Anzeige

Bundesamt für Sicherheit in der Informationstechnik (BSI)

„Bleiben Sie ruhig, bleiben Sie wachsam!“

Das Bundesamt für Sicherheit in der Informationstechnik ist die Cybersicherheitsbehörde der Bundesrepublik. In der Bonner Zentrale und am Dienstort im sächsischen Freital arbeiten rund 1.500 Expertinnen und Experten daran, dass auch das digitale Deutschland sicher ist. (Foto: BSI)

 

Von Britta Ibald

Nachts um drei Uhr nimmt das Unheil seinen Lauf. Im Uniklinikum Düsseldorf fallen am 10. September 2020 etwa 30 Server aus, die IT des Großversorgers, Forschungs- und Lehrkrankenhauses bricht zusammen, weite Teile des medizinischen Betriebs gehen in die Knie. Die Klinik muss sich von der allgemeinen Notfallversorgung abmelden, eine 78-Jährige Patientin stirbt im Rettungswagen, der das UDK nicht anfahren kann und ins 25 Kilometer entfernte Wuppertal ausweichen muss – das kostet Zeit, die die Seniorin nicht mehr hat. Wenige Stunden später ist klar: Das Klinikum wurde von einem Cyberangriff getroffen. Hacker haben Ransomware eingeschleust, die die Systeme verschlüsselte. Erst Wochen später kann die Klinik wieder halbwegs in den Normalbetrieb gehen, die Aufräumarbeiten, die die IT-Abteilung gemeinsam mit externen Expertinnen und Experten zu bewältigen hat, dauern noch lange an …

„Das war schon sehr spannend“, erinnert sich Tim Griese, Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI). „Wenn eine Klinik betroffen ist, dann kann es letztlich immer auch um Menschenleben gehen.“ Der Vorfall in Düsseldorf wurde der Bundesbehörde vorschriftsgemäß gemeldet, da es sich beim Düsseldorfer Uniklinikum um eine so genannte KRITIS-Einrichtung handelt – kritische Infrastrukturen mit wichtiger Bedeutung für das Funktionieren des staatlichen Gemeinwesens, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Diese Einrichtungen sind definiert in der Nationalen Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) sowie in der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, in der das BSI als Cyber-Sicherheitsbehörde des Bundes eine gesetzlich geregelte tragende Rolle spielt.
„In so einem Fall schalten die Kollegen in unserem Lagezentrum sofort und ziehen im gesamten Haus entsprechende Expertise zusammen, um die Betroffenen zu unterstützen“, erklärt Griese.

 
     
Rund um die Uhr ist derzeit das nationale IT-Lagezentrum in Bonn besetzt. Auf den Screens laufen in Echtzeit Informationen aus verschiedensten Systemsensoren ein. Das Lagezentrum ist unmittelbar verbunden mit dem CERT-Bund – das Computer Emergency Response Team der Bundesverwaltung, sozusagen das Notfallteam des BSI. (Fotos: BSI)

