Wann Cybernation, Deutschland?

00:00:00: Hallo Anne.

00:00:00: – Hallo Oliver!

00:00:01: Ja, wir sind ja heute unterwegs statt in unserem Studio.

00:00:05: Wir sind in Frankfurt und gleich treffen wir Claudia Plattner die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik Denn sie hält einen Vortrag auf dem Weg zur Cyber-Nation Deutschland.

00:00:17: Genau, das ist das Ziel Deutschlands als führendes Cyberland in der Cybersicherheit zu etablieren.

00:00:26: Wie man das schafft, da gab es schon mal ein Fatsartikel von den Athene-Lightfiguren Heier Schulmann und Michael Weidner.

00:00:33: Und wir haben dazu auch mit der Claudia schon gesprochen nämlich bei einem vorherigen Podcast.

00:00:36: Da hat sie uns quasi einen Deep Dive dazu gegeben.

00:00:39: Das packen wir beides in die Show Notes?

00:00:40: Genau!

00:00:41: Und heute sind wir wieder in Frankfurt um der Cyber Nation aktuell mal den Puls zu fühlen Mal zu hören wie's vorangegangen ist und voran geht im Moment genau.

00:00:50: Leider Anna wirst du aber nicht ganz so viel zu hören sein.

00:00:53: Ne,

00:00:53: ich mach die Technik und Oliver spricht.

00:00:56: Also aber dann legen wir los!

00:00:57: Genau.

00:01:08: Hallo Claudia, herzlich willkommen im Haus of Nerds.

00:01:10: Hallihallo.

00:01:11: Ja fangen wir gleich an.

00:01:13: was bedeutet eigentlich die Cyber Nation Deutschland Aussicht des BSI?

00:01:18: Also für uns ja mit Abstand wichtigste Aspekt zum Thema Cyber Nation ist wirklich zu sagen, das geht uns alle an.

00:01:24: Da gehört eine ganze Nation dahinter.

00:01:26: Das ist keine Frage von der Behörde tut was es ist keine frage von ein Unternehmen tut was ist es?

00:01:30: keine fragen von einer Uni tut etwas ist es Keine frage vom Hersteller tut was.

00:01:33: Es ist ne Frage von wir.

00:01:34: tun alle was zusammen Bürgerinnen und Bürgern Unternehmen Wissenschaften Forschung aber eben halt auch der Staat.

00:01:41: jeder muss da mithelfen ansonsten wird dass nichts

00:01:44: Also eine gesamtgesellschaftliche Anstrengung, um mehr Cyber-Sicherheit zu erreichen.

00:01:48: Absolut!

00:01:49: Genau das und deswegen ist uns wichtig wir machen es in einem Dach einer ganzen Nation nicht jeder für sich alleine sondern wir zusammen anders haben wir keine Chance.

00:01:56: Jetzt wo stehen wir denn im internationalen Vergleich?

00:01:59: Tatsächlich kriege ich die Frage, wo wir stehen.

00:02:02: Sehr häufig gerne auch natürlich von Journalisten.

00:02:04: Die wollen das immer ganz genau.

00:02:05: Wir sind auf der Skala von eins bis zehn oder aber im internationalen Vergleich.

00:02:09: Ich sage immer es ist nicht nur eine Frage dessen wie gut man gerüstet ist?

00:02:12: Wie gut man geschützt ist?

00:02:13: Wie gut man sich da aufgestellt hat?

00:02:14: Sondern es ist definitiv eine Frage des wie viel man angegriffen wird.

00:02:18: ja also wenn man sozusagen irgendeine Nation ist bei der es digital jetzt nicht so spannend ist einzubrechen dann hat man natürlich am Ende des Tages auch weniger Bedarf sich entsprechend zu schützen.

00:02:29: Und was wir ganz klar festhalten müssen, Deutschland ist ein attraktives Ziel.

00:02:32: Es macht Spaß uns anzugreifen da es etwas zu holen, da ist Intellectual Property Da ist tatsächlich auch ein entsprechender Wohlstand, da sind politische Themen die sehr heikel und spannend sind.

00:02:42: Also wir sind ein attaktives Ziel.

00:02:44: Das klingt jetzt erst mal blöder sozusagen aber das ist halt so.

00:02:47: Und deswegen ist natürlich der Level mit dem wir auf den wir uns schützen müssen Der muss angemessen sein zudem wie wir angegriffen werden Aber auch wie gut, das heißt so gut müssen wir uns aufstellen.

