Anzeige
Foto:

Advertorials Cyber-Sicherheit: Was kann die Regierung jetzt tun?

Dominik Bredel

Russlands Krieg gegen die Ukraine wird auch im Cyberraum ausgetragen. Entsprechend alarmiert ist die Sicherheits-Community – und entsprechend verunsichert sind die Bürgerinnen und Bürger. Sind die kritischen Infrastrukturen (KRITIS), die das wirtschaftliche und gesellschaftliche Leben in Deutschland aufrechterhalten, ausreichend geschützt? Was müssen – und können – die Bundesregierung und öffentliche Institutionen in Bund und Ländern jetzt tun, um die Widerstandsfähigkeit kritischer Infrastrukturen gegen Cyberangriffe zu stärken? Und gibt es überhaupt Maßnahmen, die kurzfristig wirken?

Die Kluft zwischen Vorschriften und Realität

In Europa war Deutschland neben Großbritannien und Italien 2021 am stärksten von Cyberangriffen betroffen. Dabei sind wir hierzulande gut aufgestellt, was die Cybersicherheits-Vorschriften für die Betreiber kritischer Infrastrukturen betrifft: Die Regularien sind weitreichend und auch recht konkret ausformuliert.

2015 trat das IT-Sicherheitsgesetz und die damit zusammenhängende KRITIS-Verordnung in Kraft. Es gelten für bestimmte Branchen sogenannte B3S-Standards, die branchenspezifische Anforderungen für Betreiber kritischer Infrastrukturen definieren. 2021 wurden das IT-Sicherheitsgesetz nachgeschärft und die Kompetenzen des Bundesamts für Sicherheit in der Informationstechnik (BSI) um Detektion, Abwehr und Cybersicherheit im Mobilfunknetz 5G erweitert.

Doch es klafft eine Lücke zwischen den gesetzlichen Anforderungen und der Realität der Vorkehrungen für Cybersicherheit bei den Betreibern kritischer Infrastrukturen. Das liegt daran, dass wirkungsvolle Cybersecurity-Projekte komplex, langwierig und teuer sind.

Auch wenn die Betreiber – oder ihre IT-Verantwortlichen – von der Berechtigung der Vorschriften überzeugt sind und sich die größte Mühe geben, die Bestimmungen einzuhalten: Die IT-Abteilungen kommen schlicht nicht hinterher. Es fehlt an Budgets. Es fehlt an Personal mit dem nötigen speziellen Know-how. Darum gibt es immer einen gewissen Verzug zwischen neuen Regeln und ihrer Umsetzung.

Öffentliche Betreiber sind im Nachteil

Das ist natürlich eine Generalisierung – es gibt große Unterschiede, auch zwischen den Branchen. Die Finanzwirtschaft zum Beispiel, mit ihren vergleichsweise starken Kontrollinstanzen, stellt die nötigen Budgets bereit und ist bei der Umsetzung der Cybersicherheits-Vorschriften vorneweg. Banken und Finanzinstitutionen zeigen, dass es möglich ist, sich zeitnah an neue Vorschriften anzupassen und damit mehr Sicherheit zu schaffen – wenn strenge Kontollen und ausreichende Budgets günstige Voraussetzungen bieten.

Öffentliche Betreiber kritischer Infrastrukturen setzen die Vorschriften zumeist langsamer um als privatwirtschaftliche. Es ist offensichtlich, dass die Voraussetzungen für eine gute Cybersecurity-Praxis bei Regierungsorganen und Behörden besonders ungünstig sind. Das ist aber nicht nur eine Frage der Kontrollen, sondern insbesondere eine Frage des Geldes: Die öffentliche Hand zahlt geringere Gehälter als die Privatwirtschaft – ein spürbarer Nachteil im Wettbewerb um die Cybersecurity-Fachleute auf einem leergefegten Arbeitsmarkt.

Technische und organisatorische Schritte

Was kann die Regierung, was können die Behörden also tun? Auf der technischen und organisatorischen Ebene sollten sie Bedrohungen antizipieren und proaktiv bekämpfen. Sie sollten sicherstellen, dass die vorhandenen Security-Maßnahmen korrekt funktionieren und korrekt konfiguriert sind. Und sie sollten ihre Widerstandsfähigkeit im Falle eines erfolgreichen Angriffs stärken. Cybersicherheit ist mehr als nur Abwehr. Sicherheit bedeutet auch, darauf vorbereitet zu sein, wenn Hacker die Abwehr überwinden.

