Suche innerhalb des Archivs / Search the Archive All words Any words

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[infowar.de] Schily beim IT-Sicherheitskongress



Rede von Otto Schily, Bundesminister des Innern, auf dem 9. Deutschen
IT-Sicherheitskongress des Bundesamtes für Sicherheit in der
Informationstechnik (BSI) am 10. Mai 2005 in Bonn-Bad Godesberg
(Es gilt das gesprochene Wort!)
 
Sehr geehrter Herr Bürgermeister Naaß,
sehr geehrter Herr Dr. Helmbrecht,
sehr geehrte Fr. Prof. Eckert,
sehr geehrte Damen und Herren!
 
Ich begrüße Sie sehr herzlich auf dem 9. Deutschen IT-Sicherheitskongress in
Bonn/Bad Godesberg. Dass diese Tagungsreihe des Bundesamtes für Sicherheit
in der Informationstechnik in den 15 Jahren ihres Bestehens zur größten
Veranstaltung zum Thema im deutschsprachigen Raum geworden ist, spricht sehr
deutlich für die herausragende Stellung des BSI als dem Kompetenzzentrum für
Informations- und Kommunikationssicherheit in Deutschland und weit darüber
hinaus.
 
Moderne Informations- und Kommunikationstechnik entfaltet eben - das ist
inzwischen eine Binsenweisheit - ihre positive Wirkung nur dann, wenn wir
umfassende Sicherheit organisieren. Die Bundesregierung sieht darin eine
ihrer vorrangigen Aufgaben.
 
Wie grundlegend sich dabei die Fragestellungen in den vergangenen 15 Jahren
verändert haben, beweist ein Blick in die Tagesordnung des ersten Kongresses
im Jahr 1990. Ein sehr wichtiger Punkt war seinerzeit die Abstrahlsicherheit
- ein Thema, das im Zusammenhang mit der zwar abnehmenden, aber die damalige
Sicherheitslage noch stark bestimmenden Blockkonfrontation stand.
 
Heute haben wir ein verändertes europäisches Sicherheitsumfeld, das durch
zwei gegensätzliche Tendenzen gekennzeichnet ist. Zum einen gehören wir aus
verteidigungs- und außenpolitischer Sicht zu einem historisch einzigartigen
gefestigten Stabilitätsraum. Wir haben eine erweiterte EU, sind fest im
transatlantischen Bündnis verankert und entwickeln auf europäischer Ebene
eine gemeinsame Sicherheitspolitik.
 
Die gegenläufige Entwicklung ist, dass unsere Sicherheit heute von
nichtstaatlichen Akteuren extrem bedroht ist. Wir sprechen in diesem
Zusammenhang von einer asymmetrischen Bedrohung. Dazu gehören der
internationale islamistische Terrorismus und die weit verzweigte
organisierte Kriminalität. Damit entstehen neue Gefahrenlagen auch im
Bereich der Informations- und Kommunikationstechnik. Es geht zwar auch heute
noch darum, die Spionage eines fremden staatlichen Nachrichtendienstes
abzuwehren. Wir müssen darüber hinaus aber eine Vielzahl von Angriffen
nichtstaatlicher Akteure abwehren, die entweder auf Störung oder Zerstörung
von Informations- und Kommunikationseinrichtungen gerichtet sind oder die
die Informations- und Kommunikationsmittel für ihre verbrecherischen Ziele
zu nutzen versuchen. Außerdem hat sich jenseits von Terrorismus und
organisierter Kriminalität eine spezifische Computer-Kriminalität
herausgebildet, für die wir neue Bekämpfungsstrategien entwickeln müssen.
 
 
Dass unsere IT-Systeme in immer größerem Ausmaß Hackerangriffen und der
Bedrohung durch Viren und Würmer ausgesetzt sind, gilt für die Anlagen
privater Anwenderinnen und Anwender genauso wie für Firmennetze. Die
Gefährdungssituation hat sich in letzter Zeit deutlich verschärft und die
folgenden Zahlen belegen das sehr eindrucksvoll:
 
An den Knotenpunkten des Kommunikationsnetzes der Bundesverwaltung - des
sog. IVBB - hat das Bundesamt für Sicherheit in der Informationstechnik
(BSI) noch nie so viele, so gefährliche und so weit verbreitete Viren wie im
Jahr 2004 registriert. Das IVBB war letztes Jahr über 2,5 Millionen
Angriffsversuchen ausgesetzt. Dabei handelte es sich bei über 80 Prozent der
gefundenen Schadprogramme um Würmer oder Trojaner. Durchschnittlich waren
monatlich rund 6 Prozent der E-Mails infiziert, die an den zentralen
E-Mail-Gateways der Bundesbehörden geprüft wurden.
 
