Cybersicherheit in Deutschland

Prof. Michael Waidner
©ATHENE

Die Bedrohung durch Cyberattacken wächst und staatliche Angreifer bedrohen insbesondere die kritischen Infraststrukturen der Bundesrepublik. Mit Hilfe des Zero-Trust-Paradigmas lassen sich Deutschlands wichtige Systeme wirksam schützen. Andere Länder handeln bereits.

Die Cybersicherheitslage hat sich in den vergangenen Jahren dramatisch entwickelt, auch in Deutschland. Nach einer Umfrage des Branchenverbands Bitkom erlitten im vergangenen Jahr mindestens 84 Prozent aller Unternehmen in Deutschland Schäden infolge entsprechender Angriffe, mit einer Gesamtschadenssumme von ungefähr 203 Milliarden Euro. Das ist eine horrende Summe, weit mehr als z.B. die jährlichen Schäden durch Naturkatastrophen oder durch Unfälle im Straßenverkehr. Betroffen waren 2021 nicht nur Unternehmen, sondern auch Verwaltungen wie der Landkreis Anhalt-Bitterfeld, Wissenschaftseinrichtungen wie die TU Berlin und natürlich auch Privatpersonen. 

Die Ziele der Angreifer sind vielfältig, es geht um Spionage, Erpressung, Raub von Kryptowährungen, Identitätsdiebstahl zum Kreditkartenbetrug, Desinformation zur politischen Destabilisierung, Sabotage und die Zerstörung physischer Systeme. Häufig sollen Systeme auch «nur» lahmgelegt werden. Die Urheber von Cyberangriffen reichen von Einzeltätern über kriminelle Gruppen, die Angriffe als Dienstleistung anbieten, bis hin zu Gruppen, die im Auftrag von Staaten operieren und gezielt vorgehen. 

Es gibt keine Anhaltspunkte, dass die Bilanz für 2022 besser aussehen wird. Ganz im Gegenteil, der Krieg in der Ukraine und die Verschlechterung der wirtschaftlichen Situation vieler Menschen weltweit dürften eher zu einem Anstieg von Cyberangriffen führen.

Cybersicherheit kritischer Infrastrukturen 

Aus dem Ausland sind diverse Cyberangriffe auf kritische Infrastrukturen mit teilweise deutlichen Folgen für die Bevölkerung bekannt. Ein ukrainischer Stromversorger wurde 2015 Opfer einer vermutlich staatlich gelenkten russischen Gruppe; mehr als 200 000 Menschen waren für Stunden ohne Strom. Der amerikanische Pipelinebetreiber Colonial Pipeline wurde 2021 Opfer eines Ransomware-Angriffs. Der Angriff richtete sich zwar gegen die Verwaltungssysteme der Firma, aber Colonial Pipeline schaltete sicherheitshalber auch seine Pipelines ab; das Benzin wurde knapp, in 17 Bundesstaaten der USA wurde der Notstand ausgerufen.

Erfolgreiche Cyberangriffe auf kritische Infrastrukturen in Deutschland im Sinne der BSI-Kritisverordnung – also solche, deren Ausfall nachhaltig wirkende und dramatische Folgen für mehr als 500 000 Menschen hätte – wurden bislang noch nicht verzeichnet. Die Cybersicherheit solcher Infrastrukturen wurde vom Gesetzgeber stark reguliert, so dass sie gegen die üblichen, auf viele Opfer zugleich ausgerichteten Cyberangriffe vergleichsweise gut abgesichert sind. Es ist also eher unwahrscheinlich, dass eine kritische Infrastruktur in Deutschland als zufälliges Opfer einer Ransomware-Angriffswelle auf dramatische Weise ausfällt. Sehr wahrscheinlich können staatlich gelenkte Cyberangreifer aber auch kritische Infrastrukturen in Deutschland erfolgreich angreifen. Laut BND-Vizepräsident Wolfgang Wien vom Juni 2022 gibt es Hinweise, dass russische und chinesische Gruppen kritische Online-Infrastrukturen in Deutschland bereits unterwandert haben, um Daten zu stehlen oder um Schadsoftware in Position zu bringen. Ähnliche Hinweise gibt es auch in den USA und Australien. Cyberspionage gegen kritische Infrastrukturen ist also sehr wahrscheinlich. Cybersabotage halte ich für ebenso wahrscheinlich oder unwahrscheinlich wie Sabotage mit herkömmlichen, kinetischen Mitteln. Die politischen Erwägungen dürften stets im Vordergrund stehen, nicht die Frage, welches Werkzeug zur Sabotage eingesetzt wird.

Wir müssen ambitionierter werden

Die Cybersicherheitslage klingt also düster – aber sie ist keineswegs hoffnungslos. Wir müssen aber insgesamt aktiver und ambitionierter werden. 

Die Cybersicherheit vieler Unternehmen, Verwaltungen und Wissenschaftseinrichtungen in Deutschland bleibt weit hinter dem Stand der Technik zurück. Es fehlt an Motivation, Investitionsbereitschaft, aber auch an Personal. Letzteres ist gerade in Deutschland besonders gefährlich, da hierzulande immer noch die Meinung vorherrscht, man sei dann am besten geschützt, wenn man alles selbst macht. In anderen Ländern wird sehr viel mehr auf Dienstleister und Cloudanbieter zurückgegriffen. Die Umsetzung allgemeiner Empfehlungen wie etwa die des Bundesamts für Sicherheit in der Informationstechnologie (BSI) für den IT-Grundschutz würde einen Großteil der heute erfolgreichen Angriffe zumindest für den Augenblick abblocken. Viel wäre auch erreichbar, indem der Kreis der kritischen Infrastrukturen nach BSI-Kritisverordnung deutlich erweitert würde.

Wichtig ist auch, dass wir in Deutschland zügig die Modernisierung unserer Cybersicherheitsarchitekturen angehen. Das wichtigste Beispiel ist hier fraglos die Umsetzung des Zero-Trust-Paradigmas. Bislang basiert die Cybersicherheit vieler Organisationen auf der Vorstellung, es gebe eine Art Vertrauensgrenze zwischen den eigenen Systemen und denen im Internet. Alles im Inneren ist vertrauenswürdig, alles außen ist verdächtig. Geschützt wird diese Grenze durch Firewalls und VPNs. Die Realität sieht aber völlig anders aus: Cyberangreifer schaffen es fast immer in das Innere, und damit ist diese Grenzziehung eigentlich sinnlos. Der Schutz muss also sehr viel umfassender und feingranularer organisiert werden. Auch hier hinken wir anderen Ländern hinterher. Beispielsweise hat die US-Bundesregierung alle Bundesbehörden darauf verpflichtet, bis Ende 2024 eine Zero-Trust-Architektur zu implementieren. Wie Zero Trust praktisch für Firmen, Behörden und Wissenschaftseinrichtungen umgesetzt werden kann, ist derzeit eines der wichtigsten Themen in meinem Institut und in Athene.