Mobile Einsatzteams, Analyse und Prävention

„Wir versuchen gemeinsam zu ermitteln, was genau passiert ist und geben, wenn möglich, unmittelbare Hilfestellung. Mittlerweile haben wir auch mobile Einsatzteams – die Mobile Incident Response Teams –, die auf Anfrage ausrücken und vor Ort unterstützen – zunächst bei der Bewältigung des eigentlichen Vorfalls und dann auch im Nachgang bei Analyse und Prävention. Denn das Tückische an solchen Angriffen ist, dass es leider oft nicht mit der Erstbereinigung getan ist.“ Die Cyber-Kriminellen haben immer häufiger Hintertüren in ihre Schad-Codes eingepflanzt, die ihnen eine unbemerkte Rückkehr ermöglichen sollen. „Da ist eine sehr umfangreiche Analyse erforderlich, für die wir Geschädigten immer zu professionellen Dienstleistern raten – alleine können das die IT-Abteilungen vor Ort schon personell oft nicht leisten“, erklärt Griese. Auch das BSI könne in solchen Fällen nur im Rahmen der Ersthilfe und beratend zur Seite stehen – „das aber dann schon in dem Sinne, dass unsere Fachleute hier ad hoc kreative Lösungen entwickeln, wie man etwa über Umwege Systeme wieder zum Laufen bekommt“, berichtet der BSI-Sprecher.
Doch so spannend sich Vorfälle wie der in Düsseldorf anhören: Lieber wäre es den Expertinnen und Experten vom BSI, wenn es erst gar nicht dazu kommen würde. Daran und dafür arbeiten die rund 1.500 Kolleginnen und Kollegen am Dienstsitz in Bonn, am Standort im sächsischen Freital sowie am Stützpunkt des BSI in Saarbrücken.
Zum einen hat das BSI, gegründet 1991, die operative Aufgabe, die Regierungsnetze zu schützen, und ist zentrale Meldestelle für IT-Sicherheit innerhalb der Bundesverwaltung, um bei IT-Krisen nationaler Bedeutung durch Informationen und Analysen die Handlungsfähigkeit der Bundesregierung sicherzustellen. Verbindliche Mindestanforderungen legt das BSI auch für die KRITIS-Einrichtungen und -Akteure fest. Zum anderen entwickelt die Behörde gemeinsam mit Wissenschaft und Markt Sicherheitsstandards für die Beschaffung und den Einsatz von IT – insbesondere in den Bundesbehörden, aber mittlerweile auch weit darüber hinaus. Mit dem IT-Sicherheitsgesetz 2.0 wurde 2021 auch der digitale Verbraucherschutz im BSI verankert. Als Gestalter einer sicheren Digitalisierung in Deutschland unterstützt die Bundesbehörde Bürgerinnen und Bürger in der Risikobewertung von Technologien, Produkten, Dienstleistungen und Medienangeboten, etwa durch die Einführung eines IT-Sicherheitskennzeichens. „Wer zum Beispiel am Tresen in einer Arztpraxis auf dem Chipkarten-Lesegerät das BSI-Siegel sieht, darf davon ausgehen, dass dieses Gerät vom BSI zertifiziert ist“, erklärt BSI-Sprecher Griese. Für Wirtschaft, Wissenschaft und Gesellschaft fungiert das BSI als kompetenter Ansprechpartner und Berater für alle Fragen der Informationssicherheit. „Entsprechend breit sind unsere Zielgruppen, die wir auf die jeweils geeignete Art und Weise und in entsprechenden Formaten adressieren“, sagt Griese.

BSI-Sprecher Tim Griese: Im Notfall „schalten die Kollegen im Lagezentrum sofort und ziehen im gesamten Haus entsprechende Expertise zusammen, um die Betroffenen zu unterstützen“.
(Foto: BSI)

24/7 im IT-Lagezentrum des Bundes

An der Spitze des BSI steht die Leitung mit Präsident Arne Schönbohm, die durch den Leitungsstab unterstützt wird. Die Facharbeit des BSI ist in acht Abteilungen organisiert, jede setzt sich aus bis zu drei Fachbereichen zusammen. Die Fachbereiche unterteilen sich wiederum in verschiedene Referate.
Rund um die Uhr ist derzeit das nationale IT-Lagezentrum in Bonn besetzt. An den in mehreren Reihen aufgestellten Tischen mit Rechnern sitzt das Team, vor Kopf an der Wand hängen große Flatscreens, auf denen in Echtzeit Informationen aus verschiedensten Systemsensoren abgebildet werden. „Seit Februar arbeiten wir hier 24/7“, berichtet BSI-Sprecher Griese. Nachts ist mindestens eine Kollegin bzw. ein Kollege vor Ort, tagsüber kommen drei weitere hinzu. Das Lagezentrum ist unmittelbar verbunden mit dem CERT-Bund – das Computer Emergency Response Team der Bundesverwaltung, sozusagen das Notfallteam des BSI. CERT-Bund ist zentrale Anlaufstelle für präventive und reaktive Maßnahmen mit Bezug auf sicherheits- und verfügbarkeitsrelevante Vorfälle in Computersystemen bundesweit. IT-Sicherheitsvorfälle werden hier in Zusammenarbeit mit den Betroffenen bearbeitet. Zu den Hauptaufgaben zählen unter anderem das Erstellen und Veröffentlichen von präventiven Handlungsempfehlungen zur Schadensvermeidung, Hinweise auf Schwachstellen in Hardware- und Softwareprodukten, Vorschläge für Maßnahmen zur Behebung von bekannten Sicherheitslücken, Warnungen oder Alarmierungen bei besonderen informationstechnischen Bedrohungslagen und Empfehlungen von reaktiven Maßnahmen zur Schadensbegrenzung oder -beseitigung.
„Mit der Veröffentlichung von Warnmeldungen sollen Vorfälle wie Angriffe von Hackern möglichst im Vorfeld abgewandt werden“, erläutert BSI-Sprecher Griese. Um möglichst frühzeitig Unregelmäßigkeiten zu entdecken, monitoren die Expertinnen und Experten im Bonner Lagezentrum und dessen Backoffice fortlaufend bestimmte Websites, insbesondere die der Bundesregierung und -verwaltung, aber auch andere hochfrequente Auftritte wie etwa Nachrichtenportale. „Wenn dort was hakt, könnte das ein Hinweis auf einen Vorfall sein“, sagt Griese. Dann bewertet das BSI die Lage, prüft, ob Systemeinschränkungen vorliegen oder zu erwarten sind, ob gewarnt werden muss oder nicht.