Und die massenhafte Zunahme dieser Plage setzt sich fort: Im ersten Quartal
dieses Jahres lag der Anteil der infizierten E-Mails bereits bei 8 Prozent.
 
Anrede!
 
Das Problem hat neben seinem massiven Ausmaß, eine Reihe von weiteren
Aspekten, zum Beispiel eine sich wandelnde strukturelle Dimension: Wir haben
es heute mit einem veränderten Täterprofil zu tun. Früher waren Personen,
die Viren oder andere Schadprogramme in Umlauf brachten, häufig Schüler und
Studenten - so genannte "Skript-Kiddies". Inzwischen hat sich die Szene
professionalisiert und hinter den Attacken stehen immer öfter handfeste
finanzielle Interessen. Die Hacker wollen Geld machen und nicht mehr nur
zeigen, was sie können, indem sie Schwachstellen aufdecken.
 
Laut Symantec zielten im letzten Jahr 16 Prozent der Angriffe auf
E-Commerce-Unternehmen. Das entspricht einer Zunahme um etwa 400 Prozent
gegenüber dem vorherigen Halbjahr und weist auf sehr breit angelegte
Angriffe auf die Zahlungsströme im Internet hin.
 
In diesen Zusammenhang gehört das Stichwort "Phishing": Betrüger versuchen,
über E-Mails, die ein Geldinstitut als Absender vorgaukeln, an Zugangsdaten
zum Online-Banking zu gelangen und so die Bankkonten der nichts ahnenden
Kontoinhaber leer zu räumen.
 
Nach Angaben der Anti-Phishing-Working-group gingen im Februar 2005
Phishing-Attacken von knapp eintausend Servern aus, die jeweils abertausende
von Phishing-Mails an potentielle Betrugopfer versandten. Im November des
Vorjahres waren es lediglich 381.
 
Das Problem hat auch eine sich verschärfende zeitliche Dimension: Die
Angriffe ereignen sich in immer kürzeren Abständen. Schwachstellen in
Standardanwendungen und Betriebssystemen wurden im vergangenen Jahr immer
schneller für Angriffe auf IT-Systeme genutzt. Bereits wenige Stunden nach
oder sogar fast zeitgleich mit dem Bekanntwerden einer Sicherheitslücke
waren erste Angriffe zu verzeichnen. Das sind die so genannten
Zero-Day-Exploits.
 
Nach Messungen von Symantec konnten Hacker innerhalb von knapp 6 Tagen nach
dem Bekanntwerden einer Sicherheitslücke ein neues Schadprogramm entwickeln.
Das bedeutet, dass für die geschädigten IT-Systeme in dieser kurzen
Zeitspanne oft weder die notwendigen Programmupdates zur Verfügung gestellt
noch Maßnahmen entwickelt werden können, um die Sicherheitslücke zu
schließen.
 
Anrede!
 
Die wirtschaftlichen Auswirkungen dieser IT-Angriffe sind verheerend, denn
gute und verlässliche Kommunikations- und Informationssysteme sind
bekanntlich eine Grundvoraussetzung für wirtschaftliche Entwicklung. Zwar
war die Vertraulichkeit von Unternehmensdaten schon immer durch
Wirtschaftsspionage gefährdet. Heute jedoch verfügen Wirtschaftskriminelle
über ganz neue Möglichkeiten, sich unlautere Wettbewerbsvorteile zu
verschaffen. Sie spähen gezielt und IT-gestützt Unternehmensnetze aus und
die dort abgelegten Informationen zu Ausschreibungen, Verträgen und Preisen.
Die Forschungs- und Entwicklungsabteilungen sind zwar am stärksten bedroht,
inzwischen sind jedoch nahezu alle Unternehmensbereiche gefährdet.
 
Wir können zudem nicht gänzlich ausschließen, dass lebenswichtige
IT-Infrastrukturen ins Visier professioneller Hacker geraten oder gar
Terroristen das Internet zu ihrer Waffe machen. Auch wenn unsere
Sicherheitsbehörden so genannte Cyberangriffe mangels konkreter Hinweise für
unwahrscheinlich halten, gibt es zumindest die theoretische Möglichkeit
eines so gearteten terroristischen Angriffs auf unsere Infrastrukturen. Und
das heißt, dass wir uns wappnen müssen.
 
