Cyberkriminalität: De Maiziere plant schnelle Eingreiftruppe gegen Hacker

Die Namen klingen harmlos, aber die Wirkung ist verheerend: Erpresserprogramme wie Petya oder Locky haben in den vergangenen Monate tausende Computer in Deutschland befallen. Laut Umfragen war jedes Dritte Unternehmen von der Schadsoftware betroffen, die die Festplatten verschlüsseln und nur gegen Lösegeld wieder freigeben.

Schätzungen taxieren den Schaden durch Datendiebstahl und Sabotage auf 50 Milliarden Euro im Jahr. Angesichts der massiven Bedrohung sucht Bundesinnenminister Thomas de Maizière (CDU) den Schulterschluss mit den Betroffenen: „Ein enger Austausch und eine vertrauensvolle Zusammenarbeit zwischen Staat und Wirtschaft sind unabdingbar, um Cyber-Sicherheit in Deutschland dauerhaft auf einem hohen Niveau gewährleisten zu können“, heißt es im Entwurf des Ministeriums für die neue Cyber-Sicherheitsstrategie der Regierung, die dem Handelsblatt vorliegt.

Mobile Einsatzteams des Bundesamt für Sicherheit in der Informationstechnik (BSI), „Mobile Incident Response Teams“, sollen betroffenen Firmen und Behörden schnell zur Hilfe eilen. Die jüngsten Cyber-Angriffe hätten gezeigt, dass es bislang „kaum institutionalisierte staatliche Strukturen“ für solche Notfälle gebe, heißt es in dem Papier.

Umgekehrt sollen sich die Behörden stärker auf private IT-Dienstleister stützen, um Angriffen auf die eigenen Netze vorzubeugen oder abzuwehren, und dabei auch Experten mit den Firmen austauschen. Über eine Kooperationsplattform sollen Unternehmen künftig leichter „relevante Lageinformationen zur Abwehr von Cyberangriffen“ mit den Sicherheitsbehörden austauschen können.

Der Innenminister stellt die Strategie am Dienstag bei der Kabinettsklausur in Meseberg seinen Kollegen vor. In den kommenden Monaten sollen die anderen Ministerien seinen Entwurf bewerten – allen voran Verteidigungsministerin Ursula von der Leyen (CDU), die derzeit ein neues Cyber-Kommando der Bundeswehr aufstellt, um besser für die virtuelle Kriegsführung gerüstet zu sein.

Aber auch Finanzminister Wolfgang Schäuble (CDU) dürfte sich zu Wort melden: De Maizière spricht sich im Entwurf für den „Ausbau steuerlicher Abschreibungsmöglichkeiten“ für Investitionen in die IT-Sicherheit aus. Er sieht einen Bedarf an „erheblichen Haushaltsmitteln“ in den kommenden Jahren. Im Herbst soll die neue Strategie dann im Kabinett verabschiedet werden.

In der Wirtschaft wird der Vorstoß begrüßt. „Der kooperative Ansatz hat sich bewährt“, sagt Stefan Mair, Mitglied der Hauptgeschäftsführung des Industrieverbandes BDI. Ziel müsse es aber sein, Wirtschaftsschutz und Cybersicherheit kohärent zu vereinen.

Verbände und Sicherheitsbehörden hatten erst vor wenigen Wochen die neue Initiative Wirtschaftsschutz gestartet, um gegenseitige Berührungsängste abzubauen. Gerade Mittelständler scheuen sich bislang, an Verfassungsschutzämter oder das BSI zu wenden. Zu groß ist ihre Sorge, Einbrüche in ihre IT-Systeme könnten öffentlich werden, zu undurchsichtig sind die Zuständigkeiten. „Hier würden klare Verantwortlichkeiten helfen“, sagt Marc Fliehe, Sicherheitsexperte des IT-Verbandes Bitkom.

Der Kreis könnte ausgeweitet werden

Für die Neufassung hatte das Innenministerium gut 300 Unternehmen online über ihre Bedürfnisse befragt: Knapp drei Viertel sprachen sich für eine enge Zusammenarbeit mit den Behörden aus. Die Befragung zeigt aber zugleich, wie wenig Austausch bislang stattfindet – nur 13 Prozent sind mit dem bisherigen Informationsfluss zwischen Behörden und Unternehmen zufrieden.

Eine enge Zusammenarbeit und ein umfassendes Lagebild sind für Experten aber entscheidend, um die Attacken durch Kriminelle oder Geheimdienste einzudämmen. De Maizière hat deshalb rund 2.000 Unternehmen aus kritischen Branchen wie Energie oder Telekom im IT-Sicherheitsgesetz verpflichtet, Hackerangriffe an das BSI zu melden und Standards zu beachten.

Der Kreis könnte nun auf weitere Unternehmen ausgeweitet werden, „deren IT-Sicherheit im besonderen staatlichen Interesse steht“. In der Wirtschaft stößt das auf Skepsis: „Bevor über eine Ausweitung nachgedacht wird, sollte erst die Wirksamkeit des IT-Sicherheitsgesetzes geprüft werden“, fordert Fliehe.

Das Innenministerium will aber nicht nur die Wirtschaft stärker in die Pflicht nehmen, sondern auch Bundesländer und Kommunen. Cyber-Sicherheit sei eine „gesamtstaatliche Aufgabe“, heißt es im Strategiepapier: Künftig solle der Informationsaustausch über Cyber-Angriffe zwischen Bund und Ländern „verbindlich geregelt werden“.