Cybersicherheitslage : Cybernation Deutschland: Nicht meckern, machen!

Durch die immer neuen Meldungen darüber, was in unserem Land zurzeit alles nicht rund läuft, kann man gerade jetzt zum Jahreswechsel schnell in Katerstimmung verfallen. Und die ist eben nicht nur Überbleibsel einer langen Silvesternacht, sondern die Folge unzureichenden Anpackens bei zu vielen drängenden Herausforderungen unserer Zeit. Darüber ließe sich an dieser Stelle nun ganz hervorragend schwadronieren. Aber zum einen steht das nicht in meiner Jobbeschreibung als BSI-Präsidentin und zum anderen hilft meckern ja auch nicht. Machen hilft!

Damit also zu dem Teil der drängenden Herausforderungen, den anzupacken in der Aufgabenbeschreibung des BSI steht: die Cybersicherheit. Fakt ist: Wir haben hier ein Problem, um das wir uns kümmern müssen. Nicht alle Fälle werden öffentlich, aber wir – und damit meine ich Deutschland – stehen dauerhaft unter Beschuss. Schon der Blick auf die deutsche Wirtschaft ist mehr als aufschlussreich: Der Digitalverband Bitkom schätzt den Schaden, der jährlich durch Datendiebstahl, Spionage und Sabotage entsteht, auf 206 Milliarden Euro. Zum Vergleich: Das sind 43 Prozent des Bundeshaushaltes 2023! Alleine diese Zahl vermittelt einen plastischen Eindruck von der aktuellen Lage, die wir als besorgniserregend einordnen.

Der ganz große Knall ist bisher zum Glück ausgeblieben. „Zum Glück“, denn die Frage ist nicht ob, sondern wann Deutschland auch großflächig, tiefgreifend und nachhaltig von einem Cyberangriff getroffen wird. Das ist der Blick auf die zukünftige Lage – und darauf müssen wir uns jetzt vorbereiten.

Problem erkannt, Problem gebannt?

Okay, Problem erkannt – aber was nun? Was hilft gegen immer professioneller agierende Cyberangreifer, die ungehindert modernste Technologien einsetzen und sich arbeitsteilig und modular organisieren, um ihre Ziele zu erreichen? Die Antwort ist: Um uns dagegen zur Wehr zu setzen, brauchen wir professionell agierende Cyberverteidiger, die, maximal unterstützt und mit modernsten Technologien ausgestattet, alle effizient und vertrauensvoll zusammenarbeiten! Das gilt es gekonnt zu orchestrieren, denn mit „alle“ meine ich nicht nur die Sicherheitsbehörden oder die Politik, sondern auch die Unternehmen, die Institutionen der Verwaltung, die Wissenschaft und alle weiteren Könnerinnen und Könner im Digitalisierungs- und Cyberraum.

Um dieser großen, gesamtstaatliche Aufgabe einen Rahmen zu geben, haben wir als BSI das Konzept der Cybernation Deutschland ausgerufen. Nicht weniger dürfen wir anstreben, wenn wir unsere Gesellschaft, unsere Demokratie, unseren Wohlstand schützen wollen. Einen konkreten Aspekt der Cybernation Deutschland möchte ich hier gezielt ansprechen: unsere staatliche Sicherheitsarchitektur und die in diesem Zusammenhang nicht ganz unwichtige Frage nach dem „Wer macht was“ in der Cybersicherheit.

Unser Ziel ist es, die staatliche Cybersicherheitsarchitektur Deutschlands durch effiziente Strukturen, sorgfältig definierte Schnittstellen und eine klare Kooperationsstrategie zu verbessern.

Worauf es im Krisenfall ankommt

Zum Hintergrund: Das BSI ist das technische Kompetenzzentrum des Bundes für IT-Sicherheit und gesetzlich die für Cyberabwehr zuständige Bundesbehörde. Gesamtstaatliche Cybersicherheit berührt aber auch Zuständigkeiten

• der Nachrichtendienste,
• der Strafverfolgung,
• und der Verteidigung.
• Hinzu kommt die Zuständigkeitsverteilung innerhalb unserer föderalen Struktur.

Natürlich gibt es auch noch zahlreiche weitere Akteure mit Cybersicherheitsbezug – die zu orchestrierende Vielzahl veranschaulicht zum Beispiel das Mapping der Stiftung Neue Verantwortung sehr gut. Aber fokussieren wir für einen Moment auf die genannten Bereiche und imaginieren folgendes, durchaus realistisches Szenario: In mehreren großen Städten (mindestens) zweier Bundesländer führt eine Cyberattacke zeitgleich zu großflächigen Stromausfällen; der Angriff geht auf kriminelle Akteure aus dem Ausland zurück und legt einen Zusammenhang zu aktuellen geopolitischen Konflikten nahe. Schnell ist klar: Tritt eine solche Lage ein, brauchen wir jeden der oben genannten Bereiche – auf Landes- wie auf Bundesebene.