Von Beginn an begeistert „von der professionellen Arbeitsatmosphäre und dem tollen Teamspirit“: Jason Wirtz macht am BSI seine Ausbildung zum Fachinformatiker für Systemintegration. (Foto: BSI)

Ukraine-Krieg: „Abstrakt erhöhte Bedrohungslage“

Mit Blick auf die Situation in der Ukraine erkennt das BSI derzeit eine „abstrakt erhöhte Bedrohungslage“ für Deutschland. „Das heißt, wir sehen aktuell keine akute unmittelbare Gefährdung der Informationssicherheit in Deutschland, aber das kann sich jederzeit ändern. Deswegen appellieren wir weiterhin an Unternehmen, Organisationen und Behörden, ihre IT-Sicherheitsmaßnahmen zu erhöhen“, berichtet der BSI-Sprecher. Seit Beginn des russischen Angriffs auf die Ukraine sei es zu unzusammenhängenden IT-Sicherheitsvorfällen gekommen, die aber bislang nur vereinzelt Auswirkungen hatten. Im Auge hat das BSI in dem Zusammenhang auch die erhöhten Aktivitäten von sogenannten Trollen, etwa in den Kommentarspalten von Medien-Websites oder Social-Media-Netzwerken. Zudem sind mittlerweile Phishing-Mails mit Bezug zum Ukraine-Krieg im Umlauf – insbesondere mit dem Ziel so genannter Vorschussbetrügereien, bei denen die Mail-Empfänger zum Beispiel gebeten werden, vermeintlichen Opfern des Krieges Geld für die Flucht zu überweisen.
„Bleiben Sie ruhig, bleiben Sie wachsam!“, rät das BSI Unternehmen und Einrichtungen, „machen Sie Ihre ‚digitalen Hausaufgaben‘: Aktualisieren Sie Ihre Notfallpläne, machen Sie regelmäßig Back-Ups, halten Sie Ihre Systeme aktuell und holen sich, da wo Ressourcen und Kompetenzen fehlen, die entsprechende Unterstützung durch Dienstleister hinzu. Zudem sollten Ihre Mitarbeitenden in der aktuellen Situation in Bezug auf Phishing-Mails, Social Engineering und Fake News sensibilisiert werden. Denn Desinformation und Phishing-Mails mit Ukraine-Bezug könnten jetzt ein mögliches Einfallstor für Kriminelle werden“, heißt es im offiziellen Lagebild.

