Im Rückblick auf das nun ins Archiv zu überstellende Jahr 2024 kann ich mich nur einreihen bei denen, die seufzend feststellen: „What! A! Year!“ – und vorausschauend auf 2025 gilt wohl jetzt schon Ähnliches. Das Seufzen drückt dabei aber eben nicht ausschließlich Schmerz, sondern auch Zufriedenheit aus: Mit Blick auf die Cybersicherheit in Deutschland – und den Stand der Cybernation – dürfen wir durchaus den ein oder anderen Haken setzen.
So konnten wir im Jahr 2024 gemeinsam mit Bundesinnenministerin Nancy Faeser bei uns im BSI das neue Nationale IT-Lagezentrum eröffnen. Hier schlägt es, das Herz der Cybersicherheit in Deutschland: sieben Tage die Woche, 24 Stunden am Tag. Hier laufen die Informationen zusammen, die das Lagebild der IT-Sicherheit in Deutschland ausmachen. Wenn nötig, wächst an diesem Ort in Windeseile auch das Nationale IT-Krisenreaktionszentrum auf – mit allem, was dazugehört. Und auch, wenn uns das bereits bewusst war: Der Crowdstrike-Vorfall am 19. Juli 2024 hat uns eindrucksvoll und sehr plastisch vor Augen geführt, wie groß unsere Angriffsfläche ist. Gemeinsam mit vielen wichtigen IT-Akteuren haben wir daher innerhalb kürzester Zeit infrastrukturelle Optimierungsmaßnahmen identifiziert. Diese werden seither Stück für Stück umgesetzt – mit dem gemeinsamen Ziel, unsere Cyberresilienz im Sinne eines global gelebten Pflichtbewusstseins zu security by design (Sicherheit wird im Entwicklungsprozess mitgedacht) beziehungsweise security by default (Sicherheitsfunktionen vorkonfiguriert) schnell und nachhaltig zu erhöhen.
In Richtung einer wirkmächtigen und schlagkräftigen Cybersicherheitsarchitektur hingegen sind wir im vergangenen Jahr – das muss ich leider so hörbar seufzend sagen – kaum weitergekommen. Die Cybersicherheitsarchitektur in Deutschland besteht im Wesentlichen aus vier Säulen: mit der militärischen Zuständigkeit, vertreten durch die Bundeswehr und dazugehörige Einrichtungen; mit der nachrichtendienstlichen Zuständigkeit, vertreten durch den Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz (BfV) und die entsprechenden Landeseinrichtungen; mit der Zuständigkeit für die Strafverfolgung, vertreten durch das Bundeskriminalamt und die entsprechenden Stellen in den Ländern. Und schließlich die vierte Säule mit der Zuständigkeit für den Schutz von Staat, Wirtschaft und Gesellschaft im Cyberraum, vertreten durch das BSI und teilweise auch durch entsprechende Einrichtungen in den Ländern.
Das BSI als Nukleus
Zwischen den genannten Zuständigkeiten bestehen offensichtliche Überschneidungen. Deswegen ist eine professionelle, gelebte Kooperation zwischen den Akteuren absolut essenziell für die Cyberresilienz unseres Landes. Diese Kooperation muss nicht nur horizontal auf Bundesebene, sondern auch vertikal in der Bund-Länder-Zusammenarbeit ermöglicht und geregelt werden. Sowohl für die Aufgaben des Bundeskriminalamts als auch für die des BfV ist das über entsprechende Zentralstellenfunktionen bereits geregelt und erprobt. Wir brauchen aber auch für die Cybersicherheit als Ganzes eine nach innen koordinierende und nach außen – etwa in Richtung EU und Nato – einheitlich kommunizierende Instanz.
Dafür wirbt und bewirbt sich das BSI als Nukleus und zentrale Stelle der Informationssicherheit in Deutschland, als Partner auf Augenhöhe. Auf diesem Weg können wir endlich ins Machen kommen; können wir gemeinsam agieren, für Krisen im Cyberraum vorsorgen – und ein ganzheitliches Cybersicherheits-Lagebild für Deutschland schaffen, das zu jedem Zeitpunkt strategische, taktische und operative Entscheidungen auf Basis einer klaren und vollständigen Faktenlage erlaubt.
Dass überall dort, wo ein Wille ist, sich auch Wege zum Machen bahnen, hat unser Jahreslagebericht 2024 gezeigt. Wir verzeichnen eine kleine, aber durchaus spürbare Resilienzsteigerung auf vielen Ebenen. Dazu ein Beispiel: Zwar ist die Zahl der Opfer von Datenleaks nach Ransomware-Angriffen weiter gestiegen. Gleichzeitig ist aber der Anteil der Ransomware-Opfer, die Lösegeld bezahlen, gesunken, denn Betroffene, die über funktionierende Sicherungskopien ihrer Daten verfügen, sind nicht auf die Entschlüsselung ihrer Systeme durch die Angreifer angewiesen.
2024 – deutliche Erfolge für die Cybersicherheit
Zudem gehen immer mehr Unternehmen transparent mit Cyberangriffen um, informieren die Öffentlichkeit und ihre Kundinnen und Kunden. Das trägt dazu bei, dass potenzielle Schwachstellen schneller geschlossen und Schäden von weiteren Unternehmen abgewendet werden können.
