Infrastruktur im Visier: So (un)vorbereitet ist Deutschland auf einen Cyber-Großangriff

Manche nennen es „aktive Cyberverteidigung". Andere sehen darin einen möglichen Vorboten für einen Cyberkrieg zwischen den USA und Russland: Nach Recherchen der „New York Times“ soll das United States Cyber Command, das dem US-Verteidigungsministerium untersteht, Schadsoftware in Anlagen des russischen Elektrizitätsnetzes deponiert haben. Diese „Cyberminen" können im Konfliktfall aktiviert werden und Schaden an der Hardware russischer Stromnetzbetreiber verursachen.

Grundlage für dieses aggressivere Vorgehen im virtuellen Raum soll laut Informationen der Zeitung einerseits ein Memorandum von US-Präsident Donald Trump sein, dass im vergangenen Jahr geschrieben wurde und immer noch als Geheimsache gilt. Andererseits wurde die Aktion auch möglich durch das im vergangenen Jahr beschlossene Nationale Verteidigungsgenehmigungsgesetz, in dem die „routinemäßige Durchführung“ von „geheimen militärische Aktivitäten“ im Cyberspace gebilligt wurde, die der „Abschreckung oder Verhinderung" möglicher Attacken dienten. Sehr vieles lässt sich darunter subsummieren: Auch die präventive „Verminung“ ausländischer Infrastruktur mit Schadsoftware.

Das Cyber Command wurde von US-Präsident Barack Obama als Reaktion auf einen massiven russischen Hackerangriff im Jahr 2008 geschaffen. Lange Zeit übernahm es jedoch nur defensive Aufgaben. Das hat sich offenbar in der Präsidentschaft Trump geändert.

In Deutschland wäre ein solch massiver Angriff auf die IT eines anderen Landes durch das Militär nur schwer vorstellbar. Zumindest im geltenden gesetzlichen Rahmen. Zwar unterhält auch die Bundeswehr mittlerweile eine eigene IT-Truppe, das Kommando Cyber- und Informationsraum (CIR).

Doch das CIR unterliegt den gleichen gesetzlichen Standards wie alle anderen Teile der Bundeswehr. Für den Einsatz der militärischen IT-Spezialisten wäre die explizite Zustimmung des Bundestags notwendig, zum Beispiel für einen Auslandseinsatz. In einem möglichen Mandat wären dann die Befugnisse der Cybertruppe für den Einsatz festgelegt, ebenso wie das Zielgebiet.

Debatte um den „digitalen Verteidigungsfall“

Denkbar wäre auch, dass das CIR nach Feststellung des Verteidigungsfalls eingesetzt werden könnte – oder, mit Abstrichen, in einem „Inneren Notstand“. Ansonsten darf die Bundeswehr „Amtshilfe" nach Artikel 35 leisten. Wie das im Falle eines massiven Cyberangriffs genau laufen kann, war erst kürzlich Gegenstand einer Debatte um den Vorstoß des Cyber-Inspekteurs Ludwig Leinhos. Der General forderte die Einrichtung eines „digitalen Verteidigungsfalls", der sich unterhalb des konventionellen Verteidigungsfalls bewegen soll (Tagesspiegel Background berichtete).

Sollte es zu einem Angriff auf das deutsche Stromnetz kommen, wären vor allem die Betreiber dieser kritischen Infrastrukturen in der Pflicht. Ihnen fällt mit dem ersten IT-Sicherheitsgesetz von 2015 die Absicherung ihrer Anlagen zu. Zudem müssen sie die Systeme auf dem „Stand der Technik" halten. Alle zwei Jahre finden Sicherheitsüberprüfungen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) statt. Sollten dabei Sicherheitsmängel zu Tage treten, darf das BSI deren Beseitigung anordnen.

[Dieser Artikel stammt vom Tagesspiegel Background. Das Team veröffentlicht täglich Newsletter mit höchster Relevanz für Top-Entscheider, Kommunikationsprofis und Fachexperten. Hier können Sie die Newsletter vom Tagesspiegel Background abonnieren.]

Angriffe auf Kritische Infrastrukturen finden relativ regelmäßig statt. Im zweiten Halbjahr 2018 registrierte das BSI nach Informationen von Tagesspiegel Background 157 „Sicherheitsvorfälle", die von den Betreibern der Strukturen gemeldet wurden. Insgesamt 19 Vorfälle bezogen sich dabei auf die Energieversorgung. Die Zahl der Sicherheitsmeldungen steigt. Im gesamten Jahr 2017 waren es nur 146 Vorfälle. Allerdings fasst das BSI unter dem Begriff „Vorfall“ auch technische Fehler zusammen.

Einen Cyberangriff, der zum Ausfall des kompletten deutschen Stromnetzes geführt hätte, gab es bisher nicht. Im IT-Sicherheitsbericht für 2018 warnt das BSI jedoch davor, dass besonders Strombetreiber zweierlei Gefahren ausgesetzt seien: Einerseits konventionelle Angriffe, die meist automatisiert ablaufen und gut einzudämmen sind. Andererseits komplexe, nicht-automatisierte Formen von Cyberangriffen.

Cyberangriff auf Netcom im Jahr 2017

So wurde beispielsweise im Jahr 2018 bekannt, dass die EnBW-Telekommunikationstochter Netcom im Sommer 2017 zum Ziel eines solchen komplexen Angriffs wurde. Hacker verschafften sich über den gekaperten Zugang eines Dienstleisters Zugang zum System und hatten wenige Minuten lang Zugriff auf einen kleinen Teil des Datenverkehrs. Der Angriff konnte jedoch schnell abgewehrt werden.

Inwieweit nicht-militärische Sicherheitsorgane dazu befugt sind, Cyberangriffe zu erwidern, wird derzeit diskutiert. Die Bundesregierung hatte in ihrer Cybersicherheitsstrategie von 2016 festgehalten, dass aus ihrer Sicht schwerwiegende Angriffe denkbar sind, gegen die klassische Maßnahmen nur unzureichend helfen. Teile der Zivilgesellschaft sehen das anders.

„Die Bundesregierung hat eine Prüfung eingeleitet, unter welchen rechtlichen Rahmenbedingungen und mit welchen technischen Möglichkeiten in solchen Fällen durch staatliche Stellen Netzwerkoperationen durchgeführt werden können", sagte ein Sprecher des Innenministeriums Tagesspiegel Background. „Aktive Cyberabwehr ist ein unverzichtbares Instrument im Rahmen der nationalen Cybersicherheitsarchitektur. Angesichts möglicher Cyberangriffe auf Kritische Infrastrukturen wie etwa Krankenhäuser können wir es uns nicht leisten, nichts zu tun.“ Bisher jedoch sei keine Entscheidung über einen Gesetzgebungsbedarf getroffen worden.

Nach Informationen des Bayerischen Rundfunks wünscht sich die Bundesregierung eine mehrstufige „aktive Cyberabwehr", die bis zur Zerstörung von Servern reichen könnte, über die Cyberangriffe laufen. Allerdings müsste dafür möglicherweise das Grundgesetz geändert werden. Die Große Koalition verfügt derzeit im Bundestag nicht über die dafür nötige Zwei-Drittel-Mehrheit.