00:02:57: Weil Angriffe selber schocken mich nicht, erfolgreiche Angriffen schockten mich und da müssen wir es durchaus noch besser

00:03:02: aufstellen.".

00:03:03: Jetzt hatten wir den Fall mit der Angriff auf die Deutsche Bahn, auf die Webseite da, auf eine App... Das ist ja nur ein Beispiel!

00:03:12: In welchen strukturellen Bereichen müssen wir denn uns verbessern?

00:03:15: Was sind aus deiner sich die Strukturelle Defizite, die wir da angehen müssten.

00:03:20: Also ich glaube schon dass wir es schaffen müssen insgesamt ein höheres Schutzniveau wirklich auf allen Ebenen zu erreichen.

00:03:25: jetzt muss man aber auch ganz klar sagen also der Angriff auf die Deutsche Bahn das war schon ein großer.

00:03:29: Das war nicht der Null.

00:03:31: Acht Fünfzehn Angriff um die Ecke so Sachen haben wir alle längst im Griff und auch die Bahn ist dadurch aus guter Aufgestellt muss man auch ganz klare Sagen Aber das war ein großer Angriff.

00:03:39: Jetzt Nicht Die absolute Königsklasse Aber doch definitiv ein großer Angriff und natürlich auch mit entsprechend Angreifern, die da sehr geschickt vorgegangen sind.

00:03:48: Und da hatte dann auch Bahnen durchaus gut zu tun sich da entsprechend schnell mit ihren Partnern so aufzustellen dass man das auch mitigieren konnte.

00:03:55: So übrigens nicht nur die App und tatsächlich die Bahnseite sondern es waren flächendeckende Angriffe an der Stelle.

00:04:01: auch also da war noch mehr System betroffen.

00:04:03: aber das sind natürlich die die Bevölkerung dann auch sieht.

00:04:05: Und nein, das können wir natürlich nicht hinnehmen.

00:04:08: Auf der anderen Seite sind Angriffe die erstmal insgesamt keinen nachhaltigen Schaden verursachen, sondern man kann sich das ein bisschen so vorstellen wie einen Fahrkarten-Schalter, der plötzlich von unmengen Menschen bestürmt wird aus allen Richtungen.

00:04:23: und dann kommt ein legitimes Anliegen... Wie ich möchte eine Fahrkarte kaufen, plötzlich nicht mehr durch.

00:04:27: Das wäre die reale Weltentsprechung.

00:04:30: Was mal ganz klar sagen müssen da passiert dann erst einmal nicht unbedingt was Schlimmes.

00:04:34: aber Natürlich, man gibt dieses Gefühl von Verwundbarkeit und von Verletzlichkeit.

00:04:40: Das schafft man damit zu erzeugen in der Bevölkerung bei denen Menschen die gerade eine Fahrkarte kaufen wollten und damit haben die Angreifer e-Ziel auch erreicht.

00:04:47: Den ging es gar nicht um Schaden, den tatsächlich darum dieses Gefühl zu schüren dass wir uns nicht schützen können was nicht stimmt!

00:04:54: Der Angriff wurde erfolgreich mitigiert aber der war auch groß genug das es moment gedauert hat.

00:05:00: Welche Kompetenzen braucht Deutschland denn dafür?

00:05:02: Ich habe das jetzt so verstanden.

00:05:03: Wir müssen überall was drauf sappeln, also es gibt nicht die Fokusgebiete wo wir quasi große Defizite aufholen sollen.

00:05:10: aber um aufzuholen haben wir die Kompetenz und auch schon alle oder fehlt uns da etwas?

00:05:15: Also ich glaube schon, dass wir insgesamt noch sehr viel mehr Menschen für das Thema Cyber-Sicherheit auch begeistern müssen.

00:05:20: Ja und wir brauchen da nicht nur Leute die in der Lage sind eine Checkliste sauber abzuarbeiten.

00:05:24: Die braucht es auch!

00:05:25: Das ist gar keine Frage.

00:05:26: du brauchst vernünftige Frameworks Du brauchst ein Informationssicherheitsmanagement und ähnliches aber du brauchest vor allen Dingen auch Techies.

00:05:33: Du brauchtest Leute die an der Lage sein solche Dinge zu automatisieren, die wirklich ganz tief in die Technik reingehen können und sagen können hier das kann ich mit denen den Maßnahmen auch dauerhaft ausschalten Da kann ich uns gut gegen schützen Da kostet am Ende des Tages natürlich auch entsprechend Geld, da aber ganz ehrlich.

