[datensicherheit.de, 23.02.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet einen Wechsel an der Spitze: BSI-Vizepräsident Dr. Gerhard Schabhüser übergibt sein Amt an Thomas Caspers: „Im Rahmen einer Feierstunde wurde der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Dr. Gerhard Schabhüser, aus seinem Amt verabschiedet, das er seit 2017 innehatte. Sein Nachfolger wird Thomas Caspers.“ Trotz Ruhestand gilt Dr. Schabhüsers Leidenschaft nach wie vor der Kryptographie – der er auch weiterhin treu zu bleiben gedenkt: Ab dem kommenden Sommersemester möchte er eine Vorlesung zu den Themen Klassische Kryptographie, Kryptoanalyse und Bool’sche Funktionen an der Universität Bonn anbieten.

Foto: BSI / bundesfoto / Geza Aschoff

Feierliche Amtsübergabe in Bonn (v.l.n.r.): Thomas Caspers (designierter BSI-Vizepräsident), Friederike Dahns (BMI-Abteilungsleiterin „Cyber- und Informationssicherheit“), Claudia Plattner (BSI-Präsidentin) und Dr. Gerhard Schabhüser (scheidender BSI-Vizepräsident)

Der ausscheidende BSI-Vizepräsident gehörte der Behörde seit dem Jahr ihrer Gründung an

In der Redoute, einer geschichtsträchtigen Stätte im Bonner Stadtteil Bad Godesberg, wurde demnach vor Gästen aus Verwaltung, Wirtschaft, Wissenschaft und Politik eine Persönlichkeit gewürdigt, welche „ein Stück Bonner Behördengeschichte mitgeschrieben“ hat: „Dr. Gerhard Schabhüser, Vizepräsident des BSI, gehört der Behörde seit dem Jahr ihrer Gründung an.“

Im November 1991 habe der promovierte Mathematiker als Referent in einem damals von der „Zentralstelle für das Chiffrierwesen“ (ZfCh) ins BSI verlagerten Arbeitsbereich gewirkt. Im Bereich der Kryptographie sei der heute 63-Jährige zunächst zum Referatsleiter aufgestiegen, dann zum Fachbereichsleiter und schließlich zum Abteilungsleiter, „bevor er 2017 als Vizepräsident in die Amtsleitung eintrat“. Nach mehr als 33 Jahren im Dienst der Informationssicherheit gehe er nun über ein Altersteilzeitmodell in den Ruhestand.

Plattner: „Das BSI sagt Danke; Deutschland sagt Danke!“

Die BSI-Präsidentin, Claudia Plattner, würdigte Dr. Schabhüser für seine Verdienste sowohl um die Cyber-Sicherheit in Deutschland als auch um die Menschen im BSI und sprach ihm ihren persönlichen Dank für die gemeinsame Zeit in der Amtsleitung aus: „Ich denke es gibt in unserer Behörde niemanden, der Gerhard Schabhüser nicht vermissen wird.“

Nun verlasse ein „Titan“ die Bühne, „von dem wir alle sehr viel lernen durften“. Nicht zuletzt seine von Pragmatismus geprägte Risikobereitschaft – und der damit verbundene Grundsatz „Wirkung vor Deckung“ – werde auch weiterhin Leitplanke ihrer Arbeit sein. Plattner: „Das BSI sagt Danke; Deutschland sagt Danke!“

Das BSI sollte so gestärkt werden, dass es die Informations- und Cyber-Sicherheit in Deutschland effektiv gestalten kann

In seiner Abschiedsrede blickte Dr. Schabhüser nicht nur zurück, sondern auch auf die Zukunft des BSI und der Cyber-Sicherheit insgesamt: „Ich wünsche mir, dass unsere politischen Akteure bei der Frage der Informations- und Cyber-Sicherheit künftig an einem Strang ziehen und die Rahmenbedingen schaffen, dass Deutschland, dass Europa das notwendige Level an Resilienz erreicht!“ Dazu gehört aus seiner Sicht, „dass die ,Governance’ für Digitalisierungsvorhaben des Bundes effektiv und effizient aufgestellt wird“.

