Wohin steuert Deutschland? In unserer Serie "Zukunft Deutschland" beleuchtet unsere Redaktion große Herausforderungen, vor denen das Land steht. Dieses Mal geht es um Kritische Infrastrukturen wie die Strom- und Wasserversorgung, die essenziell für das Funktionieren von Wirtschaft, Staat und Gesellschaft sind. Immer häufiger sind sie Ziel von Cyberangriffen. Doch wie gut ist Deutschland auf diese Bedrohung vorbereitet? Kritiker sagen: schlecht. Dabei hat sich die Bundesregierung viel in Sachen Cybersicherheit vorgenommen.
Im Juli 2021 rief der Landkreis Anhalt-Bitterfeld den Katastrophenfall aus. Der Grund: Ein Hackerangriff hatte die Verwaltung der Kommune komplett lahmgelegt. Tagelang war die Auszahlung von Sozialleistungen an die Bürger nicht möglich. Die Angreifer hatten mit sogenannter "Ransomware" wichtige Daten verschlüsselt, für deren Freigabe sie viel Geld verlangten. Zwar ging der Landkreis nicht auf diesen Erpressungsversuch ein, teuer wurde es aber dennoch: Mehrere Millionen Euro soll die Rekonstruktion der Daten gekostet haben.
Der Fall sorgte damals deutschlandweit für Aufsehen. Und er zeigte: Kritische Infrastrukturen sind anfällig für Cyberattacken. Egal ob Wasser- und Stromversorgung, das Gesundheitssystem oder eben die öffentliche Verwaltung – praktisch alle Bereiche, die für die alltägliche Versorgung der Bevölkerung sowie das Funktionieren des Staates erforderlich sind, werden auch mithilfe computergestützter Systeme organisiert. Zudem nimmt die Gefahr zu: Nicht nur werden Hackerangriffe für kriminelle Gruppen immer lukrativer, auch die Bedrohung durch staatliche Cyber-Einheiten ist spätestens seit Beginn des Ukraine-Krieges größer geworden.
Die Bundesregierung will die Cyberabwehr stärken
Die Bundesregierung ist sich des Ernstes der Lage bewusst. In ihrer im Juni dieses Jahres veröffentlichten Nationalen Sicherheitsstrategie heißt es: "Unsere Kritischen Infrastrukturen sind vermehrt das Ziel erheblicher Bedrohungen und Störungen." Gerade der Gefahr, die von Cyberangriffen ausgeht, wird in dem Papier ein großer Stellenwert zugeschrieben. Ergänzt wird die Strategie durch die Cybersicherheitsagenda, die das Bundesinnenministerium (BMI) im Juli 2022 vorgestellt hat. Zusammen vermitteln die Schriftstücke die Botschaft: Wir tun alles, um die Cyberabwehr in Deutschland zu stärken.
Kritiker sagen jedoch: Im Ernstfall wären staatliche Behörden kaum handlungsfähig. Es gebe ein Definitions- und Verantwortungswirrwarr sowie zu wenig Spezialisten in den Behörden, die eine Katastrophe abwenden könnten. Doch wie steht es hierzulande um den Schutz Kritischer Infrastrukturen vor Cyberangriffen wirklich? Wo befinden sich die größten Sicherheitslücken und was geschieht, um diese zu schließen?
Was ist Kritische Infrastruktur?
Grob gesagt, zählt zur Kritischen Infrastruktur – von Fachleuten meist nur "Kritis" genannt – alles, was für das Funktionieren von Staat, Wirtschaft und Gesellschaft essenziell ist. Nach der Definition der Bundesregierung fallen darunter alle "Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden".
Je nach Behörde oder Gesetz unterscheidet sich jedoch die Definition von Kritischer Infrastruktur im Detail. Mal wird Kritis in sieben, mal in acht, neun oder zehn Sektoren unterteilt. Immer genannt werden Wasser-, Energie-, Gesundheits- und Nahrungsversorgung sowie der Verkehrs-, der Finanz- und der Telekommunikationsbereich. Wahlweise werden Medien und Kultur, Staat und Verwaltung, Abfallentsorgung sowie der Bereich Weltraum ebenfalls dazugezählt. Nach der derzeit geltenden Kritis-Verordnung muss ein Unternehmen zudem mindestens 500.000 Menschen versorgen, damit für es besondere Sicherheitsmaßnahmen gelten.