Cyberkriminalität & Co – ein spannender Arbeitsplatz

Der Computer als Tatwaffe und Cyberkriminalität als wachsendes Betätigungsfeld der organisierten Kriminalität – auch als Arbeitgeber weckt das spannende Themenspektrum der Bundesbehörde Interesse. Seit kurzem dabei, aber bereits „voll im Team“ ist Jason Wirtz. Er hat nach dem Fachabitur im August 2021 seine Ausbildung zum Fachinformatiker für Systemintegration in Bonn begonnen und war von Beginn an begeistert „von der professionellen Arbeitsatmosphäre und dem tollen Teamspirit“. In einer dreimonatigen Grundausbildung bekamen er und seine Mitstreitenden von ihren Ausbildern zunächst alle technischen Basics verpasst – Elektrotechnik, PC-Komponenten von A-Z, Netzwerke und vieles mehr. „Alle drei Azubis, die den Fachinformatiker hier momentan machen, haben in der ersten Klausur der Berufsschule mit mehr als 100 Prozent bestanden – das spricht für die Top-Ausbildung, die wir hier bekommen“, freut sich Wirtz. In dem dreimonatigen Technik-Crashkurs hätten er und seine Mitstreitenden all den Stoff gelernt, den sie eigentlich erst bis zur Zwischenprüfung parat haben müssten, hat der junge Azubi beim Vergleich mit anderen Auszubildenden festgestellt. Mittlerweile ist Jason Wirtz mitten in der Rotation und Hospitation in allen möglichen Abteilungen und Referaten des BSI. Er arbeitet voll im Tagesgeschäft mit, erhält Aufgaben, die er eigenverantwortlich erledigen muss, und berät bereits im unmittelbaren Kundenkontakt etwa Länder und Kommunen in Fragen, die er aus dem IT-Grundschutzkompendium des BSI beantwortet. „Ich bin wirklich sehr glücklich mit meiner Ausbildung hier“, sagt Jason Wirtz. „Trotz der vielen Beschäftigten sind wir im Grunde wie eine große Familie. Alle ziehen an einem Strang, der Umgang ist stets freundlich und hochprofessionell.“ Sicher habe er nach dem Fachabitur darüber nachgedacht, in die freie Wirtschaft zu gehen. „Aber die Jobsicherheit im öffentlichen Dienst ist schon ein Faktor für mich, ebenso die ausgewogene Work-Life-Balance, die die verschiedenen Arbeitszeitmodelle bieten. Und das BSI hat für uns Berufseinsteiger ja auch reichlich Perspektiven: Neben garantierter und dauerhafter Weiterbildung könnte ich beispielsweise noch ein Studium an der FH Bund dranhängen. Vor allem tun wir hier was absolut Sinnvolles – wir kämpfen gegen Cyberkriminalität und arbeiten jeden Tag daran, das digitale Deutschland sicherer zu machen. Das ist insgesamt schon ein sehr gutes Paket“, findet der angehende Fachinformatiker.

Digitaler Verbraucherschutz wird mit zunehmender Digitalisierung von Alltag und Gesellschaft immer wichtiger. Neben der Etablierung grundlegender Sicherheitsstandards sind Information und Sensibilisierung der Verbraucherinnen und Verbraucher daher eine weitere Aufgabe, die das BSI übernimmt – etwa im Rahmen von Öffentlichkeitskampagnen. (Foto: BSI)

Sinnvolle Arbeit im Dienst der Allgemeinheit

„Am Ende zählt für viele, dass sie die Arbeit bei uns als sinnhaft empfinden, weil sie etwas für die Allgemeinheit tun wollen“, sagt Alessandra Krüger, BSI-Ausbildungsleiterin und zuständig für Personalentwicklung. „Ich will nicht nur irgendwo sitzen und Dinge verkaufen“ – das hören wir ganz oft in Vorstellungsgesprächen. Freilich hätte das BSI gerne noch mehr junge Talente, insbesondere im IT-Bereich. Während auf einen Ausbildungsplatz im Verwaltungsbereich über hundert Bewerbungen eingehen, sind es in der IT nur rund 40. „Da ist die Auswahl noch überschaubar“, bedauert Krüger. Deswegen sind die BSI-Personaler auch engagiert bei Ausbildungsmessen und Kampagnen dabei und werben aktiv für die Cyberbehörde als Arbeitgeber. An interessanten Perspektiven mangelt es der Bundesbehörde wahrlich nicht: In Kooperation mit der Fachhochschule des Bundes in Brühl bietet das BSI als Alternative zur Ausbildung den dualen Diplom-Studiengang „Digital Administration and Cyber Security“ – kurz DACS – an, der speziell für die Anforderungen von Sicherheitsbehörden konzipiert wurde. Eine weitere Aufstiegschance ist die Masterförderung. „Sie ermöglicht Mitarbeitenden, berufsbegleitend einen Hochschulabschluss im Bereich IT-Sicherheit zu machen, der dann zum Aufstieg in den höheren Dienst befähigt“, erklärt Krüger. Auch Bestandsbeschäftigten werden neben regelmäßigen Fortbildungen durch mit weltweit anerkannte Spezialistinnen und Spezialisten mit verschiedenen Führungs- und Fachlaufbahnen vielfältige Perspektiven für die Weiterentwicklung geboten. Ein internes Interessenbekundungsverfahren eröffnet die Möglichkeit, neben einem neuen Aufgabengebiet auch einen Perspektivwechsel in derselben Laufbahn einzunehmen, den Horizont zu erweitern. Für Führungskräfte gibt es ein eigenes Entwicklungsprogramm.