Das BSI sollte so gestärkt werden, dass es die Informations- und Cyber-Sicherheit in Deutschland effektiv gestalten könne. „Das bedeutet für den Bund: Die CISO-Rolle muss im BSI verankert werden. Für die Länder: Das BSI muss zur Zentralstelle im Bund-Länder-Verhältnis ausgebaut werden. Für die Wirtschaft: Das NIS-2-Umsetzugsgesetz muss schnellstmöglich beschlossen werden. Für die Gesellschaft: Die Marktaufsicht für den ,Cyber Resilience Act’ (CRA) muss beim BSI verortet werden.“

Thomas Caspers tritt das Amt des BSI-Vizepräsidenten zum 1. März 2025 an

Thomas Caspers übernimmt das Amt des BSI-Vizepräsidenten zum 1. März 2025. Der 53-jährige Diplom-Physiker wirke seit 2003 im BSI und sei ab 2015 im Bereich Kryptographie tätig. Seit 2019 habe er die Abteilung „Technologiestrategie und Informationstechnik“ geleitet und in dieser Funktion u.a. die „Cloud“-Strategie des BSI entwickelt und in die Umsetzung gebracht. In seiner Antrittsrede dankte er seinem Amtsvorgänger für dessen Leistungen und das persönliche Vertrauen, das zwischen beiden herrsche:

„Gerhard Schabhüser hat mehr als 30 Jahre die Arbeiten und Strategien des BSI maßgeblich geprägt. Seine große Verantwortungsbereitschaft war und ist Inspiration für mein Handeln.“ So werde das BSI auch weiterhin mit klarem Blick auf die Lage und ambitionierten technischen Lösungen Verantwortung für IT-Sicherheit in Deutschland übernehmen – „und künftig werden wir verstärkt auch andere in die Lage versetzen, dieser Verantwortung gerecht zu werden“. Caspers’ Fazit: „So verankern wir Sicherheit wirkungsvoll in der Digitalisierung, so schützen wir in gemeinsamer Verantwortung unsere demokratische Gesellschaft.“

Weitere Informationen zur „,Cloud’-Strategie“ des BSI:

Bundesamt für Sicherheit in der Informationstechnik, 10.05.2011
Cloud-Strategie des BSI / Sichere Cloud-Nutzung für die Cybernation Deutschland

[datensicherheit.de, 15.02.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass mit der Freien und Hansestadt Hamburg künftig im Bereich der Cyber-Sicherheit enger zusammengearbeitet werden soll. Eine entsprechende Vereinbarung haben demnach der BSI-Vizpräsident, Dr. Gerhard Schabhüser, und Jan Pörksen, Staatsrat und Chef der Senatskanzlei, sowie Christian Pfromm, Leiter des Amtes für IT und Digitalisierung der Senatskanzlei Hamburg, am 7. Februar 2025 im Hamburger Rathaus unterzeichnet.

Besorgniserregenden Bedrohungslage im Cyber-Raum zwingt zum Handeln

Diese Vereinbarung erstrecke sich über acht Kooperationsfelder. Dabei gehe es u.a. um einen zielgerichteten Austausch von Cyber-Sicherheitsinformationen, gemeinsame Sensibilisierungsmaßnahmen für Beschäftigte der Stadt Hamburg, Beratungsangebote und Unterstützung nach IT-Sicherheitsvorfällen.

„In Anbetracht der besorgniserregenden Bedrohungslage im Cyber-Raum muss Deutschland zu einer Cyber-Nation werden!“, kommentiert BSI-Vizepräsident Schabhüser. Landesverwaltungen und kommunale Einrichtungen erlitten täglich Angriffe durch Cyber-Kriminelle.

Cyber-Sabotage und -Spionage nehmen Deutschland ins Visier

Angriffe auf Kritische Infrastrukturen (KRITIS) gefährdeten die gesellschaftliche Ordnung. Schabhüser betont: „Deutschland ist Ziel von Cyber-Sabotage und -Spionage. Unser Ziel ist es, die Cyber-Sicherheit in Deutschland substanziell und flächendeckend zu erhöhen.“ Dafür müsse man die Strukturen in Bund und Ländern gemeinsam stärken.

Solche Kooperationsvereinbarungen strukturierten die Zusammenarbeit auf dem Gebiet der Cyber-Sicherheit im Bund-Länder-Verhältnis unter Beachtung des verfassungsrechtlichen Rahmens. Das BSI hat nach eigenen Angaben zuvor bereits Kooperationsvereinbarungen mit den Ländern Sachsen, Sachsen-Anhalt, Niedersachsen, Hessen, Bremen, Rheinland-Pfalz und dem Saarland abgeschlossen.