Was wir im vergangenen Jahr ebenfalls zeigen – und machen – konnten: Wir überlassen unsere Internetinfrastrukturen nicht den Angreifern. Wir unterbrechen Angriffe etwa aus Botnetzen, indem wir die entsprechenden Internetverkehre umleiten. Das heißt, wir „schneiden einfach mal die Lunte durch“, wie ich immer so gerne sage.
Das tun wir zum Beispiel seit mehreren Wochen in Bezug auf die Schadsoftware „BadBox“, die sich massenhaft auf Consumer-Geräten mit veralteter und angreifbarer Software befindet. Das kann kein Dauerzustand sein. Allerdings ist hier eine Verbesserung der Rahmenbedingungen in Sicht: Der kürzlich in Kraft getretene Cyber Resilience Act (CRA) wird insbesondere Verbraucherinnen und Verbrauchern künftig mehr Cybersicherheit beim Kauf vernetzter Produkte bescheren. Wir als BSI bewerben uns dafür um die Marktaufsicht.
NIS-2-Richtlinie dringend umsetzen
Sichere Produkte der Hersteller einerseits und der sichere Betrieb durch Betreibende oder Nutzende andererseits sind zwei Seiten derselben Medaille, und wir gehen beide an: Der CRA betrifft die Herstellerseite und kümmert sich um sichere digitale Produkte. Um IT-Sicherheit auch in ausreichendem Maße in der Betreiberwelt außerhalb von kritischen Infrastrukturen (Kritis) zu verankern, ist es von entscheidender Bedeutung, die NIS-2-Richtlinie in einer überparteilichen Anstrengung schnellstmöglich in nationales Recht umzusetzen. Dafür werbe ich eindringlich und bitte um Unterstützung.
Der Startschuss, der durch dieses Gesetz gegeben wird, ist längst überfällig und muss weithin laut und deutlich gehört werden. Das BSI agiert hier auch heute schon als Partner und Helfer – und wir sehen einen immensen Bedarf: Unsere Beratungsangebote stoßen seit Monaten auf großes Interesse. Auch das zeigt, dass ein großer Teil der Wirtschaft im Jahr 2025 vom Wollen ins Machen kommen wird – wenn wir als Staat Planungssicherheit und Verlässlichkeit bieten.
Was 2025 auf die Agenda gehört
Und wir haben uns noch mehr vorgenommen: Um Deutschlands Cyberresilienz weiter zu erhöhen, müssen wir die Scans, die das BSI bisher nur für den Bund und Kritis-Unternehmen durchführen darf, auf ganz Deutschland ausweiten. Mit diesen Scans werden Systeme, die im Internet stehen, auf nach außen sichtbare Verwundbarkeiten geprüft, um die Betreiber warnen zu können. Angreifer machen das übrigens auch, und zwar ständig und ganz sicher nicht, um zu warnen. Zur Verdeutlichung: Das bedeutet nicht, dass wir bei den Unternehmen virtuell reinschauen oder gar einbrechen wollten. Es geht uns darum, ab und an vorbeizufahren und zu schauen, ob die Tür offensteht – nicht mehr und nicht weniger.
Im Kontext geopolitischer Konfliktlagen haben 2024 DDoS-Angriffe auf öffentliche Einrichtungen stark zugenommen. Akteure stellen dabei die vergleichsweise geringen Schadwirkungen solcher Überlast-Angriffe übertrieben in sozialen Netzwerken dar, um gesellschaftliche Verunsicherung zu schüren. Auch dieses Phänomen ist ein Teil der in jüngster Zeit häufig genannten Desinformationskampagnen, die das Vertrauen in unsere Demokratie und die Stabilität unserer liberalen Gesellschaftsform zu untergraben sucht.
Wie gefährlich entsprechende Einflussoperationen sein können, lehrt uns ein Blick nach Rumänien, wo zuletzt die Präsidentenwahl wegen Beeinflussung durch Desinformation annulliert werden musste. Auch deswegen findet bei uns im BSI mit Blick auf die vorgezogene Bundestagswahl eine entsprechend angepasste Lagebeobachtung statt. Wir stehen dabei in kontinuierlichem Austausch mit unseren Partnerbehörden und sind in die Strukturen der Bundesregierung zum Schutz von Wahlen eingebunden. Zudem unterstützen wir Wahlbehörden und politische Zielgruppen durch Beratungsangebote zur Sensibilisierung für Informationssicherheit.
Solche Maßnahmen werden uns in Zukunft jedoch nicht mehr weit genug tragen. Für den Kampf gegen technisch verbreitete Desinformation brauchen wir technische Lösungen. Gemeinsam mit Wirtschaft, Wissenschaft und Politik wollen und werden wir den Bürgerinnen und Bürgern Werkzeuge an die Hand geben, mit denen sie schnell und einfach Absender und Material verifizieren können.
Für uns als BSI ist klar: Den Kopf in den Sand stecken vor dem, was vermeintlich alles nicht zu machen ist, ist auch und gerade im Jahr 2025 keine Option. Dafür gibt es noch viel zu viel zu tun und es gilt mehr denn je, mit jedem Seufzer noch eine Schippe draufzulegen.