BSI-Präsidentin: "Allerhöchste Eisenbahn für mehr Schutz"

Inhaltsverzeichnis

Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) Claudia Plattner fordert mehr Kooperation und pragmatische Herangehensweisen. Auf dem 20. BSI-Kongress am Dienstag in Bonn sagte sie, dass Forderungen nach Hackbacks, wie sie etwa Ex-BND-Präsident Gerhard Schindler offensiv vertritt, immer aus einer ganz bestimmten Perspektive kämen. Die Situation sei etwa damit vergleichbar, dass ein Angreifer eine Stange Dynamit in einem betriebswichtigen Gebäude deponiere und die Zündschnur bis ins Angreiferland lege, wo der Täter mit einem Streichholz stehe, erläuterte Plattner.

Darauf könne man mit mehreren Optionen reagieren: Den Angreifer zu kriegen, sein Streichholz unwirksam zu machen, darüber könne man nachdenken. Man könne aber auch die Lunte durchschneiden – oder die Tür schließen. In der IT-Sicherheit wären das Prävention und Detektion.

Gerade mittlere Unternehmen attraktive Ziele

Die Lage in der Cybersicherheit sei weiterhin besorgniserregend. Es gebe eine unheilige Allianz zwischen profitorientierter organisierter Bandenkriminalität und staatlicher Unterstützung oder Duldung. Die Motivation zu erkennen, sei in vielen Fällen gar nicht leicht – also ob es sich um einen politischen oder einen rein kriminell motivierten Angriff handele.

Insbesondere kleine und mittlere Unternehmen seien verwundbar, mittlere zudem attraktive Ziele, erläuterte Plattner. Sie müssten aber genau wie größere Unternehmen nicht wehrlos sein. Es gebe technischen Schutz - und den umzusetzen, dafür sei es "allerhöchste Eisenbahn".

SBOM und CSAF sollen Probleme lösen helfen

Allerdings seien auch Unternehmen verwundbar, die eigentlich alles richtig machten – insbesondere bei Sicherheitslücken jene, die in der Lieferkette weiter vorn liegen. Plattner verwies in dem Zusammenhang auf die Beispiele Log4j und xz. Als einen wesentlichen Schritt zu mehr Sicherheit sieht die BSI-Präsidentin deshalb die "Software Bill of Materials" (SBOM). Dabei handelt es sich um ein standardisiertes Dokumentationsformat, in dem eingesetzte Softwarekomponenten hinterlegt werden. Gemeinsam mit dem maschinenlesbaren Common Security Advisory Framework (CSAF) ermögliche das auch die weitgehende Automatisierung sicherheitskritischer Updates.

Diese beiden Elemente werden mit dem Cyber Resilience Act (CRA) zur Pflicht. Mit ihnen würden auch Auswertungen einfacher, hofft die BSI-Präsidentin. Zwar sei damit auch Offenheit zu möglichen Verwundbarkeiten verbunden – doch die Vorteile würden überwiegen.

Ansprechpartner standardisiert auffindbar machen

Um Sicherheitslücken einfacher aufzuzeigen, hat das BSI eine Empfehlung für RCF 9116-konforme security.txt ausgesprochen: Damit sollen Verantwortliche einfacher und standardisiert kontaktiert werden können, wenn bei ihnen Sicherheitsprobleme entdeckt werden. Die jetzt veröffentlichten Empfehlungen raten dazu, über Mindestangaben eines Kontakts und des Ablaufdatums hinaus unter anderem sichere Kommunikationswege, bevorzugte Sprachen bei der Kontaktaufnahme, Stellenangebots-Hinweise, Verweise auf das CSAF und Hinweise auf besondere Verfahren – etwa Bug-Bounty-Programme oder andere Methoden zu nutzen.

Plattner, die seit zehn Monaten Präsidentin des BSI ist, fordert insgesamt mehr Kooperation zwischen allen Beteiligten – ihr ginge es nicht darum, mehr Kompetenzen für das BSI zu bekommen. Sondern darum, dass jetzt schnellstmöglich viel für die Cybersicherheit getan würde. Denn das Thema sei komplex: "Cybersicherheit passt nicht auf eine DIN-A4-Seite, das ist eher eine A0-Tapete." Dabei müssten alle Akteure an einem Strang ziehen, die Probleme machten auch an Bundeslandgrenzen nicht halt. Damit spielte Plattner auf den Widerstand aus Bundesländern gegen eine stärkere, formalisierte Stellung des BSI bei der Cybersicherheit an – die sogenannte Zentralstellenfunktion, die politisch umstritten ist.

(anw)