Unter dem Begriff Kritische Infrastrukturen fassen wir alle Organisationen
und Einrichtungen zusammen, die für das staatliche Gemeinwesen von
lebenswichtiger Bedeutung sind. Dazu gehören die Informations- und
Kommunikationstechnik, der Energiesektor, das Finanz- und
Versicherungswesen, der Transport- und Versorgungssektor, das Notfall- und
Rettungswesen, genauso wie das Gesundheitswesen und die öffentliche
Verwaltung. Kritische Infrastrukturen sind wegen ihrer lebenswichtigen
Funktionen in besonderem Maße auf sichere, und das heißt vor allem auf
ausfallsichere IT angewiesen.
 
In Deutschland befinden sich etwa vier Fünftel aller Kritischen
Infrastrukturen in privatwirtschaftlicher Hand. Die Grundlage der so
genannten KRITIS-Strategie des Bundes zum Schutze dieser Infrastrukturen ist
deshalb die Zusammenarbeit mit den privaten Infrastrukturbetreibern. Gleich
nach den terroristischen Angriffen des Jahres 2001 hatte ich mich mit den
wichtigsten Betreibern in Deutschland zusammengesetzt, um
Bedrohungsszenarien und Schutzmöglichkeiten zu erörtern.
 
Anrede!
 
Zudem wurde das BSI von mir beauftragt, uns mit Hilfe einer Studie ein
genaues Bild von Ausmaß und Charakter der IT-Abhängigkeit Kritischer
Infrastrukturbereiche zu verschaffen. Die Ergebnisse haben wir inzwischen
den Verbänden der Betreiber Kritischer Infrastrukturen vorgestellt. Wir
sehen derzeit keine Verwundbarkeiten, die sofortiges Handeln erforderlich
machen. Aber für die Zukunft müssen wir aufgrund der zunehmenden
IT-Durchdringung auch mit einer größer werdenden Gefährdung rechnen.
 
Die ersten Schritte hin zu engeren, auch sektorenübergreifenden
Kooperationen sind getan. In nächster Zeit wollen wir dann zu belastbaren
und verbindlichen Vereinbarungen kommen.
 
Unsere Abhängigkeit von Informationstechnik nimmt ständig zu und es ist
nicht zu erwarten, dass diese Entwicklung in absehbarer Zeit nachlässt. In
dem gleichen Maße, in dem sich immer mehr Bereiche in Wirtschaft und
Gesellschaft auf IT stützen, muss auch das öffentliche Bewusstsein für die
damit verbundenen Risiken und für die große Bedeutung der IT-Sicherheit
wachsen.
 
Hier wird noch viel Aufklärungsarbeit zu leisten sein, zu der das BSI schon
heute einen wichtigen und sehr effektiven Anteil beiträgt. Die Netzadresse
www.bsi-fuer-buerger.de ist Ihnen hoffentlich bekannt. Dort sind ganz
hervorragende Bürgerinformationen abrufbar. Ganz aktuell beispielsweise gibt
es dort einen Leitfaden, wie man die letzte Woche massenhaft in Umlauf
gebrachte neueste Variante des Computerwurms Sober entfernt.
 
Anrede!
 
Besonders die Kinder und die Jugendlichen müssen nicht allein mit den großen
Chancen, sondern auch mit den Gefahren in der IT-Technik vertraut gemacht
werden. So wie aufgrund der heutigen Verkehrsinfrastruktur eine frühe
Verkehrssicherheitserziehung dazu gehört, muss auch die
Informationssicherheitserziehung Teil der Standard-IT-Ausbildung von jungen
Menschen werden.
 
Das Gleiche gilt für die Ausbildungsprogramme typischer IT-Berufe (wie etwa
Mathematisch-Technischer Assistent, Datenverarbeitungskaufmann oder
Programmierer). Auch hier fehlen oftmals Konzepte für die IT-Sicherheit.
Kenntnisse darüber, wie man sich gegen Computer-Viren schützt, müssen ebenso
zur Qualifikation eines Berufsanfängers gehören wie das Standardwissen über
Datenbanken, Programmiersprachen und Vorgangbearbeitungssysteme.
 
Das alles sind wichtige Aspekte. Ich sehe die Rolle des Staates hier jedoch
nicht nur als die des ständig Mahnenden, der mit erhobenem Zeigefinger die
Unternehmen, die Verbände, die Bürgerinnen und Bürger an die mit den
technologischen Chancen verbundenen Risiken erinnert. Prozessgestaltung ist
das Schlüsselwort. IT-Sicherheit muss in alle Prozesse integriert werden,
sie muss eine Selbstverständlichkeit sein. IT-Sicherheitskonzepte,
IT-Sicherheitsbeauftragte, Revisionen und Notfallübungen, Berichtswesen bis
zum Vorstand - all dies gibt es zwar bereits in einzelnen Bereichen. Es muss
jedoch zur Chefsache in allen Unternehmen werden.
 