00:05:51: Wir wissen alle die Rechnung kennen wir alle es ist teurer wenn man sich nicht geschützt hat in der Wicht wird und am ende des tages ist es tatsächlich so Früher oder später kommt ein Angreifer vorbei.

00:06:00: Und wenn man dann eben halt blank dasteht, dann tut es richtig weh und dann kostet so richtig Geld.

00:06:05: Also der Business Case ist da.

00:06:07: aber wir brauchen vor allen Dingen Menschen die in der Lage sind das wirklich auf einer großen Skala wirklich so zu machen dass wir eine Großmaße und Automatisierung da rein bekommen wo dann einfach auch die Angreifer sich von vornherein die Zähne ausbeißen.

00:06:19: Heißt was?

00:06:19: Wir brauchen eher Leute mit einer Deep Tech Kompetenz oder mit einer expliziten Cyber Security Kompetence eine breite Masse und einfach mehr Leute, die sich mir für das Thema begeistern.

00:06:30: Ich denke

00:06:30: wir brauchen beides!

00:06:32: Wir brauchen auch Menschen, die gut kommunizieren können, die in der Lage sind zu erklären worauf es ankommt, worauf man wirklich achten muss.

00:06:39: Wir brauchen aber auch die Techies, die wirklich dann ganz tief die auch eine Netzwerkssegmentierung machen am Ende des Tages braucht dass jemand, der weiß wie Netzwerke verstehen Ja, aber es ist eine ganz normale Maßnahme die wir alle seit zwanzig Jahren kennen.

00:06:51: Das ist nicht das Ding!

00:06:52: Aber es braucht halt jemanden der es tun kann und es braucht jemanden in der Lage ist so ein Zock zu führen und da entsprechend mit den Mitarbeitenden zu schauen.

00:07:01: was ist wichtig?

00:07:01: Was ist nicht wichtig?

00:07:02: Mit einer entsprechenden technischen Unterstützung?

00:07:04: Na ja wie baut man die technische Unterstützung?

00:07:06: indem man Ahnung von Technik hat?

00:07:08: Indem man weiß wie man KI verwenden kann um große Mengen von wirklich Rauschen auszusortieren.

00:07:16: Da müssen wir hingucken.

00:07:17: Wir brauchen Menschen, die verstehen wie man Dinge priorisiert tatsächlich auf einer technischen Ebene also da wird schon mehr gebraucht aber natürlich auch mit einem entsprechenden tiefen Verständnis.

00:07:27: und dann müssen wir sicherlich noch ein paar Leute ausbilden und sollten wir tun

00:07:31: Wie schaffen wir das angesichts des Fachkräftemangels?

00:07:34: Da gibt es ja ohnehin im Moment meiner Wahrnehmung nach schon zu wenig.

00:07:38: Jetzt versachst du eigentlich mehr und in die Tiefe und in den Breiten?

00:07:41: Ich denke, wir müssen früher anfangen.

00:07:42: Also ich glaube, wir brauchen definitiv dann strategischen Antritt.

00:07:45: Es sollte darum gehen frühzeitig Menschen für diese Themen zu begeistern.

00:07:49: Ich bin nach wie vor auch nicht müde zu sagen da sind noch so viele tolle Frauen da draußen.

00:07:55: Ich Bin sicher von denen können wir auch noch ein paar begeistert werden.

00:07:57: Wir haben nach wie Vor ein Ungleichgewicht.

00:08:00: Das ist ein suchspannendes Feld und das wird uns die nächsten Jahrzehnte beschäftigen.

00:08:04: also ich kann wirklich nur Werbung dafür machen.

00:08:07: Ich werbe wirklich auch dafür, früh anzufangen und ich werbe auch dafür das ganze durchaus technisch auszurichten.

00:08:12: Das ist am Ende des Tages schon ein.

00:08:14: Schauen wir mal wer von uns beiden jetzt hier schlauer ist.

00:08:16: also man kann es durchaus auch kompetitiv mit ordentlich Spaß angehen.

00:08:20: Das würde noch mehr Spaß machen wenn sie so ernst wäre das ist schon auch klar.

00:08:23: aber nichtsdestotrotz also ich glaube dass ist ein toller Job mit dem man viel machen kann.

00:08:27: Jetzt bist du ja heute hier zu Gast in der Forschung.

00:08:30: was wünschst Du dir denn von der Cyber Security Forschung als Beitrag zur Cyber Nation Deutschland?

