Wie stellt sich die aktuelle Cybersicherheitslage in Deutschland dar? Wie gefährdet ist Deutschland?
Sven Herpig – Laut der Innenministerin Nancy Faeser, die die auswertenden Behörden unter sich hat, haben wir im Cyberbereich die höchste Bedrohungslage, die wir je hatten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird in den Lageberichten der vergangenen Jahre nicht müde zu betonen, dass die Gefährdungslage auf einem sehr hohen Niveau stagniert. Dazu ist zweierlei zu sagen: Erstens sind Aussagen zur Gefährdungslage immer auch politische Aussagen. In den vergangenen Jahren wurden viele Ressourcen in das Thema gesteckt, um Deutschland sicherer zu machen. Es sieht natürlich schlecht aus, wenn es trotzdem jedes Jahr schlimmer wird – also stagniert es jedes Jahr auf hohem Niveau. Zweitens: Um ein umfassendes Bild zu bekommen, müssten wir alle Lagebilder wie ein Puzzle zusammensetzen. Es gibt das Lagebild des BSI, das des Bundeskriminalamtes und das des Bundesamtes für Verfassungsschutz. Beim Verfassungsschutz fließen die Informationen des Bundesnachrichtendienstes ein und bei der Bundeswehr, die Teile ihrer Erkenntnisse mit dem BSI teilt, die Informationen des Militärischen Abschirmdienstes. Dabei ist noch nicht berücksichtigt, dass nur Unternehmen der kritischen Infrastruktur meldepflichtig sind. Das heißt, alle anderen Unternehmen, und das sind die meisten, müssen Vorfälle nicht unbedingt melden. Dadurch haben wir eine sehr unvollständige Datenlage.
Sie verweisen auf die komplexe Sicherheitsarchitektur der deutschen Cybersicherheitspolitik. Was muss getan werden, um Deutschland besser zu schützen?
– Zur Komplexität sind zwei Dinge zu sagen: Zum einen sind wir ein föderaler Staat, und damit ist auch die Cybersicherheitspolitik föderal organisiert. In den vergangenen Jahren haben sich immer mehr Bundesländer eigene IT-Sicherheitsgesetze gegeben und eigene Akteure in ihrem Bundesland aufgebaut, die sich mit Cybersicherheit beschäftigen. Zweitens ist die Cybersicherheitspolitik für Deutschland ein relativ neues Feld. Das BSI wurde zwar schon 1991 gegründet, aber als Politikfeld ist das Thema in Deutschland erst in den 2010er Jahren richtig angekommen. Das hing auch mit der Stuxnet-Operation im Iran zusammen – das hat hohe Wellen geschlagen, als man gesehen hat, dass Nuklear-Anreicherungsanlagen mit Schadsoftware manipuliert werden können. Und dann hat man in Deutschland das gemacht, was man bei neuen Themenfeldern immer macht: Man schafft Akteure wie das Nationale Cyber-Abwehrzentrum, den Nationalen Cyber-Sicherheitsrat und so weiter. Und das ist auch gut so. Aber irgendwann muss man innehalten und die Architektur anschauen, evaluieren und im Zweifel reformieren. Und das ist bis heute nicht geschehen. Wir müssen eine Kommission einsetzen, die evaluiert, ob unsere Cybersicherheitsarchitektur noch den heutigen Anforderungen entspricht, und wenn sie das nicht tut, müssen wir auch entsprechende Reformschritte einleiten.
Welche Konflikte sehen Sie in der aktuellen Situation?
– Neben der internen Abstimmung innerhalb der Bundesregierung in bestimmten Politikbereichen gibt es ein Spannungsfeld zwischen der Regierung auf der einen Seite und der Zivilgesellschaft, der Wissenschaft und der Industrie auf der anderen Seite, insbesondere bei Themen wie intrusive Cyberoperationen, also das Einbrechen in IT-Systeme. Solche Operationen verhelfen zwar Nachrichtendiensten und Polizeien dazu, ihren gesetzlichen Auftrag zu erfüllen, schaffen aber selten ein Mehr an Cybersicherheit. Es gibt zum Teil starke Diskrepanzen zwischen dem, was das Innenministerium aus Gründen der öffentlichen Sicherheit umsetzen möchte, und dem, was die restlichen Akteure sagen, was für die IT-Sicherheit und damit auch für Deutschlands Wirtschaft und Gesellschaft sinnvoll wäre.
Können Sie Beispiele nennen?
