Internetsicherheit: Deutschland im Cyber-Dilemma – Experten warnen vor Zuständigkeitschaos
Es gibt kaum noch Unternehmen in Deutschland, die von Cyberattacken verschont bleiben.
Foto: dpaBerlin. Cyberexperten halten eine grundlegende Neuordnung der Zuständigkeiten im Bereich der Cyberabwehr für notwendig. Das geht aus Stellungnahmen verschiedener Sachverständiger für eine Anhörung zum Thema Cybersicherheit an diesem Mittwoch im Bundestag hervor.
Sven Herpig von der Stiftung Neue Verantwortung (SNV), einem Thinktank für Digitalpolitik, bemängelt etwa, dass es durch die vielen ähnlich ausgerichteten Institutionen und Stellen zwangsläufig zu „Redundanzen und Effizienzverlusten“ komme. Daher „sollte eine Reform der deutschen Cybersicherheitsarchitektur auf eine Verschlankung und Verringerung dieser Akteure abzielen“.
Herpigs Forderung kommt nicht von ungefähr. Seit der Verabschiedung der Cyber-Sicherheitsstrategie für Deutschland im Jahr 2011 sei die Cybersicherheitsarchitektur „stetig stark gewachsen“, gibt er zu bedenken. So gebe es auf Bundesebene mittlerweile über 80 Akteure, die jeweils für Teilbereiche der deutschen Cybersicherheit zuständig seien.
Hinzu kommen Dutzende weitere Akteure auf Ebene der Länder, der Kommunen, der EU, der Nato, der Vereinten Nationen und anderer Organisationen. In einer Analyse der Stiftung ist von einem „komplexen Ökosystem“ die Rede. Andere Experten wie Manuel Atug, Gründer und Sprecher der AG Kritis, einer Gruppe von etwa 40 IT-Spezialisten, sprechen von „Verantwortungsdiffussion“.
In seiner Stellungnahme für die Anhörung stellt Atug folgerichtig den derzeitigen Aufbau an Cyber-Kompetenzen wegen seiner „begrenzten Wirkmöglichkeit“ infrage. „Hier wäre eine Fokussierung und Konsolidierung der beteiligten Behörden, Gremien und Rollen in den Ländern ein sinnvoller erster Schritt.“
Schaden für die deutsche Wirtschaft ist immens
Eine Verbesserung der deutschen Cyberabwehr ist eines der zentralen Projekte von Bundesinnenministerin Nancy Faeser (SPD). In ihrer im vergangenen Jahr vorgelegten Cybersicherheitsagenda skizzierte die Ministerin grob ihre Pläne. So soll etwa die Cyber-Sicherheitsbehörde des Bundes, das Bundesamt für Sicherheit in der Informationstechnik (BSI), zur Zentralstelle der IT-Sicherheit ausgebaut und die Zusammenarbeit zwischen Bund und Ländern vertieft werden.
In ihrer Agenda verspricht die Ministerin „eine effizientere und klarere Aufgabenverteilung in der Cybersicherheitsarchitektur“. Alle Akteure würden miteinander „in sinnvoller Weise“ verzahnt. Weil Gefahrenabwehr überwiegend Ländersache ist, hatte Faeser bereits angekündigt, eine Grundgesetzänderung anzustreben.
>> Lesen Sie hier auch: Diese Cybersecurity-Jobs versprechen mit das beste Gehalt
Vorgenommen hat sich die Regierung gemäß Koalitionsvertrag auch, IT-Sicherheitslücken wirksam zu schließen, zunehmende Cyberkriminalität besser zu bekämpfen und mehr Sicherheit für Unternehmen, Behörden und Privatpersonen zu schaffen. Der Handlungsbedarf ist groß. Die Angriffe aus Russland und China sind laut einer Studie des Digitalverbands Bitkom zuletzt sprunghaft angestiegen. Es gibt kaum noch Unternehmen in Deutschland, die von Cyberattacken verschont bleiben.
Der Schaden für die deutsche Wirtschaft ist immens. Der Verband beziffert den jährlichen ein jährlicher Schaden durch Diebstahl von IT-Ausrüstung und Daten sowie Spionage und Sabotage auf rund 203 Milliarden Euro – und damit fast doppelt so hoch wie jeweils 2018 und 2019.
Stefanie Frey, Geschäftsführerin beim Beratungsunternehmen Deutor Cyber Security Solutions, wertet die Zahlen auch als Hinweis darauf, dass die Cyberabwehr überholungsbedürftig ist. In ihrer Stellungnahme für die Anhörung weist sie auf die Problematik der zunehmenden Digitalisierung und Globalisierung hin, wodurch Cyberattacken meistens länderübergreifend seien und verschiedene Rechtsräume berührten.
Es finde eine „Verwischung zwischen innerer und äußerer Sicherheit“ statt und die Zuständigkeiten seien nicht mehr klar geregelt, „weil sich keiner befugt fühlt und nicht weiß, wo die Grenzen und Kompetenzen liegen“.
Jede fünfte Stelle für IT-Sicherheit im Bund ist unbesetzt
Die derzeitigen Bemühungen zur Erhöhung der Cybersicherheit hält Frey indes für nicht zielführend, wenn sich an der „sehr komplizierten“ Cybersicherheitsarchitektur nichts ändert und nach einem Cyberangriff die Ermittlungsbemühungen weiterhin „meistens im Sande verlaufen“.
Als Beispiel nennt die Expertin das Landeskriminalamt (LKA) in Baden-Württemberg. Dort seien in der Abteilung Cybercrime/Digitale Spuren 135 Mitarbeiter tätig. „Davon sind jedoch lediglich zehn Mitarbeiter in der klassischen Cybercrime-Ermittlung, sprich Ermittlungen gegen schwere Cyber-Angriffe, wie Angriffe auf Firmennetze mit Verschlüsselung und Erpressung durch internationale Banden und organisierte Kriminalität, zuständig“, erläutert Frey. „Diese Cyber-Fälle binden die Ermittler oft mehrere Wochen, was eine Parallelbearbeitung der Fälle massiv erschwert.“
Frey hält daher eine „Straffung und Bündelung der Akteure und deren Kompetenzen auf allen Ebenen“ für unabdingbar. Nur durch ein Verständnis der Komplexität und Kettenreaktionen eines Cyberangriffs könne man erfolgreich die Cybersicherheit erhöhen. Zur Neuordnung und Bündelung der Kompetenzen schlägt Frey „strategische Cyber-Simulationsübungen“ vor, die auf „echten“ Cyberfällen beruhen.
Auf diese Weise könnten die Zuständigkeiten, Rollen, Kompetenzen und Fähigkeiten, Schnittstellen und Kommunikationswege von Bund, Ländern, kritischen Infrastrukturen sowie Unternehmen getestet werden. Die Erkenntnisse könnten anschließend in eine Cyber-Reform münden.
Überlagert werden die strukturellen Defizite in der Cyberabwehr von Personalproblemen. Den Bundesministerien fällt es immer schwerer, Personal zur Abwehr von Gefahren aus dem Cyberraum zu finden. Im Durchschnitt ist dort derzeit jede fünfte Stelle im Bereich IT-Sicherheit unbesetzt.
Das geht aus der Antwort der Bundesregierung auf eine parlamentarische Anfrage der Linken hervor, die am Mittwoch in Berlin veröffentlicht wurde. Das bedeutet eine Verschlechterung zum Vorjahr, als nur für jede sechste Stelle keine geeignete Kandidatin oder kein geeigneter Kandidat gefunden werden konnte.