Cybersicherheit: Dobrindt will BKA gegen Cyberbedrohungen massiv aufrüsten
Berlin. Die Cyberkriminalität in Deutschland hat einen neuen Höchststand erreicht. Das geht aus dem Lagebericht des Bundeskriminalamts 2024 hervor. Das BKA registrierte vor allem mehr Hacker-Attacken aus Russland und gegen Israel.
„Cyberkriminalität ist eine zunehmende Bedrohung für unsere Sicherheit“, sagte Bundesinnenminister Alexander Dobrindt (CSU) am Dienstag bei der Vorstellung des Lageberichts. So „beobachten wir eine zunehmende Ausweitung geopolitischer Konflikte in den digitalen Raum und stellen fest, dass die hybride Bedrohung in Deutschland erkennbar angestiegen ist“.
Im vergangenen Jahr verursachte Erpressung wirtschaftliche Schäden von mehr als 178 Milliarden Euro, schätzen Experten. Deutschland wappne sich, sagte der Innenminister: „Wir rüsten massiv auf. Rechtlich, technisch und organisatorisch.“ Laut Dobrindt wird die Cyberkriminalität ständig aggressiver. „Aber unsere Gegenstrategien werden auch professioneller“, fügte er hinzu. Aus Sicht von Sicherheitspolitikern werden die Maßnahmen Dobrindts allerdings nicht schnell genug vorangetrieben.
Weitere Befugnisse, mehr Tools: So will sich das BKA gegen Cyberkriminalität wappnen
Wie aus dem Lagebild hervorgeht, nimmt der Anteil der von Cyberkriminellen aus dem Ausland verübten bekannten Straftaten zu. Die Zahl der Fälle, bei denen die mutmaßlichen Täter im Inland verortet werden, sank leicht im Vergleich zum Vorjahr – von etwa 134.000 Fällen auf etwa 131.000 Fälle. Bei den aus dem Ausland heraus verübten Taten war dagegen laut BKA-Präsident Holger Münch ein Zuwachs von rund 190.000 auf knapp 202.000 Fälle zu verzeichnen.
Konkret gehe es bei der Aufrüstung laut Dobrindt um mehr Befugnisse für die Sicherheitsbehörden sowie höhere Sicherheitsstandards in Staat und Verwaltung. Bereits existierende Werkzeuge, über die das Bundeskriminalamt (BKA) schon verfüge, sollten mit Künstlicher Intelligenz (KI) weiterentwickelt werden. Auf der Seite der Angreifer werde KI unter anderem genutzt, um die Geschädigten von Phishing-Attacken leichter täuschen und damit zur Preisgabe von Zugangsdaten verleiten zu können.
Der CDU-Sicherheitspolitiker Roderich Kiesewetter sieht massive Defizite bei der Abwehr hybrider Angriffe aus Russland. „Deutschland ist insgesamt betrachtet noch unzureichend gegen Cyberangriffe geschützt“, sagte der Bundestagsabgeordnete dem Handelsblatt. „Wir haben weder ausreichend Schutz unserer kleinen und mittelständischen Unternehmen vor Cyberspionage und krimineller Cybererpressung, noch bestehen bisher ausreichend Schutzmaßnahmen im Bereich kritischer und sicherheitsrelevanter Infrastruktur und Einrichtungen.“
Kiesewetter sprach von einem enormen Handlungsdruck. Einige gesetzliche Regelungen hätten in der vergangenen Legislatur bereits erfolgen sollen, sagte er. „Zum Beispiel haben wir immer noch kein Kritis-Dachgesetz, das die Unternehmen zu einem stärkeren Schutz verpflichten würde.“ Außerdem fehle es an einem entschlossenen Vorgehen, die Sicherheitsrisiken von China zu begrenzen, etwa beim Umgang mit chinesischen Komponenten im 5G-Mobilfunknetz. „Ich setze hier auf rasches Handeln der Bundesregierung.“
Für „absolut dringlich“ hält Kiesewetter die Umsetzung der NIS-2 Richtlinie, die eigentlich bis Herbst 2024 verbindlich hätte umgesetzt werden müssen. „Das Gesetz muss jetzt schnell kommen, es ist für die Cybersicherheit von Unternehmen und Institutionen essenziell“, sagte der CDU-Politiker.