– Bleiben wir bei den intrusiven Cyberoperationen, die zwei kontroverse Punkte beinhalten. Um intrusive Cyberoperationen durchführen zu können, müssen gefundene Schwachstellen zurückgehalten werden, damit Sicherheitsbehörden sie für einen bestimmten Zeitraum ausnutzen können. Wenn Schwachstellen zurückgehalten werden, bleiben jedoch alle IT-Systeme, in denen sie existieren, verwundbar gegenüber Kriminellen und Nachrichtendiensten. Für den staatlichen Umgang mit diesen Schwachstellen haben wir uns immer noch nicht auf einen Prozess geeinigt. So macht jede Behörde, was sie will – ohne das große Ganze im Blick zu haben. Der zweite Punkt ist, dass wir für diese Operationen Steuergelder ausgeben und dafür Überwachungswerkzeuge von Firmen einkaufen. Diese entwickeln die Werkzeuge weiter – mit deutschen Steuergeldern – und verkaufen sie auch an andere Länder wie zum Beispiel Saudi-Arabien, wo solche Technologien eingesetzt werden, um Menschenrechtsaktivistinnen oder Journalisten zu überwachen – oder Schlimmeres: Der Mord an dem Journalisten Jamal Khashoggi ist der bekannteste Fall, bei dem solche Überwachungssoftware eingesetzt wurde.
Wie funktioniert die Zusammenarbeit von staatlichen und nicht-staatlichen Akteuren?
– Zum einen gibt es die Zusammenarbeit, um Deutschland sicherer zu machen. Dazu gehört zum Beispiel die Zusammenarbeit zwischen Behörden und IT-Sicherheitsunternehmen, oder auch der Bereich, in dem wir als Stiftung tätig sind, nämlich darüber nachzudenken, was gute Policies sind, um Deutschland sicherer zu machen – aus einer gesellschaftlichen Perspektive und eben nicht aus einer Behördenperspektive. Dazu kommt der Bereich Forschungsförderung, unter anderem für sichere Hard- und Software. Und dann gibt es global gesehen noch eine weitere Art der Zusammenarbeit, die aber problematisch ist. Nämlich dann, wenn Staaten an Daten kommen wollen – zum Beispiel für intrusive Cyberoperationen. Dann arbeiten sie mit Unternehmen zusammen, die Überwachungswerkzeuge herstellen und verkaufen. Diese Firmen bewegen sich in einem Graubereich, oft einem sehr dunkelgrauen. Weiterhin gibt es sowohl die organisierte Kriminalität als auch Söldner, die im Cyberraum aktiv sind. Das sind nicht-staatliche Akteure, die zum Beispiel wie in Russland auch mal in Absprache mit den Sicherheitsbehörden agieren. Bei den Söldnern wiederum handelt es sich um Firmen, die für Staaten arbeiten, die selbst keine offensiven oder intrusiven Fähigkeiten aufbauen können oder wollen. So können mittlerweile sehr viele Staaten Geld in die Hand nehmen und Firmen damit beauftragen, iPhones von Menschenrechtsaktivisten zu kompromittieren. Staaten müssen diese Fähigkeiten gar nicht mehr entwickeln, sodass die Einstiegsschwelle für destabilisierende Aktivitäten im Cyberraum immer niedriger wird. Und so fließt viel Geld in dieses Ökosystem, sowohl über die organisierte Kriminalität als auch über die Staaten selbst. Und dieses Geld wird wiederum dafür genutzt, bessere Werkzeuge zu programmieren oder Schwachstellen zu finden. Das untergräbt weltweit die Sicherheit unserer IT-Infrastrukturen.
Woher nehmen Sie Ihr Wissen, wenn Sie keinen Zugang zu Geheimdienstinformationen haben?
– Natürlich sprechen wir wie viele andere auch mit Praktikern und Forscherinnen aus verschiedenen Bereichen. Aber grundsätzlich muss man eines verstehen: Der IT-Sicherheitsbereich ist ein sehr großer Markt. Es gibt viele IT-Sicherheitsfirmen, die Geld verdienen und Geld verdienen wollen. Die stehen natürlich in Konkurrenz zueinander und wollen deshalb gute PR-Arbeit machen. Das tun sie unter anderem dadurch, dass sie viele Cyberoperationen aufklären und Berichte darüber verfassen. Und diese stellen sie kostenlos zur Verfügung, weil sie das Ökosystem sicherer machen wollen, aber natürlich auch, weil es gute PR ist. Unternehmen wissen, dass Wettbewerber sie für falsche Informationen kritisieren würden. Das ist einer der Gründe, warum es in diesem Bereich – vielleicht auch im Vergleich zu anderen Sicherheitsbereichen – eine gute öffentliche Informationsbasis gibt. Woher erhalten die Unternehmen ihre Informationen? Zum einen werden sie bei Vorfällen angerufen und müssen diese aufklären. Zum anderen läuft ihre Software auf vielen Systemen. Das heißt, sie sehen, was auf diesen Systemen passiert und können entsprechende Berichte schreiben.