Baustelle eins: die Privatwirtschaft
Der Großteil der Kritischen Infrastruktur in Deutschland ist in der Hand von Privatunternehmen – Stromversorger, Krankenhausbetreiber oder Banken. Sie sind es auch, die für die Cybersicherheit in ihren Betrieben zuallererst verantwortlich sind. Per Gesetz sind Kritis-Betreiber verpflichtet, ihre Cyberabwehr auf dem neuesten Stand der Technik zu halten. Kontrolliert wird das vom Bundesamt für Sicherheit in der Informationstechnik (BSI), das dem Bundesinnenministerium untergeordnet ist.
Unternehmen müssen dem BSI alle gravierenden Angriffe auf ihre Systeme melden – und davon gibt es immer mehr. Laut einer Umfrage des IT-Branchenverbands Bitkom vom vergangenen Jahr sagen knapp die Hälfte aller Kritis-Betreiber, dass die Angriffe auf sie zugenommen hätten. Für die Zukunft rechnen sie zudem mit einem weiteren Anstieg. Laut Bitkom betrug 2022 der Gesamtschaden durch Cyberkriminalität für die deutsche Wirtschaft mehr als 200 Milliarden Euro.
Der Präsident des Verbandes, Ralf Wintergerst, fand auf einer Pressekonferenz Mitte August drastische Worte: "Wir haben das Thema Cyberkriminalität bisher verschlafen." Wintergerst fordert von den Unternehmen mehr Investitionen in die eigenen Abwehrfähigkeiten, nimmt aber auch den Staat in die Pflicht: Es brauche mehr IT-Fähigkeiten und erweiterte Befugnisse für die Polizei sowie eine bessere Bündelung der behördlichen Zuständigkeiten. Sein Appell: "Es ist höchste Zeit, aufzuwachen."
Baustelle zwei: die Verwaltung
Johannes Rundfeldt sieht das größte Problem woanders. "Im Bereich der Verwaltung sind im Gegensatz zur Privatwirtschaft Fragen der Cybersicherheit kaum geregelt", sagt der IT-Experte im Gespräch mit unserer Redaktion. Rundfeldt ist Sprecher der AG KRITIS, einer unabhängigen Arbeitsgruppe, die sich für die Verbesserung der IT-Sicherheit in Kritischen Infrastrukturen einsetzt. Er sagt: "Die großen erfolgreichen Hackerangriffe gelingen in Deutschland vor allem bei kommunalen Verwaltungen." Neben dem Fall im Landkreis Anhalt-Bitterfeld gibt es dafür noch weitere Beispiele. So war etwa die Kreisverwaltung von Rhein-Pfalz 2022 nach einem Cyberangriff monatelang beeinträchtigt.
"Der Staat hat es versäumt, Richtlinien für die eigene Infrastruktur zu erstellen", resümiert Rundfeldt. Offenbar sei es einfacher, der Wirtschaft Vorschriften zu machen "als im eigenen Haus aufzuräumen", sagt er. Neben einer grundsätzlichen Trägheit der behördlichen Systeme sieht Rundfeldt auch im Fachkräftemangel eine Hürde für echte Verbesserungen. "Mit den Gehältern für IT-Spezialisten in der freien Wirtschaft kann der Staat nicht konkurrieren." Die AG KRITIS, für die Rundfeldt spricht, fordert daher eine Reform des Tarifvertrags für den öffentlichen Dienst.
Baustelle drei: die Zuständigkeit
Eine entscheidende Baustelle sieht Cyber-Experte Rundfeldt auch in der Unübersichtlichkeit von Kompetenzen: "In Deutschland gibt es eine Verantwortungsdiffusion hoch drei." Er spricht von mehreren hundert Stellen, die in Bund, Ländern und Kommunen für Cybersicherheit zuständig sind – ein Zustand, der seiner Meinung nach unbedingt beendet werden müsse. Ein Problem auf dem Weg dorthin: Cyberabwehr ist in Deutschland Ländersache.
