"Ich will keine Internet-Polizei"

Udo Helmbrecht, Präsident des Bundesamtes für Sicherheit in der Informationstechnik, über den Schutz des Staates und die Angst vor Überwachung.

Udo Helmbrecht ist seit 2003 Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes. Die 1991 gegründete Behörde hat unter anderem die Aufgabe, eine sichere und funktionsfähige elektronische Kommunikation zwischen öffentlicher Verwaltung, Bürgern und Wirtschaft zu gewährleisten. Ende des Jahres wechselt Helmbrecht, von Haus aus Physiker, zur europäischen Sicherheitsbehörde ENISA.

TR: Herr Helmbrecht, können Sie als oberster IT-Sicherheitswächter Deutschlands nachts noch schlafen?

Helmbrecht: Ja, ich kann gut schlafen, weil wir eine gute Mannschaft hier im BSI haben.

TR: Die Sicherheitslage im Internet ist also nicht alarmierend?

Helmbrecht: Es existiert keine Skala, auf der sich Sicherheit messen lässt. Insofern kann ich Ihnen nur sagen, was wir beim Schutz des Regierungsnetzes an Erfahrung gewonnen haben: Es gibt im Wesentlichen drei Bedrohungen: Die eine könnte man fast mit Vandalismus gleichsetzen – das sind Denial-of-Service-Attacken, also das Lahmlegen von Servern durch eine große Zahl automatisierter Anfragen. Ein zweiter Punkt ist die Kriminalisierung des Internets, Stichwort Phishing. Hier geht es um die Frage: Wie kann jemand Daten abgreifen, die sich dann zu Geld machen lassen? Und das Dritte ist die nachrichtendienstliche Spionage.

TR: Es gibt also auch Angriffe auf Behördennetze?

Helmbrecht: Es gab einen Fall im letzten Jahr, der sich letzten Endes als eine Art Spam-Attacke erwiesen hat. So etwas passiert, und es kann wieder passieren.

TR: Wie gehen Sie damit um?

Helmbrecht: Wir versuchen aufzudecken, ob es ein dezidierter Angriff war. Das heißt, ob jemand E-Mails mit Trojaner-Viren erhalten hat, die sich dann auf Rechnern festsetzen könnten. Und wir entwickeln Lösungen in Zusammenarbeit mit anderen Instituten, Hochschulen oder Firmen, um die IT der Bundesverwaltung vor solchen Angriffen zu schützen.

TR: Welche Methoden haben Sie, um die IT-Sicherheit in Deutschland sicherzustellen?

Helmbrecht: Beim Regierungsnetz sind das die klassischen Maßnahmen: Firewall, Virenschutz, eigene Mitarbeiter, die sich mit der Weiterentwicklung von Frühwarnsystemen beschäftigen. Was die Bürger betrifft, sind wir an den Projekten beteiligt, die der Staat anstößt, wie der Gesundheitskarte, dem digitalen Tachograf oder dem neuen Personalausweis. Hier ist das BSI für die IT-Sicherheit zuständig und garantiert so ein höheres Sicherheitsniveau als sonst üblich.

TR: Um den Bürgern Sicherheit zu geben, will das BSI auch den staatlichen E-Mail-Dienst "De-Mail" einführen.

Helmbrecht: E-Mail ist heute so sicher wie eine mit Bleistift beschriebene Postkarte. Alles lässt sich fälschen, der Absender, der Inhalt. Mit De-Mail wollen wir E-Mail-Adressen vergeben, die zertifiziert sind. Wenn ich Ihnen dann eine E-Mail schicke, und da lesen Sie die Absendeangaben udo.helmbrecht@, dann das Kürzel des vom BSI zertifizierten Providers und zum Schluss die Endung ".de-mail.de", dann wissen Sie: Die Mail kommt tatsächlich von Udo Helmbrecht.

TR: Aber diese Technologie existiert ja heute schon. Weshalb glauben Sie, dass die Bürger Ihren Dienst tatsächlich nutzen werden?

Helmbrecht: Ich bin zuversichtlich, weil wir als Staat in Vorleistung gehen müssen, um den Bürgern Vertrauen in die Technik zu vermitteln. Wie beispielsweise auch beim elektronischen Personalausweis: Hier gibt es das Angebot, eine Signatur zu integrieren und den Ausweis etwa zur Verifikation von Adressen zu nutzen. Indem wir als Staat verantwortlich für dieses Dokument sind, bieten wir dem Bürger ein höheres Maß an Sicherheit bei den entsprechenden Geschäftsprozessen im Internet.

TR: Eugene Kaspersky, der Chef des gleichnamigen Antiviren-Unternehmens, hat gesagt, dass IT-Sicherheit nicht mehr allein durch technische Maßnahmen gewährleistet werden könne, sondern dass man eine internationale Internet-Polizei à la Interpol benötige. Was halten Sie davon?

