IHK Industrie und Handelskammer Bonn/Rhein-Sieg


„IT-Sicherheit ist Chefsache“

Interview mit Arne Schönbohm, Präsident des BSI

 Arne Schönbohm, Präsident des BSIIn den Vorstandsetagen der großen Unternehmen ist das Thema IT-Sicherheit längst angekommen. Doch was machen kleine Unternehmen, um sich zu schützen? Wie verhindern sie, dass Kriminelle ihre Daten sperren und Lösegeld fordern, in Online-Shops Waren im Namen anderer Personen bestellen oder das Online-Banking manipulieren? Antworten gibt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit Sitz in Bonn.

Der Koch eines Restaurants sitzt nicht am PC, sondern wirbelt durch die Küche. Warum ist ein Cyber-Angriff auch für ihn gefährlich?

Der Koch nutzt seinen PC möglicherweise für Buchführung, Disposition, Logistik und Personalplanung. Seine Rezepte für besondere Speisen hat er ebenfalls gespeichert. Bald besitzt er vielleicht einen smarten Kühlschrank, der notwendige Zutaten selbst bestellt. Er ist also an mehreren Stellen angreifbar.

Wie bemerkt ein Unternehmen, dass es angegriffen wurde?

Wenn Daten verschlüsselt oder unwiederbringlich verloren sind, merkt ein Unternehmen das sofort. Manche Viren hingegen verstecken sich so gut, dass auch Anti-Virenprogramme sie nicht finden. Wichtig ist in jedem Fall, nach einem Angriff nicht nur zu rätseln, was man hätte besser machen können, sondern zu handeln. Wichtig ist, vorher zu lernen. Es gelten die Phasen Prävention, Detektion und Reaktion. Das BSI bietet Unterstützung für alle Phasen.

Kann ein Unternehmen davon ausgehen, dass neu gekaufte Software sicher ist?

Nein. Viele Software-Hersteller werden ihrer Verantwortung nicht gerecht und bringen fehlerhafte Produkte auf den Markt, weil sie unter großem Zeitdruck stehen und schneller sein wollen als ihre Wettbewerber. Darunter leiden Qualität und Sicherheit ihrer Produkte, zulasten der Anwender.

Also sind Unternehmen nicht nur Opfer von Cyber-Angriffen, sondern auch Wegbereiter?

Zum Teil ja. Das gilt nicht nur für die Softwarehersteller. Jeder Betreiber eines Online- Shops, der Sicherheitslücken nicht schließt, bietet Hackern ein Einfallstor. Er gefährdet Kundendaten. Das ist fahrlässig.

Ist ein neu gekaufter Computer, der frisch aus dem Karton installiert wird, vor Viren geschützt?

Nein. Das BSI hat kürzlich ein Smartphone entdeckt, das den Sicherheitsstandards nicht genügt. Auch PCs und Notebooks müssen nach dem Kauf auf den neuesten Stand gebracht werden. Die Kunden achten beim Kauf von IT noch zu wenig auf Sicherheit. Sie entscheiden nach Marke, Prozessor oder Stromverbrauch. Ein Sicherheitszertifikat oder Gütesiegel gibt es bisher nicht. Im Auftrag der Bundesregierung legt das BSI daher zur Zeit Kriterien für ein Basis-Zertifizierungsverfahren für sichere IT-Verbraucherprodukte fest.

Wann wird es dieses Gütesiegel geben?

Wir rechnen Mitte des kommenden Jahres damit.

Wer sollte sich in einem Unternehmen um IT-Sicherheit kümmern?

Digitalisierung und IT-Sicherheit sind Chefsache. Es ist Aufgabe des Vorstands, die Chancen der Digitalisierung für das Unternehmen zu erkennen, aber auch die Risiken abzuwägen. Ist das geschehen, können IT-Entwickler und Business- Developer die Sicherheitsstrategie umsetzen.

Sollte ein Unternehmer im Notfall die Polizei einschalten?

Er sollte immer die Polizei informieren und Anzeige erstatten. BSI-zertifizierte Dienstleister können bei der Wiederherstellung der Daten unterstützen. Sollte das Unternehmen Opfer einer Erpressung, also von Ransomware, geworden sein, sollte man kein Lösegeld zahlen. Damit würde das Geschäftsmodell der Datenerpressung angeheizt. Das müssen wir verhindern.

Wie viel muss ein Unternehmen pro Jahr in IT-Sicherheit investieren?

Das hängt sehr vom Unternehmen ab. Es sollten mindestens zehn Prozent aller IT-Ausgaben sein. Zwanzig Prozent kommen dem optimalen Wert näher.

Ursula Katthöfer, freie Journalistin, Bonn

Die Wirtschaft

Aktuelle Ausgabe

Ansprechpartner

Photo of Heiko  Oberlies

Tel.: 0228 2284-138
Fax.: 0228 2284-221