Lesen Sie auch: Abwehr neuer Gefahren: Bundeswehr offenbart deutliche Schwachstellen
Für Reinhard Brandl (CSU) hat das die Konsequenz, "dass der Bund bei einem großen Cyberangriff auf Deutschland nur zuschauen kann". Zwar sei das BSI auf Bundesebene für Cybersicherheit zuständig, teil der digitalpolitische Sprecher der Unionsfraktion auf Anfrage unserer Redaktion mit. Aber: "Das BSI hilft nur dann, wenn die Länder darum bitten." Die Befugnisse und Instrumente des Bundes seien daher "rein präventiver und beratender Natur". Brandl zieht daher ein drastisches Fazit: "Im Ernstfall steht Deutschland im Cyberraum blank da." Stimmt das tatsächlich?
Baustelle vier: der Ernstfall
Im Dezember 2015 bekam die Welt eine Vorstellung davon, was ein Cyberangriff auf Kritische Infrastruktur anrichten kann. Am Tag vor Heiligabend um 15 Uhr Ortszeit fiel für über 200.000 Menschen in der Westukraine der Strom aus. Hinter dem Vorfall steckte nach Einschätzungen westlicher Geheimdienste ein russischer Hackerangriff. Auch wenn die Betroffenen noch einmal glimpflich davonkamen – nach ein paar Stunden floss der Strom wieder –, zeigte das Ereignis: Ein solches Szenario ist keine bloße Theorie.
Einen erfolgreichen Hackversuch dieser Art hat es in Deutschland bisher nicht gegeben. IT-Experte Rundfeldt sieht einen Grund dafür in den Sicherheitsauflagen für Stromanbieter. Zum anderen seien die deutschen Netze derzeit womöglich kein Ziel für ausländische Mächte. Rundfeldt gibt daher Entwarnung: "Es ist eher unwahrscheinlich, dass so etwas in Deutschland passiert."
Doch auch auf den schlimmsten Fall sollte man vorbereitet sein. Das wiederum sei die Bundesrepublik nicht, glaubt auch Rundfeldt: "Wenn der große Ausfall käme, wären wir nicht in der Lage, die Versorgung der Bevölkerung sicherzustellen, deswegen haben wir ein Konzept für ein sogenanntes Cyberhilfswerk entwickelt." Eine solche Einrichtung solle im Ernstfall schnell IT-Spezialisten aus der Privatwirtschaft mobilisieren können.
Dabei existiert beim BSI eine spezielle Einheit für den Einsatz im Cyber-Notfall: das Mobile Incident Response Team, kurz Mirt. Gibt es einen bedeutenden Sicherheitsvorfall bei einem Betreiber Kritischer Infrastruktur oder einer Verwaltung, rückt das Mirt aus, um die betroffene Institution zu unterstützen. IT-Experte Rundfeldt schränkt jedoch ein: Nur 15 Personen stünden im BSI tatsächlich für den Ernstfall bereit. Viel zu wenig, glaubt er.
Bundesregierung will "Neuaufstellung" der Cyberabwehr
Die Ampel-Koalition hat sich bei diesem Thema viel vorgenommen. Bundesinnenministerin Nancy Faeser (SPD) versprach vergangenes Jahr anlässlich der Vorstellung der Cybersicherheitsagenda nichts Geringeres als "eine strategische Neuaufstellung und deutliche Investitionen in unsere Cybersicherheit". Auch auf Nachfrage unserer Redaktion bekräftigte eine Sprecherin des BMI, dass man bestrebt sei, "die Zuständigkeiten im Bereich Cyber klarer zu fassen und die Abwehrfähigkeiten insgesamt zu stärken".
Ein Fokus dieser "Neuaufstellung" liegt auf dem bereits erwähnten BSI. "Wir werden eine Grundgesetzänderung vorschlagen, um das Bundesamt für Sicherheit in der Informationstechnik zu einer Zentralstelle im Bund-Länder-Verhältnis auszubauen", heißt es in der Cybersicherheitsstrategie des Innenministeriums. Also endlich ein Ende des Zuständigkeitschaos? Auf Nachfrage hieß es beim BMI, man sei derzeit über die Pläne "auf Basis eines Konzeptentwurfs mit den Ländern im Gespräch". Noch nichts Konkretes also.