Welche Auswirkungen hat der russische Angriffskrieg auf die Debatten im Bereich Cybersicherheit?
– Mit Blick auf die Debatten um intrusive Cyberoperationen, aktive Cyberabwehr im Ausland oder das Ausnutzen von Schwachstellen ist es tatsächlich so, dass Politikerinnen und Politiker, die schon vor dem Krieg eine Ausweitung der Befugnisse für Sicherheitsbehörden gefordert haben, nun auch von einer Zeitenwende im Cyberraum sprechen. Sie benutzen den Angriffskrieg, um zu rechtfertigen, dass bestimmte Fähigkeiten und Befugnisse nötig sind, um sich zu verteidigen. Das ist politisch verständlich. Ich glaube, wenn ich politisch verantwortlich wäre und diese Befugnisse wollte, dann würde ich das auch tun. Aber es ist auch ein bisschen unehrlich, weil der Angriffskrieg für den Cyberraum bisher zu keinen bahnbrechenden neuen Erkenntnissen geführt hat. Was Russland eingesetzt hat, war schon vorher bekannt. Wie die Russen es einsetzen und wie sie es mit ihren Land-, Luft- und Seekampagnen kombinieren, ist interessant, hat aber nichts damit zu tun, ob wir jetzt unsere intrusiven Fähigkeiten und Befugnisse erweitern sollten oder nicht.
Wie sehr ist Deutschland im Fokus von Angreifern? Ist Deutschland im internationalen Vergleich besonders gefährdet?
– Das kann man schon sagen. Gerade die deutschen Unternehmen stehen im Visier von nachrichtendienstlicher Spionage, zum Beispiel aus China, aber auch von organisierten Kriminellen im Cyberraum, die mit wenig Aufwand viel Geld machen wollen. Und wenn ich mir den gesamten Bereich der KMU, also der kleinen und mittleren Unternehmen, anschaue, dann ist es natürlich logisch, dass diese oft Ziel von Cyberkriminellen sind. KMUs haben oft ausreichend Geld, um für Kriminelle attraktiv zu sein, und sie setzen selten die IT-Sicherheitsmaßnahmen um, die sie umsetzen müssten. Daher ist die Gefährdungslage in Deutschland schon sehr hoch. Ich denke auch im Vergleich zu einigen anderen Ländern.
Und wie kann man diese Unternehmen besser schützen?
– Zwei Punkte sind hier sehr wichtig. Das eine ist die Frage der Fachkräfte. Ich kann natürlich den KMUs viele Informationen und Werkzeuge zur Verfügung stellen, aber wenn es dort niemanden gibt, der IT-Sicherheit macht, oder nur zwei Stunden in der Woche, dann nützt das nichts. Das heißt, wir müssen gerade die Aus-, Um- und Weiterbildung im Bereich der IT-Sicherheit fördern, wir müssen schauen, ob wir neue Curricula brauchen, ob wir neue Ausbildungsberufe brauchen und wie wir schnell Leute in den IT-Bereich bekommen. Und ich rede nicht davon, dass wir neue Masterstudiengänge für Cybersicherheit schaffen. Wir brauchen hier keine studierten Kryptologen oder was auch immer. Wir brauchen hier Leute, die wissen, wie man Firewalls konfiguriert, wie man Systeme härtet, wie man Backups richtig macht und so weiter. Dafür braucht man keinen Bachelor oder Master. Und wir müssen hier weit über Bedarf ausbilden. Es ist ein recht attraktiver Beruf, der meist gut bezahlt wird, und es gibt eine internationale Nachfrage. Ich glaube, das ist ein Weg. Der andere Punkt ist, sich zu überlegen, welche skalierenden Dienstleistungen Landesbehörden oder Landesbehörden in Verbindung mit Bundesbehörden für KMUs anbieten können.
Was heißt das?