Weitere Informationen zum Thema:

datensicherheit.de, 10.02.2025
Cyber-Nation: TeleTrusT veröffentlicht Forderungskatalog zur Umsetzung des Konzeptes / Insbesondere Kommunikation, Kooperation und Koordination auf Basis gemeinsamer Grundwerte berührt – der TeleTrusT richtet zentrale Forderungen an die Stakeholder

datensicherheit.de, 10.10.2023
BSI-Präsidentin: Deutschland sollte Cyber-Nation werden / Claudia Plattner fordert intensiven Austausch angesichts der hohen und immer komplexer werdenden Cyber-Bedrohungslage

[datensicherheit.de, 13.07.2020] Für mehr Sicherheit vernetzter Geräte im sogenannten Smart Home soll laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) der Europäische Standard (EN) 303 645 nun die Grundlage liefern. Auf Basis dieses neuen Standards erarbeitet das BSI nach eigenen Angaben mit weiteren Partnern bei der europäischen Standardisierungsorganisation ETSI eine Prüfspezifikation, um zu definieren, wie Anforderungen aus dem Sicherheitsstandard strukturiert und umfassend getestet werden können.

Abbildung: ETSI

(EN) 303 645: Grundlage für mehr Sicherheit vernetzter Geräte…

Smart Home: Schutz durch neuen Standard mit maßgeblicher BSI-Beteiligung

Als Cyber-Sicherheitsbehörde des Bundes war das BSI nach eigenen Angaben „maßgeblich an der Entwicklung des am 30. Juni 2020 durch die europäische Normungsorganisation ETSI (European Telecommunications Standards Institute) veröffentlichten Standards beteiligt“.
Auf Basis dieses neuen Standards erarbeitet das BSI nach eigenen Angaben mit weiteren Partnern bei der europäischen Standardisierungsorganisation ETSI derzeit bereits eine Prüfspezifikation zu EN 303 645 – diese soll definieren, „wie die Anforderungen aus dem Sicherheitsstandard strukturiert und umfassend getestet werden können“.

Jedes internetfähige Gerät eröffnet Angriffsmöglichkeiten – auch im Smart Home

„Immer mehr Menschen in Deutschland nutzen die Möglichkeiten der Digitalisierung und Vernetzung des eigenen Zuhauses. Jedes neue internetfähige Gerät eröffnet aber auch Cyber-Kriminellen neue Angriffsmöglichkeiten“, warnt BSI-Vizepräsident Gerhard Schabhüser.
Daher habe das BSI gemeinsam mit Herstellern, Prüfinstituten und internationalen Regierungsorganisationen die Entwicklung des neuen Standards vorangetrieben. Es gilt demnach, „vernetze Geräte als Teil des täglich wachsenden Internets der Dinge (IoT) auf eine sichere Basis zu stellen“.

Neuer EU-Standard ein Meilenstein für Verbraucher und ihr Smart Home

Mit dem neuen EU-Standard sei dies gelungen – „für die Informationssicherheit und Privatsphäre der Verbraucherinnen und Verbraucher in Deutschland und Europa ist dies ein Meilenstein“, so der BSI-Vizepräsident.
Der neue, weltweit anwendbare Mindestsicherheitsstandard EN 303 645 diene als Empfehlung für die sichere Entwicklung (Security by Design) von IoT-Geräten. Er baue auf dem vorherigen Standard TS 103 645 auf und auch der vom BSI mitentwickelte deutsche Sicherheitsstandard DIN SPEC 27072 sei in die Erstellung des neuen europäischen Standards eingeflossen.

Unzureichend geschützte IoT-Geräte auch ein Risiko für das Smart Home

Unzureichend geschützte IoT-Geräte seien ein Risiko für die Informationssicherheit und Privatsphäre der Nutzer und daher ein beliebtes Ziel von Cyber-Angreifern. Kompromittierte Geräte könnten missbraucht werden, um an persönliche Daten der Besitzer zu gelangen oder um großflächige Cyber-Angriffe auf Infrastrukturen Dritter durchzuführen.
Um diesen Bedrohungen zu begegnen, beinhalte dieser Standard verpflichtend umzusetzende Anforderungen: „Hierzu gehören sichere Authentisierungsmechanismen, ein angemessenes Update-Management und die Absicherung der Kommunikation“, erläutert Schabhüser.

Weitere Informationen zum Thema:

ETSI
Final draft ETSI EN 303 645 V2.1.0 (2020-04)

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing

[datensicherheit.de, 10.07.2020] Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wirf der diesjährige „European Cyber Security Month 2020“ (ECSM) seine Schatten voraus. Dessen Hintergrund beruht auf der Erkenntnis, dass das Alltagsleben in diesem Frühjahr eine signifikante Änderung erfahren hat: „Homeoffice“, Online-Unterricht sowie Videokonferenzen mit Geschäftspartnern, Familie und Freunden – einmal mehr wurde deutlich, welche Rolle die Digitalisierung spielt und wie wichtig es ist, digitale Prozesse sicher zu gestalten. Im Kontext dieser gesamtgesellschaftlichen Aufgabe ruft das BSI nach eigenen Angaben Institutionen aus Staat, Wirtschaft und Gesellschaft zur Teilnahme am ECSM im Oktober 2020 auf. Als nationale Koordinierungsstelle möchte das BSI hierfür Partner gewinnen, welche sich an diesem europäischen Aktionsmonat beteiligen und gemeinsam für das Thema Cyber-Sicherheit sensibilisieren.

Abbildung: BSI

European Cyber Security Month: jährlich im Oktober stattfindender Aktionsmonat

BSI beteiligt sich mit eigenen Aktionen am ECSM

Das BSI selbst beteiligt sich demnach ebenfalls mit eigenen Aktionen am ECSM: So werde es eine virtuelle Auftaktveranstaltung für Multiplikatoren sowie interessierte Bürger geben. Die Allianz für Cyber-Sicherheit wird laut BSI mit Unterstützung ihrer Beiräte am 1. Oktober 2020 eine virtuelle Veranstaltung für interessierte Teilnehmer durchführen.

Täter im Cyber-Raum schlafen nicht, warnt der BSI-Vize-Präsident

„Die letzten Monate haben uns gezeigt, wie schnell sich unser Leben zumindest teilweise in den digitalen Raum verlagern kann. Auch dort gibt es Risiken, vor denen es sich zu schützen gilt. Täter im Cyber-Raum schlafen nicht. Täglich entstehen neue Möglichkeiten, einer Gesellschaft im Kleinen wie im Großen zu schaden“, warnt Dr. Gerhard Schabhüser, der BSI-Vize-Präsident.

Als Cyber-Sicherheitsbehörde des Bundes koordiniert das BSI deutschlandweit die Maßnahmen

Als Cyber-Sicherheitsbehörde des Bundes koordiniere das BSI deutschlandweit die Maßnahmen. „Wir rufen Unternehmen, Behörden, Institutionen und Einrichtungen der Zivilgesellschaft auf, sich am ECSM zu beteiligen und mit ihrem Engagement mit uns gemeinsam dafür zu sorgen, dass Deutschland digital sicher wird“, appelliert Dr. Schabhüser.

Auch nicht-öffentliche Aktionen können dem BSI als ECSM-Maßnahme gemeldet werden

Am ECSM könnten sich alle interessierten Organisationen beteiligen, welche das Thema Cyber-Sicherheit im Oktober 2020 in eigenen, insbesondere auch digitalen Formaten einem breiten Publikum vermitteln. Diese könne öffentlich geschehen, beispielsweise durch Vorträge oder Online-Seminare für Privatanwender oder Social-Media-Aktionen wie Videos und Streams, Umfragen und Themenposts. Aber auch nicht-öffentliche Aktionen wie die Sensibilisierung von Mitarbeitern könnten dem BSI als Maßnahme im Rahmen des ECSM gemeldet werden.

Während deutscher Ratspräsidentschaft setzt sich das BSI für Stärkung der Informationssicherheit auf EU-Ebene ein

Während der deutschen Ratspräsidentschaft werde sich das BSI zudem für eine Stärkung der Informationssicherheit auf EU-Ebene einsetzen: Unter anderem durch einheitliche Mindestanforderungen in der IT-Sicherheit bei allen auf dem europäischen Markt erhältlichen vernetzten Geräten, einheitliche Mindestsicherheitsstandards im Zertifizierungsrahmen des „Cybersecurity Act“ sowie moderne Sicherheitstechnologien (secure elements) für Identifizierung und Authentisierung.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
European Cyber Security Month / Herzlich willkommen zum ECSM

Bundesamt für Sicherheit in der Informationstechnik
European Cyber Security Month / Anmeldung einer Aktion zum ECSM

datensicherheit.de, 29.06.2020]
30 Jahre: BSI feiert 2021 Jubiläum

datensicherheit.de, 01.10.2015
ECSM: Mitarbeiter können zur IT-Sicherheit im Unternehmen beitragen

[datensicherheit.de, 06.11.2019] ds-Herausgeber Dirk Pinnow hat als Repräsentant des Medienpartners „datensicherheit.de“ an der „Cybersecurity 2019“ im Hotel Bristol Berlin teilgenommen und berichtet nachfolgend über den Vortrag von Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), am ersten Kongresstag. Für mehr Sicherheit im Zuge der Digitalisierung, welche als deren Erfolgsgrundlage gilt, könnte ein regulatorischer Eingriff des Staates zu einem erwünschten Kulturwandel führen.

Foto: Dirk Pinnow

Dr. Gerhard Schabhüser (Bildmitte): Im Prinzip kann jeder IT-Anwender irgendwann Opfer werden

Cyber-Sicherheit grundlegend für Gelingen der Digitalisierung

Über den Beitrag des BSI zur Cyber-Sicherheit in Deutschland sprach dessen Vizepräsident, Dr. Gerhard Schabhüser. Er betonte eingangs, dass wir mit der Digitalisierung erst auf dem Weg seien – indes sei Cyber-Sicherheit grundlegend für deren Gelingen. Die mit der Digitalisierung einhergehende Vernetzung erfolge horizontal und vertikal.
In den damit entstehenden Meta-Netzwerken suchten Angreifer nach den einfachsten Wegen für maliziöse Zugänge. In diesem Zusammenhang verwies er auf die aktuelle BSI-Publikation „Die Lage der IT-Sicherheit in Deutschland 2019“. Er stellte klar und warnte zugleich: Die Methoden für sogenannte Phishing-Attacken würden immer mehr verfeinert, so dass im Prinzip jeder IT-Anwender irgendwann Opfer werden könnte.

Bisher noch Marktversagen statt Security-by-Design

In Hinblick auf die Sicherheit müssten heute IT-Systeme überwiegend noch mit „mangelhaft“ bewertet werden – Dr. Schabhüser sprach von einem „Marktversagen“. Informations- und Kommunikationsausrüstung sei noch lange nicht auf dem Sicherheitsniveau wie etwa materielle Maschinen. Er forderte, dass Sicherheit bereits vor dem Markteintritt geboten werden müsste („Security-by-Design“). Zertifizierung sollte integraler Teil des Innovations- und Entwicklungsprozesses sein.
So sehe der am 27. Juni 2019 in Kraft getretene „EU Cybersecurity Act“ eine Zertifizierung nach den drei Sicherheitsniveaus „niedrig“, „mittel“ und „hoch“ vor – diese werde dann in allen EU-Staaten anerkannt. Der BSI- Vizepräsident nahm aber nicht nur die Anbieter in die Pflicht – auch auf Seiten der Anwender erwartet er eine notwendige Verhaltensänderung. Schabhüser forderte zur Verbesserung der Sicherheitslage einen „Kulturwandel“ – auf Seiten der Hersteller und Dienstleister einerseits und der Anwender andererseits. Er wies als Hilfestellung für Unternehmen auf die Publikation „Management von Cyber-Risiken: Handbuch für Unternehmensvorstände und Aufsichtsräte“ der Allianz für Cyber-Sicherheit hin.

Mit Bußgeld bewehrter regulatorischer Eingriff als Wegbereiter für mehr Sicherheit

In der sich seinem Impuls unmittelbar anschließenden kurzen Diskussion zog er die zum 1. Januar 1976 in der damaligen Bundesrepublik verfügten allgemeinen Anschnallpflicht auf Pkw-Vordersitzen heran, der damals viele Westdeutsche ablehnend gegenüberstanden. Ausschlaggebend war damals die hohe Anzahl an Verkehrstoten (über 21.000 im Jahr 1971 – im Prinzip eine deutsche Kleinstadt).
Sicherheit habe sich damals zunächst schlecht verkauft – heute seien Sicherheits-Features in den PKW sehr wohl gute Verkaufsargumente. Es habe also eines mit Bußgeld bewehrten regulatorischen Eingriffs des Staates bedurft, um die Sicherheitslage auf den Straßen zu verbessern. Schabhüser gab seiner Hoffnung Ausdruck, dass es im Cyberspace ähnlich verlaufen könnte.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Publikationen / Die Lage der IT-Sicherheit in Deutschland

Allianz für Cyber-Sicherheit
Management von Cyber-Risiken: Handbuch für Unternehmensvorstände und Aufsichtsräte

datensicherheit.de, 05.11.2019
Cyberspace: Virtueller Raum mit realer Gefahr / Notizen von ds-Herausgeber Dirk Pinnow vom 1. Tag der „9. Handelsblatt Jahrestagung Cybersecurity“ im Hotel Bristol Berlin

datensicherheit.de, 14.10.2019
9. Handelsblatt Jahrestagung Cybersecurity in Berlin