Sonntag, 26. August 2018

HANSEPERSONALITY BSI-Präsident Arne Schönbohm: "Die Lage ist ernst!"

HAMBURG CYBERCRIME INTERVIEW

Cybercrime aus der Ukraine, rechtliche und politische Grenzen, wirtschaftliche Interessen von Ländern aus Osteuropa und Asien: Internetnetkriminalität ist in Deutschland angekommen. Wie reagiert die Politik? In der Bundesrepublik ermittelt bislang jedes Bundesland für sich, gibt es kaum Datenabgleich zwischen den Landeskriminalämtern. 


BSI-Präsident Arne Schönbohm (re) mit ITEC-Vorstand Raphael Vaino.
Foto: HANSEVALLEY

Mit dem nationalen Cybersicherheitszentrum und Kooperationen mit den Ländern will das Bundesamt für Sicherheit in der Informationstechnik die Probleme anpacken. BSI-Präsident Arne Schönbohm ist Deutschlands Botschafter für Sicherheit im Internet. Am Dienstag war er im IT Executive Club Hamburg zu Gast. HANSEVALLEY hatte die Gelegenheit für ein exklusives Interview. Unser HANSEPERSONALITY ist BSI-Präsident Arne Schönbohm:

Sehr geehrter Herr Schönbohm: Sie sind gebürtiger Hamburger, heute sozusagen zurück in der alten Heimat. Was ist das für ein Gefühl, mit 60 CIOs, CTOs und IT-Strategen über die Herausforderungen von Cyberkriminalität nicht zuletzt in der Wirtschaft zu diskutieren?

Hier bin ich geboren worden, hier bin ich getauft worden, hier habe hier nach wie vor viele Freunde, die später auch in vielen politischen Bereichen aktiv geworden sind. Und Hamburg hat eine ganz besonders bedeutende Herausforderung im Bereich Logistik als Transportdrehscheibe, aber auch im Bereich der alternativen Energien, in Medien, Versicherungen und anderen Wirtschaftsbereichen, die hier in Hamburg besonders stark ausgeprägt sind.


"Informationssicherheit ist die Voraussetzung für die Digitalisierung."

Darum ist es wichtig, dass wir hier die Diskussion haben, weil es nicht nur darum geht, dass wir die IT voran bringen. Die IT ist genau wie die Informationssicherheit Voraussetzung für eine erfolgreiche Digitalisierung - damit wir neue Geschäftsmodelle erfolgreich aufsetzen können.


BSI-Präsident Arne Schöhnbohm im Dialog mit einem Gründer.
Foto: HANSEVALLEY

Ein Blick zurück, 27. Juni vergangenen Jahres: Alle 17 Fabriken von Beiersdorf stehen für 4,5 Tage still, 18.000 Mitarbeiter müssen auf ihr Gehalt warten. Der Schaden laut offiziellen Angaben: 35 Mio. € Umsatzausfall. Wie gefährdet sind sowohl Hamburger als auch deutsche Unternehmen, Opfer z. B. von Erpressungstrojanern oder Cyberspionage zu werden?

Wir haben über 620 Mio. Schadprogramme weltweit. D. h., alle Unternehmen in Hamburg, in Deutschland oder die weltweit tätig sind und IT benutzen laufen Gefahr, Opfer dieser Themen zu werden - von Ransomware-Epressung, wie z. B. der Nürnberger Kabelhersteller Lionie, der im Rahmen von CEO-Fraud einen Verlust von 40 Mio. € hatte. Sie haben Beiersdorf erwähnt. Es gibt andere Unternehmen, wie im Bereich Logistik, z. B. Maersk oder die FedEx-Tochter TNT Express, die Opfer davon geworden sind - teilweise in deutlich höheren Bereichen.


"Bewußte Risikoentscheidung - und das dann anwenden."

