Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zur Zentralstelle in der deutschen Cyber-Sicherheit werden. „Wir dürfen für die Wirtschaft viel mehr machen als für die Länder“, fasst der BSI-Vizepräsident Dr. Gerhard Schabhüser die bisherige Lage zusammen.
Bisher hilft das Kernstück der deutschen Cyber-Sicherheitsarchitektur den Ländern und Kommunen nur per Amtshilfe. Wenn ein Land interessiert ist, kann es die Zusammenarbeit mit dem BSI über eine „Kooperationsvereinbarung“ verstetigen. Niedersachsen beispielsweise hat so eine Vereinbarung unterzeichnet, das Saarland auch.
„Kooperationsvereinbarungen sind manchmal gewagte Instrumente“, kommentiert Schabhüser auf der Public IT-Security – Konferenz. Der Vizepräsident des BSI erklärt: „Ich will die Zusammenarbeit gerne auf weniger wacklige Füße stellen.“ Deswegen unterstützt er die Vorhaben des Bundesministerium des Innern und für Heimat (BMI), das BSI zu einer Zentralstelle in der deutschen Cyber-Sicherheit zu machen und dazu auch das Grundgesetz zu ändern. „Der Bund darf eigentlich nur das für die Länder machen, was im Grundgesetz explizit erlaubt ist“ erläutert Schabhüser. „Wir dürfen für die Wirtschaft viel mehr machen, als für die Länder.“ Für umfassende Cyber-Sicherheit müssten aber Bund, Länder und Kommunen Hand in Hand arbeiten.
Modul „Informationssicherheit“ gefordert
Auch bei der IT-Sicherheit von Produkten sei noch Luft nach oben. „Sicherheit ist noch nicht von Anfang an mitgedacht worden“, kritisiert Schabhüser. „Die Architektur stimmt oft nicht, und auch heute werden Systeme noch nicht sicher gebaut.“ Um dem entgegenzuwirken, müsse man den IT-Nachwuchs anders ausbilden. „Aus meiner Sicht muss in jeden Informatik-Studiengang ein Modul „Informationssicherheit“ rein“, fordert der BSI-Vize.
Wenn es anders nicht geht, dann kann IT-Sicherheit aber auch per Gesetz befördert werden. Das IT-Sicherheitsgesetz 2.0 hat dem BSI die Befugnis eingeräumt, IT-Sicherheitszertifikate zu vergeben. Noch sind diese Zertifikate in vielen Bereichen freiwillig. Solange es sich nicht um Komponenten kritischer Infrastruktur handelt, sind diese Zertifikate eher als zusätzliche Verkaufsargumente für die Kunden konzipiert. Das sollte sich ändern, findet Schabhüser.
IT-Sicherheitszertifikate für Smartphones
„Ich hoffe, dass solche IT-Sicherheitszertifikate von der Europäischen Kommission zu gesetzlichen Pflichten gemacht werden“, sagt Schabhüser. Zuletzt hat die EU-Kommission schon im Cyber Resilience Act (CRA) Unternehmen mehr Pflichten auferlegt, um die IT-Sicherheit und Resilienz kritischer Infrastruktur (KRITIS) zu erhöhen.
Die Verbraucherinnen und Verbraucher von normaler Elektronik hätten aber noch oft keinerlei Anhaltspunkte, welche Sicherheitseigenschaften ihre Geräte haben. Zum Beispiel die Smartphones, die jede Jugendliche in der Tasche hat. „Da haben wir noch keine Sicherheitszertifikat… kommen wir aber noch zu“, kündigt Schabhüser an. Deshalb müssten die Zertifikate auch in einer Sprache verfasst sein, die Kinder und Jugendliche verstehen.