Die Gesetzesvorhaben der Bundesregierung
Um die Abwehrfähigkeiten der Bundesverwaltung zu stärken, sei derzeit ein "Kompetenzzentrum operative Sicherheitsberatung des Bundes" geplant, heißt es aus dem BMI. Mit zwei Gesetzesvorhaben will das Ministerium zudem die Sicherheitsarchitektur Kritischer Infrastrukturen vorantreiben: Das Kritis-Dachgesetz und das NIS2-Umsetzungsgesetz sollen laut BMI noch in diesem Jahr vom Kabinett beschlossen werden. Vereinfacht gesagt, würden die Gesetze die Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen erhöhen und den Kreis der betroffenen Unternehmen von derzeit 2.000 auf 20.000 erweitern.
Doch Kritiker lassen auch an diesen Vorhaben kein gutes Haar. "Die Regelungen werden durch die beiden neuen Gesetze noch verwirrender und chaotischer", bemängelt etwa IT-Experte Rundfeldt. Der Digitalpolitiker Reinhard Brandl hält die Ziele der geplanten Gesetze zwar für wünschenswert, äußert aber Zweifel am Zeitplan. Angesichts der Streitereien in der Ampel-Koalition rechne er nicht mit schnellen Ergebnissen. "Die Anpassung der Cybersicherheitsarchitektur an die aktuellen Herausforderungen ist somit erst einmal weiter auf die lange Bank geschoben", beklagt Brandl. Angesichts der wachsenden Cyberbedrohung sei das fatal.
Fazit: Ein echter Aufbruch steht aus
Die Kritische Infrastruktur, egal ob vom Staat oder Privatunternehmen betrieben, ist immer häufiger Ziel von Cyberangriffen. Dass mehr für die IT-Sicherheit in diesem Bereich getan werden muss, leugnet auch die Bundesregierung nicht. Ihren Ankündigungen, die Cyberabwehr in Deutschland ganz neu aufzustellen, wird sie derzeit jedoch noch nicht gerecht. Den wichtigsten Grund nennt das Innenministerium selbst: die allgemeine Haushaltslage. Fast alle Ressorts stehen derzeit unter dem Spardiktat, das das Bundesfinanzministerium vorgegeben hat. Für einen echten Aufbruch in der Cybersicherheitsarchitektur der Kritischen Infrastruktur fehlt offenbar schlicht das Geld.
Anders als in der Ukraine fiel hierzulande aber auch noch nie wegen eines Hackerangriffs der Strom für Hunderttausende aus. Ohne Frage würden sich die Prioritäten der deutschen Politik schlagartig verändern, sollte dieser Fall einmal eintreten. Zu hoffen bleibt, dass es einen solchen Anstoß nicht geben und auch nicht brauchen wird.
Ein Ausfall Kritischer Infrastruktur kann nämlich mehr bedeuten als die lahmgelegte Internetseiten einer kommunalen Verwaltung. Im schlimmsten Fall sind Leib und Leben Tausender Menschen bedroht. Damit ein solches Szenario nie Wirklichkeit wird, müssen die hier vorgestellten Baustellen entschlossen angegangen werden.
Zu den Personen:
- Johannes Rundfeldt ist IT-Experte und Mitgründer sowie Sprecher der AG KRITIS, einer unabhängigen Arbeitsgruppe, die sich für die Verbesserung der IT-Sicherheit in Kritischen Infrastrukturen einsetzt. Bis 2021 arbeitete er in verschiedenen Abgeordnetenbüros des Deutschen Bundestages und ist heute Abteilungsleiter bei dem Open Source Softwarehersteller ownCloud.
- Dr. Reinhard Brandl ist CSU-Politiker und sitzt seit 2009 für seine Partei im Bundestag. Sein Wahlkreis ist Ingolstadt. Brandl ist der digitalpolitische Sprecher CDU/CSU-Fraktion und sitzt unter anderem im Ausschuss für Digitales des Bundestages.
Verwendete Quellen:
- Gespräch mit Johannes Rundfeldt
- Schriftliche Stellungnahmen von Reinhard Brandl und vom Bundesinnenministerium
- Die Nationale Sicherheitsstrategie der Bundesregierung
- Die Cybersicherheitsagenda des Bundesinnenministeriums
- Das Cyberlagebild 2022 des Branchenverbandes Bitkom
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.