Durch die europäische NIS-2-Richtlinie sollen für den Schutz vor Cyberangriffen etwa auf die öffentliche Verwaltung, auf Hersteller von Medizinprodukten oder die Abwasserwirtschaft in der Europäischen Union schärfere Regeln gelten.
Dem pflichten die Grünen bei. Um die Demokratie, ihre Institutionen und kritische Infrastrukturen zu schützen, sei bisher „deutlich zu wenig“ geschehen, sagte Fraktionsvize Konstantin von Notz dem Handelsblatt. Die Umsetzung der EU-Richtlinien NIS-2 und CER stehe weiter aus – obwohl bereits konkrete Gesetzentwürfe vorlagen. Von Notz wirft CDU-Chef Friedrich Merz vor, aus „parteitaktischen Gründen“ den Schutz verweigert zu haben, wodurch „viel Zeit verloren“ gegangen sei.
Deutschland hätte die NIS-2-Richtlinie bis Oktober 2024 in nationales Recht umsetzen müssen. Weil dies nicht geschehen ist, hat die EU-Kommission ein Vertragsverletzungsverfahren eingeleitet.
Die CER-Richtlinie verpflichtet die Mitgliedstaaten, kritische Einrichtungen zu identifizieren und deren physische Widerstandsfähigkeit gegenüber Bedrohungen wie Naturgefahren, Terroranschläge oder Sabotage zu stärken. Die Frist für die Umsetzung endete ebenfalls am im Oktober 2024.
Grüne fordern Grundgesetzänderung in Sachen IT-Sicherheit
Von Notz hält überdies ein umfassendes Gesetz zum Schutz kritischer Infrastrukturen für notwendig: „Wir brauchen endlich einen solchen, kohärenten Schutz durch ein ‚Kritis-Dachgesetz‘.“ Bundesinnenminister Dobrindt habe zugesagt, das Gesetz „umgehend“ vorzulegen. „Wir nehmen ihm beim Wort und werden weiter Druck machen.“
Der Grünen-Politiker verlangte angesichts wachsender Cyberbedrohungen zudem eine zügige Grundgesetzänderung, um dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Eingriffsmöglichkeiten zu geben. „Unter anderem ist auch eine Grundgesetzänderung, die es dem BSI ermöglicht, bei schwerwiegenden Angriffen auf digitale Infrastrukturen der Länder Amtshilfe zu leisten, überfällig“, sagte von Notz. Ein entsprechender Entwurf liege seit Langem vor, sei jedoch von der Union blockiert worden.
Die ehemalige Bundesinnenministerin Nancy Faeser (SPD) hatte im Juli 2022 eine Grundgesetzänderung vorgeschlagen, um das dem Innenministerium unterstellte BSI zur Zentralstelle für den Kampf gegen Cyberattacken auf Ziele in Deutschland zu machen. Eine vergleichbare Konstruktion gibt es jetzt schon beim Bundeskriminalamt (BKA) und beim Bundesamt für Verfassungsschutz, die beide eng mit den jeweiligen Landesbehörden zusammenarbeiten. Faeser hatte damals argumentiert, die Länder seien angesichts steigender Bedrohungen mit dieser Aufgabe langfristig „überfordert“.
Von Notz sieht vor allem Russland als Urheber der verschärften Gefährdungslage. „Die größte Gefahr geht derzeit zweifellos von russischen Akteuren aus, die Wladimir Putins hybriden Krieg mit immer weniger Skrupeln auch und gerade in Deutschland führen.“
Der SPD-Innenpolitiker Sebastian Fiedler teilt die Einschätzung. Die Behörden beobachteten „eine starke russische Einflussnahme bei Cyber-Angriffen durch staatlich gelenkte Organe“, sagte Fiedler dem Handelsblatt. Dies verschärfe die Lage zusätzlich.
Als Konsequenz forderte der SPD-Politiker die „seit Jahren zu Recht von den Sicherheitsbehörden geforderten Cyberabwehrbefugnisse für das Bundeskriminalamt“ zu schaffen. Zudem seien auch „klare Aufgabenzuweisungen für die Strafverfolgung und Gefahrenabwehr“ überfällig. All das müsse, sagte Fiedler, „so schnell wie möglich“ umgesetzt werden.