Die Frage ist nicht ob, sondern wann: Die Gefahr eines großflächigen Cyberangriffs ist real

Die Kriege und Krisen unserer Zeit haben uns besorgt ins neue Jahr starten lassen. Das betrifft auch die Bedrohungslage im Cyberraum. Nicht alle Cyberattacken werden öffentlich, aber wir – und damit meine ich Deutschland – stehen dauerhaft unter Beschuss.

Schon der Blick auf die deutsche Wirtschaft ist mehr als aufschlussreich: Der Digitalverband Bitkom schätzt den Schaden, der jährlich durch Datendiebstahl, Spionage und Sabotage entsteht, auf 206 Milliarden Euro. Zum Vergleich: Das sind 43 Prozent des Bundeshaushaltes 2023! Allein diese Zahl vermittelt einen plastischen Eindruck von der aktuellen Lage, die wir schon jetzt als besorgniserregend einordnen.

Der ganz große Knall ist bisher zum Glück ausgeblieben. „Zum Glück“, denn die Frage ist nicht, ob, sondern wann Deutschland auch großflächig, tiefgreifend und nachhaltig von einem Cyberangriff getroffen wird. Das ist der Blick auf die zukünftige Lage – und darauf müssen wir uns jetzt vorbereiten.

Um uns gegen immer professioneller agierende Cyberangreifer zur Wehr zu setzen, brauchen wir mindestens ebenso professionell agierende Cyberverteidiger, die effizient und vertrauensvoll zusammenarbeiten. Das gilt es gekonnt zu orchestrieren. Um dieser großen, gesamtstaatlichen Aufgabe einen Rahmen zu geben, haben wir das Konzept der Cybernation Deutschland ausgerufen und eines unserer Ziele ist in diesem Zusammenhang, die staatliche Cybersicherheitsarchitektur Deutschlands durch effiziente Strukturen, sorgfältig definierte Schnittstellen und eine klare Kooperationsstrategie zu verbessern.

Das BSI ist das technische Kompetenzzentrum des Bundes für IT-Sicherheit und gesetzlich die für Cyberabwehr zuständige Bundesbehörde. Gesamtstaatliche Cybersicherheit berührt aber auch Zuständigkeiten der Nachrichtendienste, der Strafverfolgung und der Verteidigung. Hinzu kommt die Zuständigkeitsverteilung innerhalb unserer föderalen Struktur.

Stellen wir uns nun einmal folgendes, durchaus realistisches Szenario vor: In mehreren großen Städten (mindestens) zweier Bundesländer führt eine Cyberattacke zeitgleich zu großflächigen Stromausfällen; der Angriff geht auf kriminelle Akteure aus dem Ausland zurück und legt einen Zusammenhang zu aktuellen geopolitischen Konflikten nahe. Schnell ist klar: Tritt eine solche Lage ein, brauchen wir jeden der genannten Bereiche – auf Landes- wie auf Bundesebene.

Für den Krisenfall noch nicht gut genug aufgestellt

Im Krisenfall sind drei Dinge essenziell: Sofort alle Informationen verfügbar zu haben, schnell ins Handeln zu kommen und ergriffene Maßnahmen übergreifend zu koordinieren. Dafür sind wir in puncto Cybersicherheit heute noch nicht aufgestellt. Ich wurde neulich gefragt, wie wir wissen können, ob bei einer DDoS-Attacke auf eine Bank ein gezielter Angriff auf diese Bank vorliegt, auf den gesamten Finanzsektor oder auf die Region Frankfurt. Das wissen wir – das muss ich so direkt und ehrlich feststellen – heute nicht.

Diese Informationen müssen wir künftig in einem gesamtstaatlichen Lagebild unmittelbar verfügbar haben. Und wenn die Lichter ausgehen, müssen wir auch gemeinsam sofort handeln können. Das ist de facto aber in wichtigen Aspekten zurzeit nicht möglich: Eine regelmäßige, beziehungsweise dauerhafte oder gar institutionalisierte Unterstützung der Länder durch das BSI ist zum heutigen Tage verfassungsrechtlich ebenso wenig möglich wie eine Koordinierung der Zusammenarbeit zwischen Bund und Ländern.

Weitergehende Zusammenarbeit der Behörden häufig nicht möglich

Zusammenarbeiten dürfen wir aktuell lediglich im Wege der Amtshilfe – und das nur ausnahmsweise und punktuell. Konkret bedeutet das: Wir dürfen erst zusammenarbeiten, wenn einer schon am Boden liegt. Im Normalzustand ist eine weitergehende Zusammenarbeit wie beschrieben nicht möglich. Das müssen wir ändern, so wie im Koalitionsvertrag vereinbart und in der nationalen Sicherheitsstrategie der Bundesregierung dargestellt, mit dem BSI in der Rolle als Zentralstelle für Cybersicherheit im Bund-Länder-Verhältnis im Sinne einer föderal integrierten Cybersicherheitsarchitektur. Das steht auch im strukturellen Gleichklang mit BKA und BfV – wo das heute schon geregelt ist.

Die Frage ist nicht, ob, sondern wann Deutschland auch großflächig, tiefgreifend und nachhaltig von einem Cyberangriff getroffen wird.

Claudia Plattner

Es geht dabei nicht darum, den Ländern Kompetenzen wegzunehmen. Das Gegenteil ist der Fall. Die Umsetzung der Zentralstelle würde eine auf Dauer angelegte, institutionalisierte Form der Kooperation zwischen Bund und Ländern oder auch zwischen den Ländern ermöglichen.

Neben einem gesamtstaatlichen Lagebild bedeutet das zum Beispiel: laufende wechselseitige Auskunftserteilung und Beratung, regelmäßiger Erfahrungsaustausch, gegenseitige Unterstützung und Hilfeleistung. Dazu müssen wir Rollen, Schnittstellen und Zuständigkeitsgrenzen definieren, Kooperationsmodelle entwickeln und sichere Kommunikationsplattformen bereitstellen. Die ohnehin auf allen Seiten knappen finanziellen und personellen Ressourcen könnten so viel effizienter eingesetzt werden – zum Beispiel, um die gerade im vergangenen Jahr mehr und mehr durch Cyberangriffe gebeutelten Kommunen zu unterstützen.

Es sind komplexe und vielfältige Herausforderungen, denen wir uns stellen müssen. Und genau deshalb brauchen wir die gemeinsame Vision einer Cybernation Deutschland, in der wir diese Herausforderungen eine nach der anderen gemeinsam angehen und lösen.