– Ich habe eine Behörde, ich habe viele Kommunen und zehntausende von KMUs im Bundesland. Wie schaffe ich es, dass alle von der IT-Sicherheit der Behörde profitieren? Dabei fallen mir vor allem zentrale Dienstleistungen ein, die mit wenig Aufwand von KMUs und Kommunen in Anspruch genommen werden können. Deren IT-Sicherheit würde sich signifikant erhöhen, verglichen damit, wenn sie selbst für die Sicherheit sorgen müssten. Das kann der Betrieb von einzelnen Anwendungen, Websites und Sicherheitsmaßnahmen, aber auch von ganzen IT-Infrastrukturen sein.
Und diese Dienstleister müssen nicht staatlich sein?
– Nein, der Staat muss nur die Rahmenbedingungen schaffen, damit diese Dienstleister gut funktionieren, und ihnen im Zweifelsfall auf die Finger schauen. Natürlich können und sollen die Behörden dort, wo sie können, unterstützen, zum Beispiel mit Warnungen und technischem Wissen.
Bei der Stiftung Neue Verantwortung sind Sie Leiter für Cybersicherheitspolitik und Resilienz. Was versteht man unter Cyberresilienz?
– Im Bereich der IT-Sicherheit verstehen wir darunter ein erweitertes Notfallmanagement. Früher hieß es, man müsse seine Systeme und Netzwerke sicher machen, und dann sei es gut, heute lautet das Paradigma "Assume Breach": Wir müssen davon ausgehen, dass unsere IT-Netzwerke irgendwann kompromittiert werden – dafür brauchen wir einen Notfallplan. Resilienz ist das, was nach einer Kompromittierung seine Schutzwirkung entfaltet. Wie gehe ich mit einem solchen Vorfall um? Zusammengefasst gibt es hier vier Komponenten: erstens antizipieren, was bei mir passieren kann. Das Zweite ist das, was man Mitigation nennt. Das heißt, ich muss lernen, den Schaden, den ich im Falle einer Kompromittierung meines Netzes habe, so gering wie möglich zu halten. Der dritte Schritt ist, den operativen Betrieb wiederherzustellen. Der letzte Schritt besteht darin, zu überlegen, wie man gestärkt aus dem Vorfall hervorgehen kann und wie Schwachstellen behoben werden können.
Im Kampf gegen Hacker wirbt die Bundesregierung für Grundgesetzänderungen und die Bündelung der Zuständigkeiten auf Bundesebene. Ist das notwendig?
– Wir diskutieren seit einigen Jahren über die Ausweitung der Befugnisse von Sicherheitsbehörden, um Cyberoperationen – auch im Ausland – abzuwehren. Das Innenministerium hat aber bis heute weder vorgelegt, was genau für Befugnisse vergeben werden sollen, noch welche Kontroll- und Schutzmaßnahmen damit einhergehen sollen. Im Koalitionsvertrag der Ampelkoalition wird eine Überwachungsgesamtrechnung angestrebt. Das bedeutet, dass sich die Bundesregierung dazu verpflichtet, eine Übersicht über alle Überwachungsbefugnisse anzufertigen, bevor sie weitere Überwachungsbefugnisse schafft. Im Koalitionsvertrag steht außerdem, dass die Bundesregierung keine Hackbacks – je nach Auslegung eine besonders intrusive Form von Abwehrbefugnissen – vornehmen will. Auf eine Anfrage des Bundestags an die aktuelle Bundesregierung, was unter dem Begriff "Hackback" zu verstehen ist, wurde geantwortet, dass der Begriff konzeptionell grundsätzlich nicht verwendet wird. Dass eine Bundesregierung den Begriff "Hackback" nicht verwendet, weil er aus der aktivistischen Szene kommt, ist verständlich. Aber spätestens wenn ich einen Koalitionsvertrag unterschreibe, in dem dieses Wort vorkommt, sollte ich auch eine Definition dafür haben. Und diese Definition ist die amtierende Regierung bis heute schuldig geblieben. Außerdem hat das Innenministerium leider bis heute nicht erläutert, welche Cyberoperationen gegen die deutsche Gesellschaft, Industrie und Behörden nicht mit den bereits bestehenden Befugnissen abwehrbar sind. Das muss aber vorher geklärt werden, bevor wir Grundgesetzänderungen vornehmen. Ich würde die Änderungen auch gar nicht pauschal ablehnen. Aber solange noch so viele Dinge offen sind, halte ich es aus meinem Demokratieverständnis her für problematisch, das Grundgesetz anzufassen.
Das Interview führte Lorenz Abu Ayyash am 5. Mai 2023 in Bonn.