„Sinnvolle Weiterentwicklung“: Kristina Schönenborn wechselte nach einem Masterabschluss in Medizintechnik und mehrjähriger Berufserfahrung im Klinikbereich zum BSI und kümmert sich nun um die IT-Sicherheit im Gesundheitswesen. (Foto: BSI)

Immer gesucht: Neue Talente für das BSI

Auch über das BSI und die hauseigene Ausbildung hinaus halten die Personaler der Bundesbehörde ständig nach Talenten Ausschau. „Vornehmlich aus dem ingenieur- oder naturwissenschaftlichen Bereich sowie Informatik, Wirtschaftsinformatik oder Mathematik. Interessiert sind wir aber ebenso an IT-Affinen aus anderen Bereichen, wie etwa Politikwissenschaften, Jura oder BWL“, erläutert Alessandra Krüger, „oder eben Fachkräften aus anderen technischen Disziplinen, die im Zusammenhang mit Cybersicherheit relevant sind. Das Umfeld im BSI entwickelt sich dynamisch, wir wachsen mit unseren Aufgaben. Smart Metering, Smart Home, Branchenlösungen etwa für Automotive oder E-Health, neue elektronische Dokumente wie der digitale Personalausweis, die Gesundheitskarte – bei alldem müssen wir Risiken identifizieren, Sicherheitsanforderungen prüfen und formulieren, in enger Kooperation mit Herstellern, Providern und anderen Sicherheitsexperten auf nationaler und internationaler Ebene“, macht Krüger deutlich. „Dafür brauchen wir Fachleute, denen auf ihrem Gebiet so schnell niemand etwas vormacht.“
Menschen wie Kristina Schönenborn. Nach einem Masterabschluss in Medizintechnik und mehrjähriger Berufserfahrung im Klinikbereich war sie auf der Suche nach einer „sinnvollen Weiterentwicklung“. Und fand sie beim BSI. Hier arbeitet sie seit Januar im Referat Cybersicherheit im Gesundheits- und Finanzwesen. „Mir fehlen natürlich noch einige IT-Kenntnisse, aber da wird man hier gut supportet“, sagt die Fachfrau für Medizintechnik. „In meiner früheren Tätigkeit habe ich gemerkt, wie sehr Digitalisierung die Arbeit im Gesundheitswesen optimieren kann – aber dass Sicherheit ein ganz entscheidender Faktor ist. Als Expertin für Medizintechnik kann ich hier jetzt einen wichtigen Beitrag für diese Sicherheit leisten. Das macht total Sinn für mich.“ Die Fachfrau kennt Schwachstellen und Angriffsvektoren, und mit ihrer Expertise können Sicherheitsstandards entwickelt und festgelegt werden. Im Bereich der Telematik-Anwendungen im Gesundheitswesen geht es derzeit beispielsweise um Projekte wie die digitale Gesundheitskarte. „Gemeinsam mit Ärzten und Versicherungen schauen, wir, wann und wo wir sinnvoll Standards einziehen, damit die hochsensiblen Gesundheitsdaten nicht in falsche Hände geraten können“, erklärt Schönenborn. Technische Medizinprodukte mit IT-Anbindung wie etwa Herzschrittmacher oder Insulinpumpen, aber auch die dazugehörigen Apps, werden von Schönenborn und den interdisziplinären Teams und Fachgruppen inner- und außerhalb des BSI auf Schwachstellen geprüft und mit entsprechenden Anforderungskatalogen an die IT-Sicherheit versehen.
Mittlerweile ist in vielen Bereichen entscheidend, was das BSI sagt. Nicht nur die verbindlichen Standards, sondern auch die Empfehlungen der nationalen IT-Expertise haben Gewicht – und insbesondere die Warnungen der Bundesbehörde. „Wir dürfen offiziell vor Produkten und Schwachstellen warnen“, sagt BSI-Sprecher Tim Griese und betont, dass man sich des Einflusses, den man damit auf Markt und Menschen habe, in jeder Hinsicht bewusst sei: „Das ist ein scharfes Schwert.“ Als die Behörde im März vor dem Hintergrund des russischen Angriffs auf die Ukraine vor den Virenschutzprogrammen der russischen Firma Kaspersky warnte – aufgrund von Bedenken, dass Aggressor Russland die Kaspersky-Infrastruktur für Angriffe auf die Nutzerschaft missbrauchen könnte – kam das natürlich nicht überall gut an. „Aber Sicherheit geht in dem Fall vor“, stellt Griese klar.
Kristina Schönenborn findet, dass sie im BSI am richtigen Platz genau das Richtige tut. „Das ist exakt das, was ich schon immer machen wollte. Und es ist super, dass man hier auch immer offen für neue Ideen und Ansätze ist. Mir gefällt die Herangehensweise, dass wir uns hier nicht generell als ‚Kontroletti‘ sehen, sondern eher als Moderatoren, die gemeinsam in einer breiten Allianz mit Herstellern, Wirtschaft und Wissenschaft Richtlinien erarbeiten, die dann letztlich auch praxisnah und umsetzbar sind. Sicherheit bringt ja nichts, wenn sie keiner realisiert“, sagt Schönenborn. Und BSI-Sprecher Griese ergänzt: „Natürlich kostet IT-Sicherheit Geld. Und es ist ein laufendes Projekt, das wir nur gemeinsam zum Erfolg machen können. Als Verteidiger muss man immer die gesamte Mauer im Blick haben – der Angreifer kann sich einen lockeren Stein aussuchen. Und wir stehen alle zusammen an dieser Mauer und geben unser Bestes.“