Im Krisenfall sind drei Dinge essenziell: sofort alle Informationen verfügbar zu haben, schnell ins Handeln zu kommen und ergriffene Maßnahmen übergreifend zu koordinieren. Dafür sind wir in puncto Cybersicherheit heute noch nicht aufgestellt. Wir haben nicht das eine Lagebild, das gesamtstaatliche Informationen bündelt. Wir haben auch nicht das eine Lagezentrum, von dem aus schnell auch über föderale Grenzen hinweg abgestimmt gehandelt werden kann. 

BSI als Zentralstelle schaffen

Für den Krisenfall sind wir hier noch nicht ausreichend gerüstet und das gilt es zu ändern. Ich wurde neulich gefragt, wie wir wissen können, ob bei einer DDoS-Attacke auf eine Bank ein gezielter Angriff auf diese Bank vorliegt, auf den gesamten Finanzsektor oder auf die Region Frankfurt. Das wissen wir – das muss ich so direkt und ehrlich feststellen – heute nicht. Diese Informationen müssen wir künftig in einem gesamtstaatlichen Lagebild unmittelbar verfügbar haben. Und wenn die Lichter ausgehen, müssen wir auch gemeinsam sofort handeln können.

Das mag alles einleuchtend klingen. Es ist de facto aber in wichtigen Aspekten zurzeit nicht möglich: Eine regelmäßige beziehungsweise dauerhafte oder gar institutionalisierte Unterstützung der Länder durch das BSI ist zum heutigen Tage verfassungsrechtlich ebenso wenig möglich wie eine Koordinierung der Zusammenarbeit zwischen Bund und Ländern. Zusammenarbeiten dürfen wir aktuell lediglich im Wege der Amtshilfe – und das nur ausnahmsweise und punktuell.

Konkret bedeutet das: Wir dürfen erst zusammenarbeiten, wenn einer schon am Boden liegt. Im Normalzustand ist eine weitergehende Zusammenarbeit nicht möglich. Und dass wir als Behörde des Bundes nicht mit den Behörden der Länder zusammenarbeiten dürfen, kann ich keiner Bürgerin und keinem Bürger in Deutschland erklären.

Das müssen wir ändern, so wie im Koalitionsvertrag vereinbart und in der Nationalen Sicherheitsstrategie der Bundesregierung beschrieben, mit dem BSI in der Rolle als Zentralstelle für Cybersicherheit im Bund-Länder-Verhältnis, im strukturellen Gleichklang mit BKA und BfV im Sinne einer föderal integrierten Cybersicherheitsarchitektur.

Es geht dabei – und das betone ich ausdrücklich – in keiner Weise darum, den Ländern Kompetenzen wegzunehmen! Das Gegenteil ist der Fall. Die Umsetzung der Zentralstelle würde eine auf Dauer angelegte, institutionalisierte Form der Kooperation zwischen Bund und Ländern oder auch zwischen den Ländern ermöglichen. Neben einem gesamtstaatlichen Lagebild bedeutet das zum Beispiel:

• laufende gegenseitige Unterrichtung und Auskunftserteilung – insbesondere mit Blick auf die in der aktuellen geopolitischen Lage besonders bedrohte Kritische Infrastruktur,
• wechselseitige Beratung, regelmäßiger Erfahrungsaustausch,
• gegenseitige Unterstützung und Hilfeleistung, zum Beispiel auch durch Tools und Analysen.

Dazu müssen wir Rollen und Schnittstellen, aber auch Zuständigkeitsgrenzen definieren, Kooperationsmodelle entwickeln und sichere Kommunikationsplattformen bereitstellen. Die ohnehin auf allen Seiten knappen finanziellen und personellen Ressourcen könnten so viel effizienter eingesetzt werden – zum Beispiel, um die gerade im vergangenen Jahr mehr und mehr durch Cyberangriffe gebeutelten Kommunen zu unterstützen. Das müssen wir „machen“ dürfen.

Gerade der letzte Punkt zeigt: Die Herausforderungen, mit denen wir es zu tun haben, sind nicht immer nur die Angreifer. Und genau deshalb brauchen wir eine gemeinsame Vision einer Cybernation Deutschland, in der wir nicht den Kopf in den Sand stecken, sondern den Status Quo infrage stellen und die vielfältigen Herausforderungen alle, eine nach der anderen, gemeinsam angehen. Das wird für uns alle sehr viel Arbeit und es wird nicht einfach sein, schnelle Erfolge zu erzielen.

Aber ich bin mir sicher: Wir können das. Wir haben Infrastrukturen, auf denen wir aufbauen können. Wir haben die Investitionspotentiale, das Wissen und die richtigen Leute, um uns für die Zukunft aufzustellen. Also: Nicht meckern, sondern machen.