BSI: Deutschland braucht einen Bundes-CISO für die IT-Security

Noch immer sind Ransomware-Angriffe die größte Bedrohung für Unternehmen und Organisationen, sagte der Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Gerhard Schabhüser, in der Pressekonferenz anlässlich des 19. Deutschen IT-Sicherheitskongresses. Dieser findet wie in den vergangenen Coronajahren ausschließlich digital statt, erreicht aber mit über 9000 Teilnehmenden einen neuen Rekord.

Prävention sei besonders wichtig, betonte Schabhüser. Zwar verhindere sie Ransomware-Angriffe nicht, helfe aber bei deren Bewältigung. Auch die im Gefolge des Ukrainekrieges vermehrt auftretenden Angriffe konnten bisher dank Prävention gut abgewehrt werden. Regulierungen wie der Cyber Resilience Act würden dazu beitragen, das Sicherheitsniveau weiter zu steigern. Eine weitere Herausforderung seien Angriffe mittels KI, etwa durch den Einsatz von Deep Fakes, also manipulierter Sprachnachrichten oder Videos. Hier wird die Behörde demnächst eine Handreichung für Verbraucherinnen und Verbraucher herausbringen.

ChatGPT und Co. auch bald in der Verwaltung?

Für Unternehmen und Behörden veröffentlichte das BSI heute bereits das Positionspapier „Große KI-Sprachmodelle. Chancen und Risiken für Industrie und Behörden“. Es nennt einerseits die Chancen der neuen Programme, wie das Erkennen von Malware oder das Unterstützen beim Erzeugen von Code, und andererseits Risiken wie fehlende Faktizität oder die Manipulierbarkeit durch versteckte Eingaben. Ergänzend nennt das Papier zahlreiche Einsatzszenarien und Anwendungen, bei denen KI hilfreich sein kann. Schabhüser und Andreas Könen, Abteilungsleiter Cyber- und IT-Sicherheit im BMI verweisen darauf, dass man derzeit untersuche, welche Anwendungsfälle für die öffentliche Verwaltung sinnvoll seien.

Zum Motto des Kongresses, „Digital sicher in eine nachhaltige Zukunft“, erläuterte Könen, dass man mehr Sicherheit in der Bundesverwaltung erreichen wolle. Dreh- und Angelpunkt sei hier die Umsetzung der NIS2-Richtlinie, der europäischen Richtlinie zur Erhöhung der Informationssicherheit. Man wolle sogar über die europäischen Vorgaben hinausgehen: So werde darin zwar die höchste Verwaltungsebene reguliert, nicht aber diejenigen darunter. Das sei zu wenig. Erstes Ziel sei daher, das Erhöhen des Informationssicherheitsniveaus für alle Verwaltungsebenen verpflichtend zu machen. Dazu soll es analog zum CIO des Bundes eine neue Stelle geben, ein CISO des Bundes (Chief Information Security Officer). Dieser soll die Informationssicherheit über die verschiedenen Ressorts hinweg koordinieren.

Mehr IT-Sicherheit durch Regulierung

Noch ungeklärt sind Kosten und Aufwand sowohl für die Verwaltung als auch die Wirtschaft durch die Umsetzung der NIS2-Richtlinie. Im Bereich der Wirtschaft ändert sich die Zahl der regulierten Unternehmen drastisch, sie steigt durch die Richtlinie von über 4000 auf etwa 29.000. Sach- und Personalkosten durch die Umsetzung sind hoch, bestätigt Könen. Konkrete Zahlen dazu gebe es noch nicht, sie würden aber auf Anfrage des Statistischen Bundesamts hin derzeit ermittelt. Fakt sei aber auch, die NIS1-Richtlinie habe gezeigt, dass Unternehmen durch sie einen höheren Reifegrad bei der IT-Sicherheit erreicht haben.

Das BSI soll zukünftig die Rolle einer Zentralstelle für Cybersicherheit einnehmen, die die gemeinsame IT-Sicherheit mit den Kommunen und den Bundesländern koordiniert. Das sei dringend erforderlich, sagte Könen. Allerdings sei das nach derzeitiger rechtlicher Lage noch nicht möglich.

(jvo)