Da ist eine ganz entscheidende Bedingung, die jeder verstehen muss: Die Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Und ich kann mich nicht nur mit den Chancen beschäftigen, sondern muss auch die Risiken verstehen, und genau das macht einen guten Manager aus.

Cyberspionage kostet Unternehmen allein in Deutschland im Jahr 55 Mrd. €, so der Bitkom. Gezieltes Ausspionieren von Unternehmen wird aktuell erst nach 243 Tagen bekannt. Thema Ransomware, also Epressungstrojaner: Rund 350 Ransomware-Familien beobachten sie als BSI. Wo kann ein Hamburger Unternehmen mit seiner IT-Abteilung ansetzen? Wo ist der Startpunkt, sich mehr, intensiver um diese Themen zu kümmern?


Klare Worte an Hamburgs Unternehmer: Arne Schönbohm.
Foto: HANSEVALLEY

Ich glaube, dass es im Bereich der Informationssicherheit und der Digitalisierung insgesamt einen ganzheitlichen Ansatz zu verfolgen gilt. Es geht darum, dass man eine Balance herstellt, dass man versteht, welche Risiken bin ich bereit zu akzeptieren, welche bin ich nicht bereit, zu akzeptieren - und dazu gehört Informationssicherheit als Regelwerk, wie ich damit umgehen kann. Dafür gibt es eine Vielzahl vom Standards, denken Sie an die ISO 27001, aber auch an den BSI-Grundschutz, der weltweit mittlerweile anerkannt ist, den andere Länder wie Estland eingeführt haben.


"Welche Risiken bin ich bereit, einzugehen?"

Das gilt auch für kleine und mittelständische Unternehmen - die Betriebe, die jetzt anfangen, sich zu digitalisieren, mit einem vernünftigen Regelwerk zu agieren. Und da ist der BSI-Grundschutz ein guter Schritt, sich näher damit zu beschäftigen und dann Mitglied zu werden - neben dem IT Executive Club - z. B. bei der Allianz für Cybersicherheit, oder wenn Sie eine kritische Infrastruktur haben, beim Umsetzungsplan KRITIS.

In den 10 bekanntesten Softwareprodukten gab es im vergangenen Jahr 1.000 kritische Lücken. Große Unternehmen, wie Beiersdorf, Hapag-Lloyd, Kühne + Nagel, Otto Group oder Tchibo haben IT-Spezialisten, können IT-Dienstleister beauftragen. Stellen Sie sich vor, Sie wären IT-Security-Verantwortlicher eines mittelständischen Unternehmens. Was würden Sie als besondere Herausforderungen für Daten und ihr Geschäft sehen?

Die 1.000 Sicherheitslücken in den 10 bekanntesten Softwareprodukten wird man nicht wegbekommen. Es geht darum, dies zu verstehen und eine vernünftige Update-Policy zu haben. Es geht darum, dass man vernünftige Backups hat, d. h. wenn Ihre Daten als kleineres Unternehmen verschlüsselt werden, dass Sie Backups haben, die sich nicht automatisch überschreiben, sondern die Sie separat betreiben und dann wieder einspielen können. Wie immer im Leben: Es ist relativ einfach - wie im Straßenverkehr - ein Mindestmaß an Informationssicherheit zu bekommen. 


"Ich will, dass es nicht mehr heißt 'sicher oder nicht sicher'!"


Arne Schönbohm in der Diskussion mit Hamburgs IT-Executives.
Foto: ITEC/Saskia Wegner Photographie

Das ist es, worum es geht als kleiner Mittelständler - sich heranzutasten, Backups zu machen, Sicherheitssysteme zu implementieren, vernünftig mit offenen Augen damit umzugehen. Das ist für den Mittelständler eine gute Grundlage, um erfolgreich in der Digitalisierung bestehen zu können.

Sie kümmern sich um den Staat, um die Bundesebene, aber natürlich auch um die Bürger. Bleiben wir bei der Wirtschaft. Sie haben das Thema BSI-Grundschutz bereits angesprochen. Es gibt verschiedenste Zertifizierungen. Stellen Sie unseren Lesern einmal die Möglichkeiten vor, die das BSI für Unternehmen hat?