Seitenanfang

 

Cyberkriminalität: Computer als Tatwaffe

Cyberkriminalität zählt mittlerweile zu den größten Bedrohungen für die Wirtschaft und staatliche Infrastrukturen. Der Einsatz des Computers als Tatwaffe begann in den 1980er-Jahren mit ersten Viren auf Disketten, verbreitete sich rasant mit E-Mail und Internet und weitete sich auf immer mehr Delikttypen aus: Organisierte Banden, die Bankdaten stehlen, Hochstapler, Spione, Erpresser, die sich in Systeme einschleichen und diese über eine Verschlüsselung lahmlegen, bis gegen die Zahlung eines Lösegelds der befreiende Code zur Verfügung gestellt wird – oder auch nicht. Mittlerweile kann man im Darknet sogar Erpressungssoftware mieten. Immer häufiger sind neben Unternehmen, die oft nicht öffentlich über die Attacken auf sie reden, um schlechte Publicity zu vermeiden, auch Behörden und Verwaltungen betroffen: Stadtwerke, Kommunalverwaltungen, Universitäten, Gerichte, Staatstheater und der Deutsche Bundestag. Um Menschenleben geht es, wenn Krankenhäuser attackiert werden – eine besonders niederträchtige Variante der Cyberkriminalität. Bei der Vorstellung der aktuellen Polizeilichen Kriminalstatistik Anfang April in Berlin wurde deutlich, dass dieser Verbrechenssektor weiterhin stark wächst. 2021 wurden insgesamt mehr als 146.000 Fälle gezählt, was einem Anstieg um rund 12 Prozent entspricht – bei einer noch relativ geringen Anzeigenquote. Digitale Vernetzung, grenzüberschreitende Kriminalität und riesige Datenmengen stellen die Ermittlungsbehörden vor hier weiterhin vor besondere Herausforderungen.

Seitenanfang