Maximilian Schönherr: Router sind die Kernelemente, die unsere Haushalte und Büros ans Internet anbinden. Es gab dramatische Fälle von Dateneinbrüchen, nur weil die Router nicht genügend nach außen abgesichert oder veraltet waren. Vor einer Woche veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik die so genannte "technische Richtlinie zur Router-Sicherheit", und prompt kam Mitte der Woche die Kritik, vor allem des Chaos Computer Clubs. Ich besuchte daraufhin den Direktor des BSI, Arne Schönbohm in seinem Büro in Bonn und konfrontierte ihn zunächst mit einem Zitat der Kritiker:
"Anstatt - wie versprochen - Verbraucher zu schützen und Transparenz in Bezug auf die IT-Sicherheit festzuschreiben, diktierten von Herstellern und Netzbetreibern entsandte Anwälte und Lobbyisten dem BSI wesentliche Punkte der Richtlinie in die Feder. Dadurch haben wirtschaftliche Interessengruppen ihr Ziel erreicht: Das BSI erklärt ihre unzureichenden Produkte und Prozesse ohne tatsächliche Verbesserungen oder meßbaren Mehrwert für den Verbraucher als sicher."
Härter hätte man Sie nicht kritisieren können, Herr Schönbohm?
Härter hätte man Sie nicht kritisieren können, Herr Schönbohm?
Arne Schönbohm: Polemischer auch nicht. Leider ist das ein typisches Beispiel dafür, dass man ein begrenztes Verständnis dafür hat, wie so technische Richtlinien erstellt werden. Das heißt, wir gehen dort ja als Bundesamt noch nicht hin und sagen: "Wir erklären jetzt mal wie die Welt zu sein hat mit dem Thema OpenSource oder anderen Themen die auch erwähnt worden sind", sondern wir gehen hin und sprechen mit den Herstellern, auch mit den Anwendern, mit den verschiedenen Interessengruppen - der CCC Chaos Computer Club war übrigens auch von Beginn an involviert. Es ist ein erster Schritt.
Wir haben ja gesprochen über das Mindesthaltbarkeitsdatum als Beispiel. Das heißt, also wie lange wird das Betriebssystem des Routers auch noch unterstützt, dass der Verbraucher - und das ist das worum es uns geht - dass der Verbraucher die Chance hat, wirklich selber zu bestimmen und zu entscheiden, wie groß ist mein Risikoappetit, also welches Risiko bin ich bewusst bereit einzugehen? Und dort wollen wir Beispiel dahin kommen, dass dann auch die Routerhersteller sich verpflichten und sagen, ja zwei Jahre oder drei Jahre bin ich bereit, ab Kauf auch noch dieses Betriebssystem dementsprechend zu unterstützen zu patchen und so weiter.
"Smart Home" oder "Stupid Home"
Schönherr: Mein Router ist zehn Jahre alt.
Schönbohm: Ja, das ist richtig. Aber wenn sie hingehen zum Beispiel und ein drei Jahre altes Smartphone dementsprechend haben, dann sollten sie wissen können, dass dieses Betriebssystem dann nicht mehr unterstützt wird, und dann liegt es genau an ihnen, ob sie hingehen und sagen, ich nutze das noch weiter; wohl wissentlich, dass ich damit ganz neu angegriffen werden kann und mein "Smart Home", was ich über das Smartphone steuere, auf einmal zum "Stupid Home" wird oder zum "Stupid Phone" wird.
Oder aber Sie gehen hin und sagen, naja, da traue ich bestimmte sicherheitssensitive Anwendungen, wie vielleicht Online-Banking oder andere Themen dann darüber zu machen, traue ich mich nicht mehr, weil das ein großer Angriffsvektor ist. Sondern dann geh ich hin und sage okay, dann schaffe ich lieber mir ein neues Gerät an. Im Rahmen der Routerrichtlinie geht es auch darum, dass Daten zum Beispiel verschlüsselt werden, dass es also andere Übertragungsmöglichkeiten gibt, geht es darum, dass bestimmte andere Netzwerke, wie sie eingerichtet werden können, geht es darum, dass man das Passwort verändern kann: Dinge, die heute nicht festgeschrieben sind bei den normalen Routern, wo wir also schon einen deutlichen Fortschritt im Sicherheitsniveau erreicht haben.