Einfachstes Thema ist natürlich das gesamte Thema des BSI-Grundschutzes. Das ist komplett überarbeitet worden. Dort gibt es drei Kategorien, also "low", "medium" und "high". D. h., je nachdem, welches Risikoprofil Sie haben, können Sie darauf eingehen und entsprechende Vorsichtsmaßnahmen treffen. Das beginnt bei der Veränderung der Passwörter über Verschlüsselung bis hin zu weitergehenden Schulungsmaßnahmen.

Arne Schönbohm - an der Seite der Hamburg Wirtschaft.
Foto: HANSEVALLEY

Das, was ich für den Mittelstand und für die Entscheider von besonderer Bedeutung halte ist, Abende zu haben, wie hier beim IT Executive Clubabend, aber natürlich auch im Rahmen der Allianz für Cybersicherheit, wo knapp 3.000 Unternehmen mittlerweile Mitglied sind, um sich zu informieren, wer z. B. zertifizierte Partner sind. Ich glaube, es gibt auch viele Scharlatane. Es geht darum zu wissen, wer ist denn wirklich gut, wer ist zertifizierter Partner mit einem Mindestkriterium? Also Austauschrunden zu organisieren und Best Practices austauschen.

"Das BSI hat eine große Bandbreite an Hilfsmaßnahmen,
die der Wirtschaft zur Verfügung steht."

Und dann, wenn ein Vorfall da ist, wo ist das rote Telefon, bei wem im BSI kann ich mich melden? Das geht, indem man sich als Betreiber kritischer IT-Infrastrukturen beim BSI registriert. Dann weiß man, wen man anrufen kann, damit einem sehr schnell geholfen wird - wo auch die anderen Institutionen wie das Bundesamt für Verfassungsschutz und das Bundeskriminalamt herangezogen werden, wenn es ein Spionageangriff ist. Auch wir sind bereit, unsere Mobile Response Teams rauszuschicken. Das sind praktisch die Cyber-Feuerwehren, wie damals beim Lukaskrankenhaus in Neuss, wo wir gesagt haben, da wollen wir helfen.

Sie sind nicht nur auf der Bundesebene, sondern auch auf der Länderebene aktiv. In der vergangenen Woche haben Sie eine Kooperation mit dem Land Berlin geschlossen. Sie planen, stärker in die Länder zu gehen. Auch in Hamburg wird beim Deutschen Wetterdienst eine Niederlassung eingerichtet. Welches Ziel verfolgen Sie mit der Regionalisierung und was haben Unternehmen - nicht nur in Hamburg - davon?

Wir wollen nicht nur als nationale Cybersicherheitsbehörde mit Hauptsitz in Bonn sagen 'Wir haben den Stein der Weisen'. Wir wollen rausgehen, auf der einen Seite, um einfacher zu kommunizieren. Ich glaube - und das gilt in Hamburg wie in allen anderen Regionen Deutschlands auch - man muss vor Ort sein, man muss Teil der Community sein bzw. werden, um auch entsprechend Unterstützung anbieten zu können. Wir sich kennt, kann auch besser Informationen austauschen. 


Auf den Punkt. Arne Schönbohm stellt sich den Fragen.
Foto: ITEC/Saskia Wegner Photographie

Das zweite Thema ist: Wir wollen unmittelbar darüber informieren. Also nicht nur die Informationen aufnehmen, sondern auch senden - nach dem Motto 'Wir haben bestimmte Gefährdungslagen. Überlegen Sie, wie Sie damit umgehen'. Das ist es, wofür wir auch hier die Niederlassung aufbauen. Wir haben uns ganz bewußt in Norddeutschland für Hamburg entschieden. Von Hamburg ist man relativ schnell in Hannover oder in Schleswig-Holstein, aber auch in Bremen. Damit haben wir Norddeutschland einschl. Mecklenburg und Schwerin ganz gut abgedeckt. Aber das ist nur ein erster Schritt.

