Cyberangriffe Wie die Verwaltung sicherer werden soll
Weil immer wieder Verwaltung, Behörden und Ministerien von Hackern angegriffen werden, will die Bundesregierung mehr für die Cybersicherheit tun. Aber das ist gar nicht so einfach.
Im Juli 2021 haben Cyber-Erpresser die Verwaltung einer Kommune in Sachsen-Anhalt lahmgelegt. Außer den Telefonen und alten Faxgeräten funktionierte erst mal gar nichts mehr. Hacker haben die Computer und die Daten der Verwaltung verschlüsselt, um Lösegeld zu erpressen.
"Der Landkreis war von einer Minute auf die andere nicht mehr in der Lage, 99 Prozent der Dienstleistungen zu erbringen", erinnert sich Udo Pawelczyk vom Landkreis Anhalt-Bitterfeld. Keiner konnte mehr sein Auto ummelden, Wohngeld oder einen neuen Ausweis beantragen. Für Pawelczyk eine Katastrophe: "Deswegen wurde ja letztendlich auch der Katastrophenfall ausgerufen." Zum ersten Mal hat eine Kommune das wegen einer Cyberattacke getan.
Auch Jahre später kämpft der Landkreis noch mit den Folgen, ein Schaden in Millionenhöhe ist entstanden. Anhalt-Bitterfeld ist längst kein Einzelfall mehr. Täglich werden Unternehmen, Klinken oder Behörden angriffen. Das kostet viel Geld und kann sogar Menschenleben gefährden.
Anfang des Monats haben Hacker die Polizei und Ministerien in ganz Deutschland angegriffen. Das hat auch die Sicherheitsbehörden noch einmal alarmiert. Es gibt also reichlich Themen, die bis morgen auf der Konferenz für Nationale Cybersicherheit besprochen werden. Vertreter der Sicherheitsbehörden und Fachleute für Cybersicherheit kommen in Potsdam zusammen. Sie sprechen auch über Strategien, wie sich solche Angriffe am besten abwehren lassen.
Digitaler Nachholbedarf
Deutschland hat ohnehin digitalen Nachholbedarf - und der russische Angriffskrieg hat die Sorgen bei Bundesinnenministerin Nancy Faeser vergrößert. Sie will die Cybersicherheit in Deutschland neu aufstellen. Im letzten Sommer hat sie ihre Cybersicherheitsagenda vorgestellt. Der Bund soll somit mehr Kompetenzen bei der Abwehr von Hackerangriffen bekommen.
Bislang ist das Ländersache und die sind aus Sicht von Markus Richter, Staatssekretär im Bundesinnenministerium, unterschiedlich gut aufgestellt. Er fordert einheitliche Standards: "Bisher haben wir leider zu oft gesehen, dass es ein Stück weit dem Zufall überlassen ist, welche Behörde vor Ort zuständig und wie gut sie aufgestellt ist."
Keine Konkurrenz zwischen den Behörden
In Zukunft soll nichts mehr dem Zufall überlassen werden. Das Ministerium will das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer zentralen Stelle für Cyberabwehr machen. Dafür ist aber eine Grundgesetzänderung nötig. Und das geht nur mit Stimmen aus der Opposition - und mit der Zustimmung der Länder. Das weiß auch Staatssekretär Richter. Er betont deshalb, es gehe nicht darum, den Ländern etwas wegzunehmen, sondern besser zusammenarbeiten zu können, um Deutschland digital sicherer zu machen.
Im Kampf gegen Cyberkriminelle ist es wichtig, schnell und routiniert zu reagieren. Außerdem soll eine Konkurrenz zwischen den Behörden vermieden werden, denn auch in der IT-Sicherheit sind Fachkräfte knapp.
Noch ist die Mehrheit der Bundesländer von Faesers Plänen allerdings nicht überzeugt. Zweifel gibt es vor allem in den unionsregierten Ländern. Das Innenministerium versucht weiter, Überzeugungsarbeit zu leisten. Für Staatssekretär Richter ist das ein normaler Prozess: "Es geht um Kompetenzen und Verfassungsfragen. Keine Dinge, die ich mal eben mit einem Federstrich so klären kann."
Gegenangriffe schließt die Bundesregierung aus
Nicht nur das BSI soll mehr Aufgaben bekommen, sondern auch die Sicherheitsbehörden. Hierfür ist ebenfalls eine Grundgesetzänderung nötig. Ein Punkt ist dabei besonders umstritten: die aktive Cyberabwehr. Das Bundeskriminalamt soll Angriffe digital abwehren können. Mit richterlichem Beschluss sollen so Server von Angreifern aus dem Ausland aktiv heruntergefahren werden können.
Gegenangriffe, so genannte Hackbacks, schließt die Bundesregierung in ihrem Koalitionsvertrag aus. Staatssekretär Richter betont, dass es nur darum gehen soll, sich bei einem Angriff zu wehren und nicht darum, "Vergeltungsschläge zu verüben oder einfach zurückzuschlagen".
Erst die Grundlagen schaffen
Fachleute kritisieren diese Idee. Sven Herpig, Cybersicherheitsexperte bei der Stiftung Neue Verantwortung, meint, aktive Cyberabwehr werde kaum helfen. "Das klingt zwar immer ganz toll, aber in der Realität wird das nur einen ganz kleinen Teil davon ausmachen, wie wir Deutschland sicherer gestalten können", so Herpig.
Mehr Befugnisse für die Sicherheitsbehörden wären für Herpig eher der letzte Schritt auf dem Weg zu mehr Cybersicherheit. Vorher müssten erst die Grundlagen geschaffen werden: Systeme müssten besser abgesichert werden, bestehende Sicherheitsvorgaben umgesetzt und Fachkräfte aus- und weitergebildet werden. Ansonsten werde Deutschland immer unsicher bleiben, ist Herpig überzeugt.
Der Weg zu mehr Cybersicherheit ist noch weit und die Cybersicherheitsagenda nur ein Baustein. In diesem Jahr soll das Kabinett beide Grundgesetzänderungen auf den Weg bringen. Die gesamte Agenda soll bis zum Jahr 2030 umgesetzt werden.