Windows 10 übermittelt Telemetrie-Daten an Microsoft
Schönherr: Damit sind wir eigentlich bei Windows XP, und dann kommen wir auf auf Windows 10. Denn wer XP hat, der geht bewusst heute - ich glaube jeder weiß das - das Risiko ein, dass dieses System nicht mehr gepatcht wird, sondern angreifbar ist. Was haben Sie mit Windows 10 zu tun?
Schönbohm: Im Rahmen der Windows-Diskussion ist für uns natürlich von besonderer Bedeutung, wo werden automatisch welche Telemetrie-Dienste aufgebaut, das heißt, wo werden wie welche Daten hin übertragen, und inwiefern hat der Verbraucher, der Nutzer die Chance, so etwas zu unterbinden oder nicht zu unterbinden. Dafür haben wir sehr ausführliche Studien beauftragt und führen diese Studien auch selber durch teilweise, und hinterfragen das auch kritisch: Ist das, was gesagt wird, entspricht das der Realität oder muss man hier gegebenenfalls auch nachbessern? Wir haben laut Koalitionsvertrag die Zuständigkeit bekommen für das Thema Informationssicherheit im Verbraucherschutz. Und da ist das natürlich ein nicht ganz unwichtiger Faktor, nach dem Motto: Wer bekommt wo wie meine Daten? Und das ist eines der Themen, was wir hier angehen wollen, weil viele Verbraucher Windows 10 benutzen. Aber der Verbraucher kann natürlich auch genau wie die Behörde sagen: Das möchte ich aber nicht, dass diese Dienste dementsprechend weitergegeben werden. Auch wenn es komplex ist, hat man doch die Möglichkeit, dieses teilweise auch zu unterbinden.
Schönherr: Wie ist es denn mit Apple-Betriebssystemen und Linux-Betriebssystemen - schauen Sie sich die auch an?
Schönbohm: Das sind alles Themen die wir aufnehmen, ja, da haben Sie vollkommen recht. Wir wollen auch gerne erstmal für uns Dinge tun, bewerten, und es dann kommunizieren, wenn die Ergebnisse vorliegen.
"Den Verbraucher nach oben bringen"
Schönherr: Das heißt, die Betriebssysteme von Mobiltelefonen sind auch in ihrem Portfolio?
Schönbohm: Die Betriebssysteme von Mobiltelefonen sind auch in unserem Portfolio. Ein Beispiel: Wir haben festgestellt im Sommer letzten Jahres, dass ein großer Elektronikmarkt in Köln verkauft hat zwei Smartphones mit einem Betriebssystem, was veraltet ist nicht mehr unterstützt wird. Es gibt keinerlei Hinweis auf den Verbraucher dafür. Daraufhin haben wir die Verbraucherzentrale Nordrhein-Westfalen unterstützt im Bereich der sogenannten Verbandsklage, technisch gesehen, um das darzustellen. Weil wir halten es, wir finden es nicht für richtig im BSI, dass der Verbraucher ohne irgendeinen Hinweis hier Gefährdungen ausgesetzt wird. Und darum unterstützen wir hier natürlich auch die Verbraucherzentralen und nehmen das Thema sehr ernst, um hier die Informationssicherheit in Deutschland auch für den Verbraucher nach oben zu bringen.
Schönherr: Kampf gegen Windmühlen?
Schönbohm: Nein, nicht Kampf gegen Windmühlen, sondern Gestaltung der Informationssicherheit in der Digitalisierung.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.