"Es wäre gut, dass es auch Interesse seitens der Landesregierung gibt."

In Süddeutschland haben wir ein großes Buhlen der Bundesländer, wer wo wie was haben will. Ich glaube es gut, dass wir so etwas auch in Norddeutschland haben, und wir auch merken, dass es Interesse seitens der Landesregierung gibt.

Hamburg ist die Wirtschaftshauptstadt Deutschlands, die Drehscheibe für Handel und Logistik, eine der Top 3 Industriestandorte. Welche Botschaft haben Sie an die vornehmlich mittelständischen Familienunternehmen in der Region - gerade vor dem Hintergrund des Totalausfalls bei Beiersdorf - nicht Opfer von Cyberkriminalität zu werden? Was ist Ihre zentrale Botschaft an Unternehmer aber auch an IT-Chefs?

Ich glaube, man muss aufpassen, dass man nicht hinten runter fällt. Ich war neulich beim IBM-Internet of Things-Center weltweit in München. Die haben mir ihre Beispiele gezeigt. Das war leider nicht der Hafen Hamburg im Bereich Internet of Things. Das war der Hafen Rotterdam D. h., ich glaube man muss auch hier in Hamburg erheblich aufpassen, dass man sich nicht selbstgefällig zurücklehnt und sagt "das gucken wir mal in Ruhe weiter an". Die Geschwindigkeit nimmt dramatisch zu, und darum muss man auch hier die Chancen entsprechend realisieren und implementieren - und damit auch ein entsprechendes Risikomanagement. 

Gründer, CDOs, Vorstände und IT-Dienstleister beim ITEC-Abend.
Foto: HANSEVALLEY
Die Botschaft an die Familienunternehmen ist eine relativ einfach: Es gibt zwei Arten von Unternehmen - wachsende und sterbende. Ein wachsendes Unternehmen digitalisiert sich und geht mit der Zeit - und stellt sich auf die neuen Kundenbedürfnisse und Anforderungen ein, und optimiert damit auch seine Kostenstrukturen. Das gelingt aber nur, indem man auch ein vernünftiges Risikomanagement betreibt und damit nicht nur sagt 'Informationssicherheit macht der Fachmann', sondern selber weiß, die richtigen Fragen zu stellen und sich mit dem Thema zu beschäftigen - genau wie mit dem Thema der Digitalisierung. 

*   *   *

Vielen Dank für die offenen Worte!
Das Interview führte Thomas Keup.

Wir bedanken uns beim IT Executive Club Hamburg für die Möglichkeit dieses Interviews.

Die Hamburg Cybercrime Woche:

HANSECRIME: Cybercrime - das vermeintliche Risiko fürs Unternehmen!?
hh.hansevalley.de/2018/08/hansecrme-cybercrime-das-vermeintliche.html

HANSECRIME: Cybercrime an der Alster. Die Ermittlungen des "CSI ZAC".

hh.hansevalley.de/2018/08/hansecrime-cybercrime.html

 Hamburg Cybercrime Background: 

Zentrale Anprechstelle Cybercrime (ZAC)
Tel. 42 86 - 75 4 55, E-Mail zac@polizei.hamburg.de
polizei.hamburg/cybercrime/6714092/zentrale-ansprechstelle-cybercrime/


BKA zu Internetkriminalität / Cybercrime:

bka.de/DE/UnsereAufgaben/Deliktsbereiche/Internetkriminalitaet/internetkriminalitaet_node.html

BSI Allianz für Cybersicherheit - Erste Schritte für mehr Cybersicherheit:

allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/ErsteSchritte/Erste_Schritte_node.html

BSI + BBK Internetplattform zum Schutz kritischer Infrastrukturen - KRITIS:
kritis.bund.de/