In der sechsten Folge des Podcasts „heise meets … der Entscheider-Talk“ unterhält sich Gisela Strnad mit Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das Thema der beiden: „100 Tage IT-Sicherheitsgesetz 2.0 – erste Erfahrungen“.
Ende April 2021 hat der Bundestag das überarbeitete IT-Sicherheitsgesetz 2.0 zur Erhöhung der Sicherheit informationstechnischer Systeme verabschiedet. Es knüpft an das erste IT-Sicherheitsgesetz aus dem Jahr 2015 an. Da sich im Bereich der Cyberkriminalität extrem viel tut, müssen die Schutzmaßnahmen immer wieder angepasst werden, um die Informations- und Cybersicherheit zu gewährleisten. Dabei spielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine zentrale Rolle – die Behörde setzt sich für die präventive Förderung der Informations- und Cybersicherheit ein. Sie steht vor der großen Herausforderung, IT-Sicherheit in Verwaltung und Wirtschaft sowie in der Zivilgesellschaft ins Bewusstsein der Menschen zu bringen und umzusetzen, scheint aber gewappnet. „Das BSI ist mittlerweile sehr breit aufgestellt“, sagt Arne Schönbohm, Präsident des BSI, in der sechsten Folge des Podcasts „heise meets … der Entscheider-Talk“. „In den letzten 30 Jahren hat es sich kontinuierlich weiterentwickelt.“
Die Cyberkriminalität nimmt zu
Auslöser für das IT-Sicherheitsgesetz 2.0 ist für den BSI-Präsident „die ungeheure Dynamik in der digitalen Welt“. Er stellt fest: „Es gab einen fachlichen Regelungsbedarf, den das Bundesministerium des Inneren sehr erfolgreich und professionell umgesetzt hat.“ Doch nicht nur die IT hat sich in den letzten Jahren verändert, zugenommen hat auch die Angriffslust von Cyberkriminellen. Immer mehr Attacken richten immer größeren Schaden an. „Das ist die Kehrseite der Medaille“, so der 52-Jährige, der auf Platz eins der Cyberbedrohungen derzeit Ramsomware sieht, mit der Lösegeld von Unternehmen erpresst wird. „Das Entscheidende ist, dass wir es den Angreifern nicht so leicht machen, wie wir es ihnen in der Vergangenheit gemacht haben. Darum ist es wichtig, dass man die Informationssicherheit von vornherein mitdenkt. Dass man sich, so wie im Straßenverkehr auch, sicher bewegt. Wenn die Ampel Rot anzeigt, dann geht man nicht über die Straße, sondern erst bei Grün.“
Was die ersten Studien zeigen
Durch das IT-Sicherheitsgesetz 2.0 bekommt das BSI neue Rechte, zugleich erweiterte es seine Aufgaben. Dazu gehört, Produkte zu zertifizieren. Zu den Erfahrungen nach den ersten 100 Tagen sagt der BSI-Chef: „Natürlich sind wir proaktiv tätig geworden – wir wussten ja, dass das Gesetz kommt. Ich denke hier zum Beispiel an das Thema des digitalen Verbraucherschutzes, wo wir einen ersten Bericht vorgestellt haben, indem wir dargestellt haben, wie die Gefährdungslage ist und welche Handlungsempfehlungen sich daraus ableiten. Oder wir haben eine Studie zum Thema digitale Gesundheits-Apps erstellt – wie sicher sind diese Apps eigentlich? Und dabei haben wir festgestellt, dass die IT-Schutzmaßnahmen teilweise unzureichend sind. Daraufhin sind wir proaktiv auf die Hersteller zugegangen und haben gesagt, dass diese Lücken zu schließen sind.“ Arne Schönbohm weiter: „Das heißt, wir haben eine Vielzahl von Projekten innerhalb der ersten 100 Tage des IT-Sicherheitsgesetztes gestartet. Das nimmt jetzt natürlich immer mehr Fahrt auf, erste Projekte werden auch bald beendet sein. So wird man in ein kontinuierliches Momentum hineinkommen, um das IT-Sicherheitsgesetz 2.0 erfolgreich umzusetzen.“