Anrede!
 
Auf der Bundesebene gehen wir mit gutem Beispiel voran und wollen die große
Fachkunde des BSI für die Bundesverwaltung noch stärker in der Breite
nutzen. Das gilt nicht nur für die Kryptographie als eine der
Kernkompetenzen des BSI, die die Basis jedweder sicherer
Regierungskommunikation ist.
 
Unter der Federführung meines Hauses erarbeiten wir zusammen mit dem BSI
derzeit einen "Nationalen Plan zum Schutz der Informationsinfrastrukturen in
Deutschland", den ich in Kürze dem Bundeskabinett und der Öffentlichkeit
vorstellen werde. In diesen Plan werden wir präventive Schutz- und
Organisationsmaßnahmen aufnehmen, die dabei helfen, die Einsatzrisiken zu
minimieren. Ebenso werden wir Maßnahmen zur wirkungsvollen Reaktion bei
IT-Sicherheitsvorfällen einführen.
 
Perspektivisch ist es unser Ziel, ein nationales IT-Krisenmanagement
aufzubauen - mit einem IT-Krisenreaktionszentrum des Bundes im BSI.
 
Besonders wichtig ist die Nachhaltigkeit unserer Initiative. Das bedeutet,
die deutsche IT-Sicherheitsindustrie zu unterstützen und damit unsere
Kompetenz auf dem Gebiet zu stärken, um wiederum selbst international
Standards setzen zu können. Denn um die nationalen
Informationsinfrastrukturen langfristig schützen zu können, brauchen wir
nicht nur politischen Willen und gute Absichten, sondern vertrauenswürdige
IT-Dienstleistungen und Sicherheitsprodukte von zuverlässigen Anbietern.
 
Das BSI hat in diesem Zusammenhang eine Schlüsselrolle, damit wir in Zukunft
"on top of things" sind, wenn es um neue IT-Sicherheitsanforderungen geht.
Dafür müssen dem BSI zusätzlich operative Zuständigkeiten und Kompetenzen
übertragen werden, die weit über seine jetzige, zumeist beratende Funktion
hinausgehen.
 
Hierzu erhält das BSI die notwendigen zusätzlichen Ressourcen. Ich habe mich
seit Jahren mit Erfolg für den personellen und sachlichen Ausbau des BSI
eingesetzt. In diesem Jahr sind zum Beispiel 35 neue Stellen geschaffen
worden. Die Haushaltsmittel für das Bundesamt haben sich seit 1998 von
damals 34 Millionen auf heute 52,6 Millionen Euro erhöht. Das ist eine
beachtliche Steigerung angesichts der angespannten Haushaltslage und zeugt
davon, wie ernst wir die Informationssicherheit nehmen.
 
Um sie gewährleisten zu können, brauchen wir unterschiedliche Formen der
Zusammenarbeit: Zum einen ist die enge Kooperation mit der Wirtschaft, mit
den privaten Betreibern von Informationsinfrastrukturen, erforderlich. Zum
anderen ist die IT-Sicherheit, wie die meisten anderen Bereiche der
Sicherheitspolitik auch, ein wichtiges Thema auf der europäischen und auf
der transatlantischen Agenda.
 
Mit dem bereits erwähnten "Nationalen Plan zur Sicherheit der
Informationsinfrastrukturen in Deutschland" werden wir klare Vereinbarungen
mit den privaten Betreibern darüber treffen, wie die notwendigen Aufgaben
bewältigt werden sollen. Hierzu wird auch der gesetzliche Rahmen geprüft und
gegebenenfalls angepasst werden.
 
Die Bundesregierung lädt die Partner in der Wirtschaft in regelmäßigen
Abstimmungsrunden dazu ein, vor allem im Bereich der Kritischen
Infrastrukturen bei der Umsetzung des Nationalen Plans mitzuwirken. Die
nötigen Schutzmaßnahmen umzusetzen, sichert ja nicht nur die eigenen
Geschäftsprozesse, sondern langfristig auch den Wirtschaftsstandort
Deutschland und fördert so die internationale Wettbewerbsfähigkeit unseres
Landes.
 
Anrede!
 
In der europäischen Sicherheitszusammenarbeit haben wir letztes Jahr mit
ENISA, der Europäischen Agentur für Netz- und Informationssicherheit, eine
Institution geschaffen, die dem großen Bedarf an Erkenntnisaustausch,
Transparenz und Standardisierung im Bereich der europaweiten IT-Sicherheit
Rechnung trägt.
 
