Arne Schönbohm, 52, arbeitete für Unternehmen wie EADS sowie als Berater für Sicherheitsthemen, bevor er 2016 vom damaligen Bundesinnenminister Thomas de Maizière zum Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) berufen wurde.
WirtschaftsWoche: Herr Schönbohm, sind die schweren Hackerangriffe auf Städte wie Schwerin, Witten oder im vergangenen Sommer den Landkreis Anhalt-Bitterfeld Vorboten einer speziell auf Kommunen gezielten Welle von Cyberattacken? Oder sind sie bloß Belege für die grundsätzliche Bedrohung auch von Behörden durch Cyberkriminelle?
Arne Schönbohm: Die Bedrohungslage haben wir unserem jüngsten Bericht zur Lage der IT-Sicherheit in Deutschland gerade als angespannt bis kritisch bezeichnet. Das gilt auch für Kommunen. Weiterhin stehen Unternehmen im Mittelpunkt von Cyberangriffen, insbesondere bei Ransomware-Vorfällen, also Attacken mit Erpressungsprogrammen. Hintergrund ist die finanzielle Motivation der Angreifer, die sich immer gezielter auf zahlungskräftige Opfer richtet. Die jüngsten Vorfälle zeigen sehr deutlich, welche schwerwiegenden Folgen Ransomware-Angriffe mit sich bringen. Dazu kommt, dass gerade bei solchen Vorfällen oft monatelange die Auswirkungen zu spüren sind. Das ist also eine potenzielle Bedrohung, die jede Kommune unbedingt ernst nehmen muss.
Das BSI ist bisher nur für die IT-Sicherheit der Bundesbehörden zuständig, soll aber künftig auch nationaler Koordinator für Cybersicherheit insgesamt werden. Wie steht es also um die Hackbarkeit von Landes- und Kommunalverwaltungen?
Das BSI steht den Ländern und Kommunen mit seiner IT-Sicherheitsberatung zu allen Fragen der Informationssicherheit zur Verfügung. Wir haben bereits elf Absichtserklärungen zur Zusammenarbeit mit Bundesländern abgeschlossen. Konkrete Kooperationsvereinbarungen werden voraussichtlich noch 2021 folgen. Das BSI steht außerdem in Kontakt mit den kommunalen Spitzenverbänden und arbeitet eng mit dem IT-Planungsrat zusammen.
Was bedeutet das konkret?
Wir haben beispielsweise ein IT-Grundschutzprofil für Kommunen entwickelt. Das heißt aber auch: Wir helfen, wo wir können, aber an manchen Stellen haben wir keine Handhabe. So gibt es etwa keine direkte Meldepflicht an das BSI bei IT-Sicherheitsvorfällen in Kommunen. Die Meldewege in den Bundesländern sind zudem unterschiedlich organisiert. Dem BSI liegen daher keine Informationen zur Gesamtheit der IT-Sicherheitsvorfälle in Kommunen vor.
In Anhalt-Bitterfeld waren Fachleute des BSI zur Unterstützung im Einsatz. Wie häufig sind Sie bei Landes- und Kommunalbehörden insgesamt tätig?
Sobald wir von einem IT-Sicherheitsvorfall in Kommunen erfahren, bieten wir unmittelbar Unterstützung an. Das kann eine direkte und konkrete Beratung sein, das Bereitstellen technischer Informationen, etwa zu einer speziellen Schadsoftware, oder auch Hilfe durch best-practice-Empfehlungen.
Und wie sieht es mit praktischer Hilfe aus?
Das mobile Einsatzteam (MIRT) des BSI steht zunächst nur für die Bundesverwaltung und für die Betreiber Kritischer Infrastrukturen nach IT-Sicherheitsgesetz bereit. Es kann nur in rechtlich engem Rahmen und in Ausnahmefällen auch in betroffenen Kommunen vor Ort unterstützen. Deswegen arbeiten wir intensiv an Initiativen wie der Allianz für Cyber-Sicherheit oder dem Cyber-Sicherheitsnetzwerk. Netzwerke, die dem kooperativen Austausch dienen und auch digitale Ersthelfer zur Verfügung stellen werden.
Das IT-Sicherheitsgesetz schreibt Unternehmen, die kritische Infrastrukturen betreiben vor, die IT-Sicherheit aktuell zu halten und Cybervorfälle zu melden. Der Staat selbst aber definiert sich, wie die fehlende Meldepflicht etwa bei den Kommunen zeigt, offenbar nicht als kritische Infrastruktur. Warum?
Natürlich betrachtet sich der Staat beziehungsweise die Verwaltung auch als Kritische Infrastruktur. Für die Bundesverwaltung ist dies klar geregelt. Hier bestehen Meldepflichten und das BSI ist operativ für die Cyber-Abwehr im Bereich der Regierungsnetze zuständig. Aber auf Bundesebene existieren auch andere Voraussetzungen. Die Regierungsnetze sind beispielsweise ein separat gesicherter Netzbereich. In den Ländern ist das jeweils anders ausgestaltet. Das Beispiel Bund zeigt, dass ein zentraler Ansprechpartner wie wir das sind dabei sehr hilfreich sein kann. Hier sammelt sich Expertise, es entsteht ein möglichst umfassendes Lagebild. Davon profitieren alle Zielgruppen des BSI.
Von der Anmeldung eines Babys bis zur Ausstellung einer Sterbeurkunde, vom Eintrag eines Hauskaufs bis zur Anmeldung eines Unternehmens – alles stockt, wenn die IT in Verwaltungen lahm liegt. Warum gibt es nicht längst einheitliche Vorgaben für die IT-Sicherheit von Behörden auf allen föderalen Ebenen?
Im Bereich der Informationssicherheit gibt es hinreichend Konzepte, Sicherheitsmaßnahmen für unterschiedliche Organisationen umzusetzen. Jede Kommune kann und – wenn Sie mich schon fragen – sollte sich nach IT-Grundschutz zertifizieren lassen. Das BSI stellt dazu ja bereits alles Nötige zur Verfügung. Wir unterstützen gerne.
Aber müssten für deutsche Behörden nicht längst die gleichen Auflagen wie für Unternehmen der Kritischen Infrastrukturen gelten – einschließlich der Vorgaben zur IT-Sicherheit und der Meldepflicht bei Vorfällen?
Für den Bund gibt es ja bereits entsprechende Maßnahmen und Regelungen. Die müssen, wie im IT-Sicherheitsgesetz 2.0 geschehen, immer wieder angepasst werden, um auch der technischen Entwicklung Rechnung zu tragen. In der neuen Cyber-Sicherheitsstrategie des Bundes ist für das BSI auch eine Zentralstellenfunktion im Bund-Länder-Verhältnis angedacht. Ich halte es für richtig, wenn Bund, Länder und Kommunen auf dem Gebiet der Informationssicherheit noch enger zusammenarbeiten.
Mehr zum Thema: Cyberattacken auf Schwerin und Witten werfen ein Schlaglicht auf die IT-Sicherheit deutscher Kommunen. Selbst in der Verwaltung wissen die wenigsten, wie sie gegen Hacker geschützt sind. Der Blindflug hat Methode.