Wie gut ist Deutschland in Sachen Cyber-Sicherheit aufgestellt?

Schönbohm Wir sind gut aufgestellt. Aus der Bundesverwaltung, für die das BSI zuständig ist, gab es bisher keine großen Datenabflüsse. Unsere Sicherheit funktioniert. Die großen Cyber-Angriffe haben andere Länder getroffen, nicht Deutschland. Dennoch gibt es in Teilen der Wirtschaft auch noch Nachholbedarf. Cyber-Sicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung.

Was macht Deutschland besser?

Schönbohm Wir haben ein starkes Kompetenzzentrum, das ist das BSI. Wenn es um Sicherheit geht, ist ein Wettbewerb von Behörden nicht hilfreich. Es reicht, wenn Schadsoftware einmal analysiert wird. Daher bauen wir jetzt als BSI insgesamt vier Verbindungsbüros auf, um mit den Ländern kooperieren zu können.

Warum ist es bei uns dennoch so schwierig, Institutionen wie den Bundestag zu schützen?

Schönbohm Seit 2015, als es einen erfolgreichen Angriff gab, ist viel geschehen. Seitdem konnten auch viele Angriffe vereitelt werden. Die Bundestagsverwaltung schützt ihr Netz wirklich gut. Aber jeder Abgeordnete ist sein eigener Herr. Wenn ein Abgeordneter ein Smartphone nutzen möchte, das nicht zu schützen ist, dann ist das seine freie Entscheidung.

Rechnen Sie damit, dass im Bundestagswahlkampf geklaute und gefälschte Daten der Bundeskanzlerin oder anderer Spitzenkandidaten auftauchen?

Schönbohm Wir stellen uns darauf ein.

Wie?

Schönbohm Wir haben die Netze der Bundesverwaltung für den Wahlkampf noch einmal besonders geschützt. Wir beraten auch den Bundeswahlleiter und zehn Parteien intensiv.

Welche Gefahren sehen Sie beim Bundeswahlleiter?

Schönbohm Es muss verhindert werden, dass Ergebnisse von Hochrechnungen frühzeitig nach außen dringen. Wir müssen die Ergebnisse auch vor Manipulation schützen.

Wie schützen Sie die Kandidaten?

Schönbohm Wir beraten die Parteien nach einem Schlüssel ihrer Stärke in den Parlamenten. Teilweise gehen wir in die Präsidien, um die Mitglieder zu schulen. Denn es kann auch sein, dass das Umfeld der Spitzenkandidaten angegriffen wird. Wir bieten den Zentralen auch an, ihre IT auf Angreifbarkeit zu testen. Dann empfehlen wir Maßnahmen. Ob die Parteien sie ergreifen, liegt in deren Händen.

Wie kann der normale Verbraucher besser gegen Cyber-Angriffe gerüstet werden?

Schönbohm Wir brauchen ein Gütesiegel für die Sicherheit von internetfähigen Geräten. Bei Waschmaschinen wissen Sie genau, wie hoch Strom- und Wasserverbrauch liegen. Bei einem Smartphone können Sie die Sicherheit nicht einschätzen und wissen auch nicht, wie schnell die Updates zur Verfügung gestellt werden. Wir wollen damit beginnen, technische Richtlinien für Router zu entwickeln. Am Ende brauchen wir eine Art Blauen Engel für Cyber-Sicherheit.

Wie sieht es mit der Haftung aus?

Schönbohm Ich bin froh, dass der Bundesinnenminister dieses Thema adressiert hat. Wir benötigen dringend eine Haftungsregelung für die Sicherheit von Software. Wenn ein Dach undicht ist, muss der Dachdecker nachbessern. Wenn Software eine löchrige Sicherheit hat, sagen wir bisher, das sei so komplex, da gibt es keine Haftung. Das sollte geändert werden. Ich gehe auch davon aus, dass die nächste Regierung dies tun wird. Darüber hinaus wäre eine Haftung von Vorständen und Geschäftsführern für die Cyber-Sicherheit eines Unternehmens sinnvoll.

Dann weiß der Verbraucher aber immer noch nicht, wie lange er Updates für seine Software bekommen kann . . .

Schönbohm Wir brauchen ein Mindesthaltbarkeitsdatum für Software. Wenn ich einen Joghurt kaufe, weiß ich, wie lange er genießbar ist. Wenn ich Software kaufe, muss ich wissen, wie lange der Hersteller Updates anbietet und eine Gewährleistung auf die Software gibt.

War die WannaCry Attacke aus dem Internet gegen die Bahn und andere ein seltener Vorgang oder nur die Spitze des Eisbergs?

Schönbohm Das war eine fortgesetzte Entwicklung durch Kriminelle, die über das Verschlüsseln von Daten Lösegeld erpressen wollen. Das Besondere an WannaCry war, dass es sich automatisch weiter verbreitet hat. Die nächste Attacke kann schon morgen kommen.

Welche Summen lassen sich über solche Cyber-Crime-Aktivitäten erzielen?

Schönbohm Seit 2009 verdient die organisierte Kriminalität mehr Geld mit Cyber-Crime als mit Drogen. WannaCry hat eine unglaubliche mediale Aufmerksamkeit bekommen. Was für die Betroffenen schlecht ist, weil es für sie den Druck erhöht. Die Geldzahlungen, die wir nachvollziehen konnten, waren dennoch nicht hoch — deutlich unter 500.000 Euro. Somit war WannaCry für die Erpresser kein Erfolg. Das Schadenspotenzial durch Cyber-Kriminalität insgesamt liegt in Deutschland bei rund 50 Milliarden Euro pro Jahr.

Gregor Mayntz und Eva Quadbeck führten das Gespräch.