Dass wir jetzt eine Stelle haben, die auf der europäischen Ebene
Informations- und Netzsicherheit vorantreibt, geht auf unsere deutsche
Initiative in der EU zurück. Ich hatte seit Mitte 2000 unter meinen
europäischen Amtskollegen für die Idee geworben, eine dem BSI ähnliche
Institution in Europa zu schaffen. Mit ENISA hat die Europäische Kommission
unsere Forderung nach einer europäischen Koordinierungsstelle für den
Bereich der Netz- und Informationssicherheit umgesetzt. Ich gehe davon aus,
dass das BSI als nationale Spezialbehörde für IT-Sicherheit - gerade auch
aufgrund seiner einmaligen Stellung in Europa - für die konkrete
Ausgestaltung von ENISA eine Vorbildfunktion einnehmen wird.
 
In der konzeptionellen Ausrichtung von ENISA stehen die Informationssammlung
und -bereitstellung im Vordergrund. Mit ENISA sollen nicht etwa die
Kompetenzen des BSI auf eine höhere Ebene verlagert werden. Die Kernthemen
der nationalen IT-Sicherheitspolitik müssen und werden auch weiterhin in der
alleinigen Verantwortung nationaler Entscheidungsträger liegen. Aber wir
brauchen im europäischen Verbund mehr Erfahrungsaustausch und mehr Dialog
über Bekämpfungsstrategien.
 
Anrede!
 
Was für die nationale IT-Sicherheitspolitik gilt, hat selbstverständlich
auch auf der europäischen Ebene seine Richtigkeit: Neben dem Engagement
staatlicher bzw. europäischer Institutionen brauchen wir auch hier den Input
von Fachleuten aus Wirtschaft und Industrie. Ihr Urteil, ihre Vorschläge und
praktischen Erfahrungen sind für die weitere Ausgestaltung von ENISA
unverzichtbar.
 
Aus meiner engen transatlantischen Zusammenarbeit mit Tom Ridge, dem
ehemaligen US-amerikanischen Heimatschutzminister, ist die gemeinsame Idee
zum Aufbau eines internationalen "Watch and Warning"-Netzwerks
hervorgegangen. Dabei war uns von Anfang an klar, dass ein rein bilaterales
Zusammengehen nicht ausreicht und wir allein im internationalen Rahmen
Erfolg versprechende Lösungsansätze finden können. Unser Augenmerk muss
dabei auf der Prävention und der Gefahrenfrüherkennung liegen, damit Schäden
gar nicht erst entstehen können.
 
Im Oktober des letzten Jahres haben das Bundesinnenministerium und das
US-Department of Homeland Security nach Berlin eingeladen, um auf dem Gebiet
"Watch, Warning und Incident Response" Modelle verbindlicher Zusammenarbeit
und intensiven "Information Sharings" zu diskutieren. In Kürze sollen
bestehende regionale Netzwerke ausgebaut sowie eine Rahmenarchitektur zum
Informationsaustausch auf internationaler Ebene geschaffen werden. Wir haben
damit die Grundlage dafür geschaffen, sowohl heute bekannte Formen der
Cyberkriminalität und IT-Bedrohung wesentlich effektiver zu bekämpfen, als
auch künftige Gefahren schneller zu erkennen und einzudämmen.
 
Anrede!
 
Wir suchen den ständigen Erfahrungsaustausch: Mit anderen Regierungen, mit
internationalen Organisationen, mit der Wissenschaft und vor allem auch mit
den Praktikern in der deutschen IT-Sicherheitsindustrie. Ich freue mich
daher sehr über Ihr zahlreiches Erscheinen und Ihr großes Interesse an
diesem Fachkongress des BSI. Im Rahmen des anspruchsvollen und sehr
vielfältigen Programms der kommenden Tage wünsche ich Ihnen allen viele neue
wertvolle und weiterführende Erkenntnisse. 

-- 
Kontakt:

René Denzer
Vorstandsvorsitzender Arbeitsgemeinschaft für Internationale Politik und
Sicherheit (AGIPS) 
Düsseldorfer Str. 6
51145 Köln
eMail: denzer -!
- agips -
 org
URL: www.agips.org

Editor Germany, World Security Network (WSN)
eMail: rene -!
- worldsecuritynetwork -
 com
URL: www.worldsecuritynetwork.com

---------------------------------------------------------------------
To unsubscribe, e-mail: infowar -
 de-unsubscribe -!
- infopeace -
 de
For additional commands, e-mail: infowar -
 de-help -!
- infopeace -
 de