der EU-Agentur für Cybersicherheit, ebenfalls die Bedeutung gemeinsamen Handelns:

Juhan Lepassaar (ENISA): „Nur mit Ihnen allen lässt sich die Cybersicherheit in Deutschland und Europa zukünftig weiter verbessern – es gibt noch viel zu tun.“

Die EU habe in den vergangenen Jahren wichtige Meilensteine erreicht – beispielsweise die NIS-1-Implementierung, Zertifizierungsschemata sowie Entwurf und Implementierung nationaler Cybersicherheits-Strategien: „Nur mit Ihnen allen konnten solche Meilensteine erreicht werden – und nur mit Ihnen allen lässt sich die Cybersicherheit in Deutschland und Europa zukünftig weiter verbessern. Es gibt jedoch noch viel zu tun“, so Lepassaar. Sowohl in Deutschland als auch auf EU-Ebene müsse zusammen gearbeitet werden – das sei der einzige Weg, um einen hohen gemeinsamen Grad an Cybersicherheit zu gewährleisten.

Unter anderem müsse ein europaweites Incident-Reporting einfacher und effektiver werden. Sicherheitslücken aufgrund ungepatchter Systeme sowie Supply-Chain-Compromise und Fachkräftemangel gehören einem aktuellen ENISA-Report zu den Top-Cyber-Bedrohungen der nächsten Jahre. Cybersecurity benötige daher auch nennenswerte finanzielle Mittel: Deutschland stehe zwar im europäischen Ranking bei Investitionen in Sachen Sicherheit mit durchschnittlich 4 Mio. Euro pro KRITIS-Betreiber auf Platz zwei, während das EU-Mittel nur bei 0,7 Mio. Euro liege. Die ENISA schätzt jedoch, dass selbst die hohen Ausgaben deutscher Betreiber an sich noch nicht ausreichend sein dürften.

Best-Student-Award

Best-Student-Award: BSI-Präsidentin Claudia Plattner überreicht Moritz Volkmann die Siegesurkunde.

Vier der dreißig Kongressbeiträge konkurrierten dieses Jahr um den Best-Student-Award: Hier konnte sich Moritz Volkmann (HAW Hamburg – FTZ CyberSec) gegen seine Mitbewerber Julius Röttger (Hochschule Bonn-Rhein-Sieg – ICSP), Martin Helge Dependahl (Hochschule Karlsruhe in Kooperation mit EnBW) sowie Ben Lutz (Hochschule Furtwangen mit Unterstützung der BadenIT) durchsetzen.

Die Jury lobte, Volkmann sei es mit seinem Vortrag zu „Secure IoT Communication in Critical Infrastructure using Attribute Based Access Control (ABAC)“ gelungen, eine komplexe Thematik für ein breites Publikum gut nachvollziehbar zu erklären. Dabei sei auch der Wandel vom Consumer zum „Prosumer“ aufgezeigt worden, für den IT-Sicherheit eine entscheidende Voraussetzung darstelle. Als Beispielszenario ging es im Vortrag um den sicheren Handel überschüssigen Solarstroms zwischen Privatpersonen. Neben ABAC wurden dabei auch eine Intrusion-Detection auf Basis von Machine-Learning (ML) sowie der Einsatz von Self-Sovereign-Identities (SSI) für eine Peer-to-Peer-Handelsplattform betrachtet.

Diesen Beitrag teilen: