Pläne des Innenministeriums Bund will mehr Kompetenzen bei Cyberattacken
Bisher sind die Länder für die Abwehr von Hackerangriffen verantwortlich. Innenministerin Faeser will nun dem Bund mehr Kompetenzen geben. Klappt das? Experten sind skeptisch.
Cyberattacken nehmen seit Jahren massiv zu. Sie verursachen allein bei Unternehmen jährlich einen finanziellen Schaden in einer dreistelligen Milliardenhöhe, so Schätzungen. Ebenso werden Kommunen immer häufiger angegriffen, ihre Daten verschlüsselt und die Behörden erpresst - also zu Lösegeldzahlungen aufgefordert.
Bis die IT wieder hergestellt ist, sind die Kommunen oft wochenlang lahmgelegt. Die Zahl der Cyberattacken könnte zudem durch den russischen Angriffskrieg gegen die Ukraine weiter steigen. Das befürchtet der Verfassungsschutz.
Viele geben zu wenig Geld für IT-Sicherheit aus
Was in der Debatte häufig übersehen wird: Private Unternehmen, Kommunen und Privatpersonen sind angehalten, ihre IT-Systeme selbst zu schützen. Tatsache ist: Häufig geben sie dafür zu wenig Geld aus. Sie unterschätzen, dass der finanzielle Verlust durch einen Cyberangriff viel höher ist als die vorsorgliche Investition in den eigenen Schutz.
Wenn es zu einem Angriff kommt und eine Kommune Hilfe braucht, um möglichst viele der eigenen Daten zu schützen, hängt vieles davon ab, in welchem Bundesland sie ist. Je nachdem wird schnell oder langsam, gut oder schlecht geholfen. Der Grund: Die Länder sind bislang bei der Abwehr von Cyberattacken zuständig, aber unterschiedlich gut aufgestellt.
Bund soll Zuständigkeiten bekommen
Dem will Bundesinnenministerin Faeser nun entgegenwirken. "Die Bedrohungslage im Cyberraum wächst jeden Tag", so Faeser. "Die Zeitenwende, die wir angesichts des russischen Angriffskriegs gegen die Ukraine erleben, erfordert eine strategische Neuaufstellung und deutliche Investitionen in unsere Cybersicherheit."
Künftig soll der Bund zuständig sein. Sollte sich Faeser mit diesen Vorstellungen durchsetzen, müsste dafür das Grundgesetz geändert werden. Nach der Cybersicherheitsagenda von Faeser würde vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestärkt.
Bislang ist das BSI in erster Linie für die Sicherung der IT-Netze der Regierung zuständig, also zum Beispiel der Ministerien. Außerdem wird es zu Rate gezogen, wenn Cyberangriffe auf Unternehmen der kritischen Infrastruktur oder von besonderem Interesse festgestellt werden, zum Beispiel auf große Energieunternehmen oder Krankenhausverbünde.
BSI soll Zentralstelle werden
In Zukunft soll das BSI zu einer Zentralstelle im Bund-Länder-Verhältnis werden, also zum Scharnier zwischen Bund und Ländern bei allen Fragen rund um das Thema Cybersicherheit. So zumindest die Theorie. Linus Neumann vom Chaos Computer Club sagt: Eine zentrale Verantwortlichkeit zu schaffen sei sinnvoll. Die Ressourcen seien ohnehin begrenzt. Wichtig sei dann aber, dass die Behörde auch genügend Mitarbeiter hat, um die vielen neuen Aufgaben zu bewältigen.
Nicht nur das BSI soll mehr Aufgaben erhalten, wenn der Bund für die Cyberabwehr zuständig wird, sondern alle Sicherheitsbehörden, also auch der Verfassungsschutz, das Bundeskriminalamt und die Bundespolizei. Diese sollen zum Beispiel die Bedrohungslage für die großen Energieunternehmen in ihrem Lagebericht mitberücksichtigen.
Abwehrzentrum soll auch operativ tätig werden
So klingt es nur konsequent, wenn auch das sogenannte Cyberabwehrzentrum, bei dem sich die Sicherheitsbehörden zum Thema Cybersicherheit austauschen, ebenfalls gestärkt wird. Künftig sollen die Sicherheitsbehörden dort nicht mehr nur Informationen zur Bedrohungslage im Cyberraum besprechen.
Vielmehr soll das Abwehrzentrum mit Sitz in Bonn auch operativ tätig werden, so der Wunsch. Bislang scheint dies eine abstrakte Vorstellung zu sein. Wie dieses operative Arbeiten in der Zukunft aussehen könnte, ist offenbar noch nicht bis zu Ende durchdacht.
Neumann: Einflussmöglichkeiten begrenzt
Neumann sieht die Cybersicherheitsagenda kritisch: "Hier wird der Eindruck vermittelt, der Bund könnte für die Sicherheit von Unternehmen der kritischen Infrastruktur garantieren." Tatsächlich seien die Einflussmöglichkeiten begrenzt. Und diese würden durch regulatorische Auflagen eher behindert als gestärkt. Kritische Komponenten zu definieren, fresse viele Ressourcen.
"Insgesamt brauchen wir eine Entbürokratisierung der IT-Sicherheit", fordert Neumann. Doch die Pläne der Bundesinnenministerin gehen noch weiter, sie hat sich bereits für eine aktive Cyberabwehr ausgesprochen. Angegriffene Unternehmen oder Kommunen müssten demnach nicht nur in der Lage sein, bei einem Angriff möglichst viele Daten zu schützen.
Faeser lehnt "Hackback" ab
Neu wäre, dass der Staat mit seinen Sicherheitsbehörden auch in der Lage sein müsste, einen Server, von dem ein Angriff ausgeht, geordnet herunterzufahren. Für Deutschland wäre das Neuland. Kopfschütteln bei IT-Experte Neumann. Die Forderung nach aktiver Cyberabwehr gehe an der Art, wie Angriffe durchgeführt würden, vorbei. Die Angreifer ließen sich ihren Angriff heutzutage durch das Abschalten eines Servers nicht vermiesen. Immerhin, die Ministerin will offenbar nicht, dass der Staat zum Hacker wird.
Einen "Hackback", das Ausnutzen von Sicherheitslücken auf dem Zielsystem, lehnt sie ausdrücklich ab. Vieles in der Agenda klingt derzeit nach Wunschdenken. Die Netze des Bundes und bei den Behörden sollen zum Beispiel gestärkt werden. So soll offenbar ein Bundestags-Hack wie 2016 oder ein Angriff wie 2018 im Auswärtigen Amt vermieden werden. Nur wie, das geht aus den bisherigen Plänen nicht klar hervor.