00:08:37: Ich werde auch da nicht müde, immer wieder das Gleiche zu sagen.

00:08:39: Nämlich Leute nehmen diese unglaublich guten Forschungsergebnisse die ihr habt und baut sie in Produkte.

00:08:45: Also die Welt da draußen braucht Produkte Und sie braucht idealerweise Produkte, die ihnen helfen Mit möglichst wenig Schritten ans Ziel zu kommen, die Menschen sind überfordert mit der Komplexität.

00:08:56: Das gilt für Verbraucherinnen und Verbrauchern genauso wie für Menschen, die sich für eine IT-Digitalisierung in einer Firma verantwortlich zeichnen.

00:09:03: Also noch mehr Fokus auf Usability?

00:09:04: Mehr Fokus on Usability!

00:09:06: Idealerweise ganz ehrlich wenn ich sage mal so ein Mittelständler bin.

00:09:09: Ich habe keine Ahnung, paar Tausend Mitarbeiter, bin hoffentlich ordentlich erfolgreich... ...und jetzt hab' ich da auch zwanzig Leute, die bei mediaIT machen.

00:09:17: Danke!

00:09:18: Da habe ich nicht drei Leute von, die sich jetzt ausschließen um das Thema Sicherheit kümmern.

00:09:21: Das heißt, sie brauchen Menschen, die sie einkaufen können, Produkte, die Sie einkauen können, die ihnen möglichst umfassenden Schutz bieten.

00:09:29: Das heisst, möglichst einfach einen One-Stop-Shop – das ist mal so ganz überspitzt gesagt – wo man quasi hingehen kann und danach kriegt man seine Sicherheitsthematiken vernünftig auch bedient.

00:09:39: Und da muss noch viel mehr passieren, dass es aus der Produktsicht und was wir dann aus der Forschung in den Entwicklungen brauchen, sind im Prinzip Produkte integrieren lassen, damit es für die Firmen tatsächlich am Ende des Tages einfacher wird.

00:09:52: Wie groß siehst du die Verantwortung der Unternehmen selbst für Cyber-Sicherheit zu sorgen und wo glaubst du musst der Staat stärker unterstützen?

00:10:01: Also ich nehme dafür mal das Beispiel, dass mir ein amerikanischer Kollege mal gesagt hat er meinte ganz trocken naja wir springen nicht aus Helikoptern und patchen die Systeme in den Firmen.

00:10:08: Ne tun wir tatsächlich auch hier nicht.

00:10:10: also es ist in beiden Ländern gleich.

00:10:12: Das machen wir als Behörden nicht.

00:10:14: Ich glaube es gibt drei große Verantwortung die wir an der Stelle wahrnehmen müssen.

00:10:18: da war wieder das Thema Cyber Nation.

00:10:19: Das eine ist Institutionen und Firmen die sich selber um ihre Sicherheit kümmern müssen.

00:10:24: Ganz banales Beispielen BCM also ein Business Continuity Management, Patch System.

00:10:29: Ich muss mich um meine Credentials kümmern.

00:10:30: Also alles was so wirklich dein eigenes Thema ist.

00:10:34: das zweite Thema ist Hersteller.

00:10:36: Alle die digitale Produkte herstellen auch die haben eine Verantwortung.

00:10:41: wenn ich einen Autokauf erwarte ich auch dass sich dafür Reifen kriegen werde oder ein Ersatzteil.

00:10:45: Und so muss es hier auch sein, wenn Schwachstellen auftauchen dann muss dafür auch Patches geben die jemand einspielen kann.

00:10:51: also eine Verantwortung fürs Produkt.

00:10:52: das ist der zweite Teil Produktehersteller Die Verantwortung und die dritte Veranstaltung liegt am Start.

00:11:00: ja auch wir haben eine Verantwortung deutlich aktiver zu schützen zu schauen dass wir gewisse Dinge gewisse Angriffe von vornherein abwählen in den Sphären wo wir das tun können damit erst gar nicht mehr bei dem Verbrauchern ankommen.

00:11:11: ganz banales Beispiel irgendjemand macht eine neue Webseite auf, lautet meinehausbank.tv.

00:11:19: Das ist aber nicht meine Hausbank, irgendeine Ersätze durch eine beliebige Bank sondern die hat irgendwer aufgenommen diese Domänen.

00:11:26: jetzt fragt man sich natürlich was will denn der Mensch da mit?

00:11:29: Warum nimmt das jemand auf?