Helmbrecht: Ich will keine Internet-Polizei. Ich bin dafür, in sichere Produkte, sichere Infrastrukturen und Prävention zu investieren. Wir beim BSI vergleichen das gern mit dem Automobilbau. Da hat es auch lange gedauert, bis es Gurte oder Airbags in allen Autos gab. Aber heute sind sie nicht mehr wegzudenken. Unserer Einschätzung nach benötigen wir eine ähnliche Entwicklung auch in der IT.

TR: Was erhoffen Sie sich denn von der Novelle des BSI-Gesetzes, mit der die Befugnisse Ihrer Behörde massiv erweitert werden?

Helmbrecht: Eine wichtige Neuerung besteht für das BSI in der Befugnis, E-Mails zu analysieren und im Verdachtsfall in die E-Mails hineinzuschauen, um so Schadprogramme zu entdecken und ihr Einnisten auf Regierungsrechnern zu verhindern. Was die Diskussion um das Gesetz momentan so schwierig macht, ist die Tatsache, dass wir viele dieser Kontrollen technisch automatisieren wollen.

TR: Dieser Punkt stößt auch unter Journalisten auf heftige Kritik.

Helmbrecht: Dann sagen Sie mir doch mal, warum Sie das für falsch halten.

TR: Insbesondere die Speicherung der Daten erweckt den Eindruck: Da interessiert sich eine Behörde für meine E-Mails ans Innen- oder Außenministerium, die das gar nichts angeht.

Helmbrecht: Das ist ein großes Missverständnis. Uns geht es allein um das Entdecken von Schadsoftware – und nicht darum, was in der E-Mail steht. Wir wollen sogar mit technischen Maßnahmen verhindern, dass jemand bei der Analyse von E-Mails unberechtigterweise Einblick in den Inhalt bekommt.

TR: Trotzdem bleibt immer der Verdacht, dass vom Staat organisierte IT-Sicherheit sehr nah an Überwachung grenzt.

Helmbrecht: Dem widerspreche ich vehement. Folgende Beispiele: Wenn jemand bei der Einreise seinen Personalausweis vorlegen muss, dann ist das eine Kontrolle. Und wenn jemand aus Mexiko einreist und einen roten Kopf hat, dann fragt man ihn, ob er irgendeine Grippe hat. In beiden Fällen geht es aber nicht darum, irgendetwas Besonderes über den Menschen zu erfahren. Es geht darum sicherzustellen, dass der Richtige einreist oder dass er keinen gesundheitsschädlichen Virus mitbringt. Übertragen auf die IT-Sicherheit geht es uns darum, Dinge präventiv zu erkennen, die Schaden anrichten. Kein anderes Ziel verfolgen wir.

TR: Der Vergleich mit der Grenzkontrolle hinkt ein bisschen. Denn das groß angelegte Scannen digitaler Daten kann viel schneller in Überwachung ausarten als punktuelle Passkontrollen.

Helmbrecht: Das ist richtig. Es ist nicht immer einfach, Verfahren aus der realen in die digitale Welt so zu übertragen, dass jeder Missbrauch verhindert wird. Aber ich vertraue da auf unseren Rechtsstaat. Der funktioniert. Das zeigt sich schon daran, dass auch Datenschützer zu dem Gesetzesentwurf um ihre Meinung gefragt werden.

TR: In dem Entwurf findet sich kein Passus, der besagt, dass Ihre Behörde die Öffentlichkeit grundsätzlich alarmieren muss, wenn sie Sicherheitslücken in Software entdeckt. Warum nicht?

Helmbrecht: Wir möchten selbst entscheiden können, wann wir Sicherheitslücken veröffentlichen. Wir wollen erst mit dem Hersteller des Produkts reden, ihm die Chance geben, Stellung zu beziehen. Wenn Sie das BSI kennen, dann wissen Sie, dass wir immer Sicherheitslücken veröffentlicht haben. Insofern frage ich mich, warum jetzt ausgerechnet an diesem Punkt nachgebohrt wird.

TR: Vielleicht einfach, weil die Medien wegen der "Bundestrojaner" – einem von staatlichen Stellen installierbaren Schadprogramm, das Computer von Terrorverdächtigen ausspähen soll – beim Stichwort Sicherheitslücken misstrauisch geworden sind.

Helmbrecht: Das sind reine Unterstellungen dem BSI gegenüber.

TR: Wenn ich die Sicherheitsregeln beachte und vom BSI zertifizierte Produkte verwende, kann mich das BKA also nicht ausforschen?

Helmbrecht: Was die IT anbelangt, nein. Wir haben hier kryptografische Software, die, glaube ich, nicht einmal von amerikanischen Sicherheitsdiensten geknackt werden kann. (bsc)