Denn eine absolute Sicherheit gibt es nicht – vielmehr ist es so gut wie sicher, dass es früher oder später zu einem erfolgreichen Angriff kommen wird. Wem es dann gelingt, das System schnell wieder hochzufahren, der kann schwerwiegenden Schaden zumeist abwenden. Gelingt es nicht, gehen die sprichwörtlichen Lichter aus. In unserer Beratung spielt neben dem Thema Security darum auch Resiliency eine große Rolle.

Doch was nützt das Wissen, was zu tun wäre, wenn die Fachleute für die Umsetzung fehlten? Nichts! Mit unseren 90.000 Mitarbeitenden weltweit und der jahrzehntelangen Erfahrung im Management und der Modernisierung kritischer IT-Infrastrukturen verfolgen wir daher einen ganzheitlichen Ansatz: Kyndryl berät seine Kunden nicht nur zu der Frage, wie sie ihre IT-Infrastrukturen schützen und widerstandsfähig machen können. Wir gehen auch mit ihnen in die Umsetzung.

Kurzfristig wirksame politische Maßnahmen

Cybersicherheit ist keine Raketenwissenschaft. Wie viele andere Dinge im Leben erfordert sie Erkenntnis der Schwachstellen, strukturierte Vorbereitung und konsequente Umsetzung. Der Schlüssel zur IT-Sicherheit sind folglich ausreichend Menschen mit dem richtigen Know-how. Um die strukturellen Cybersecurity-Probleme des ganzen Landes zu lösen, braucht es daher auch politisches Handeln.

Mittel- und langfristig ist die Bildungs- und Arbeitsmarkt-Politik gefragt, um dem Fachkräftemangel entgegen zu wirken. Ferner ist der Aufbau eines Cyber-Hilfswerk ein sinnvoller Schritt. Doch was geht kurzfristig? Was kann die Bundesregierung jetzt sofort tun, um die Sicherheit kritischer Infrastrukturen in Deutschland zu erhöhen?

Kurzfristig hoffe ich zum einen, dass das zusätzliche Budget für die Bundeswehr nicht nur in physische Waffen und die Ausbildung daran investiert wird, sondern auch in Fähigkeiten der Cyberabwehr fließt. Wohlgemerkt: Abwehr. Offensive Fähigkeiten aufzubauen wäre nicht nur politisch extrem fragwürdig, sondern auch Ressourcenverschwendung. Denn wenn es gelingt, IT-Infrastrukturen widerstandsfähig zu gestalten, braucht es keine Angriffskapazitäten, weil kein Schaden entsteht.

Auf zivilem Gebiet, wo die allermeisten kritischen Infrastrukturen des Landes zu finden sind, halte ich es für extrem wichtig – und absolut möglich! –, das Bewusstsein der Menschen für die Rolle zu schärfen, die sie ganz persönlich für die Cybersicherheit spielen. Das gilt sowohl für Beamten und Angestellte im öffentlichen Dienst als auch generell für alle Bürgerinnen und Bürger in ihrer Rolle als Privatpersonen und als Berufstätige.

Jetzt Nutzer-Bewusstsein stärken

85 Prozent der IT-Sicherheitsvorfälle gehen auf einen menschlichen Fehler zurück, 94 Prozent der Malware kommt über Emails. Daher können alle Beschäftigten helfen, die Institutionen, für die sie arbeiten, vor Cyberangriffen zu schützen. Von der Regel Nummer 1, „Erst denken, dann klicken“, bis zu automatischen Software-Updates: Es ist bekannt, was zu tun ist – nur leider nicht bekannt genug.

Intensive Schulungen und Cybersecurity-Übungen in Regierungsorganen und Behörden, die kritische Infrastrukturen betreiben, wären daher ein rasch wirksamer Beitrag für mehr Cybersicherheit. Ein anderer wäre eine öffentliche IT-Sicherheits-Kampagne, die weit über das hinaus geht, was das BSI und andere öffentliche Akteure derzeit an Bürger-Informationen anbieten.

Beides – interne Trainings und eine großangelegte Kampagne – könnte die Regierung direkt angehen. Und genau das sollten wir von ihr verlangen.

-

Foto: Vergrößern

Dominik Bredel ist als Associate Partner bei Kyndryl für das Beratungsgeschäft im Bereich Security und Resiliency verantwortlich. Kyndryl ist 2021 durch die Abspaltung der IBM-Infrastruktursparte entstanden und ist der weltweit größte Anbieter von IT-Infrastrukturdienstleistungen. Die 90.000 Mitarbeiter von Kyndryl betreuen über 4.000 Kunden in mehr als 60 Ländern auf der ganzen Welt, darunter 75 Prozent der Fortune-100-Unternehmen.

Zur Startseite