00:11:31: Und dann ist es, glaube ich, durchaus steht uns das gut zu Gesicht.

00:11:33: zum Monitoren.

00:11:34: Was passiert über einen gewissen Zeitraum auf dieser Seite?

00:11:37: und wenn auf dieser seite dann zb malware verteilt wird oder dass eine Fishing-Seite wird was bei meiner Hausbank.tv irgendwie nahe liegt Dann ist aber auch der Staat gefragt zu sagen ne, das lassen wir jetzt nicht zu.

00:11:49: Wenn wir von der Seite wissen, dass es eine Fashingseite ist und die versucht Leute zu betrügen, dann nehmen wir sie jetzt auch mal vom Netz.

00:11:54: Das ist unser Job

00:11:55: Alles klar, das sind ja auch neue Kompetenzen für den BSI im Gespräch.

00:12:00: Die gibt

00:12:00: es schon länger, diese Kompetenz ist tatsächlich.

00:12:02: aber der entscheidende Punkt ist wir müssen automatisieren.

00:12:06: Wir müssen wirklich wegkommen von einer Einzelfallbetrachtung.

00:12:09: Das muss man automatiseren.

00:12:10: Klar die Menschlich Kontrolle muss immer da sein.

00:12:12: Aber am Ende des Tages werden wir nur da vernünftig skalieren wenn auch wir uns an die Automatisierung und Digitalisierung und Industrialisierung machen.

00:12:21: Klar, wenn wir uns in vier bis fünf Jahren wieder hier treffen.

00:12:24: Wieder über die Cyber Nation sprechen.

00:12:26: Wo dran merken wir wie weit wir gekommen sind?

00:12:28: Wie messen wir den Erfolg, den Fortschritt?

00:12:29: oder ich weiß nicht ob du im BSI auch mit deinem Team am Jahresende mal Bilanz ziehst.

00:12:34: Wo kann man es messen und wo lässt sich das greifbar machen?

00:12:37: Also wir versuchen durch unseren Lagebericht immer auch einen guten Blick darauf zu haben, wo wir sind.

00:12:42: Den gibt es einmal im Jahr in aller Regel im November und Wir haben uns ganz ganz ganz fest vorgenommen da jetzt deutlich mehr quantitativ unterwegs zu sein als nur qualitativ weil Qualitativ ist immer so.

00:12:54: das lagebild ist die summa.

00:12:55: alle aktuellen Vorfälle die man an fast schon ein bisschen anecdotisch auch erzählt Das ist ein ganz ganz wichtiger blick für die jeweils aktuelle lager.

00:13:03: bei uns geht's eigentlich noch darum quantitiv zu erfassen Wo werden wir bedroht, wie viele Gruppen gibt's da draußen?

00:13:08: Welche Malware gibt es da draußen und wie viel davon.

00:13:10: Wo sind unsere Angriffsflächen?

00:13:12: Wie kann man das vermessen?

00:13:14: Wo wären wir tatsächlich angegriffen?

00:13:15: also wieviel werden wir angegriffene?

00:13:17: Und dann am Ende des Tages auch wie sieht die Schadwirkung aus die daraus entsteht Also von von Reputationsverlust ein bisschen zu Ausfall Minuten und finanziellen Schäden die dadurch entstehen?

00:13:28: Das wollen wir messen.

00:13:29: Da haben wir uns die letzten zwei Jahre gut auf den Weg gemacht, da haben wir jetzt deutlich mehr Zahlenmaterial.

00:13:33: Das ist noch nicht am Ende der Anstrengung aber das werden wir jetzt noch mehr und mehr verdichten.

00:13:38: Ich träume mir immer von einer einzigen Zahl.

00:13:40: Mach guck genug, dass es uns gelingt!

00:13:41: Das ist jedenfalls der Plan auch für dieses Jahr.

00:13:43: mal schauen ob's gelingt wenn noch nicht zu viel versprechen.

00:13:46: Aber das ist die Idee und dann wäre für mich der entscheidende Punkt diese Zahl muss halt runtergehen ja?

00:13:52: Es muss besser werden und es muss messbar besser werden...das ist das Ziel.

00:13:55: Danke schön, Claudia.

00:13:56: Wir freuen uns dann schon auf den Lagebericht und vielleicht den BSI-Index zur Cybernation und wünschen dir viel Erfolg für die Mission, die wir alle vor der Brust haben.

00:14:07: Dankeschön, dass du bei uns warst!

00:14:08: Sehr gerne, danke schön.