Perspektive : Ein Cyber Dome made in Germany?

Wenn Politiker:innen großartig klingende Ideen für Deutschlands Cybersicherheit aus dem Ausland mitbringen, zeigt sich oft erst später, wie schwierig die Umsetzung vor Ort ist. So stieß Innenminister Dobrindts Forderung nach einem „Cyber Dome“ nach seiner Israel-Reise auf Kritik – auch weil unklar blieb, was genau der Minister unter dem Begriff versteht. Das geplante „Realisierungskonzept für eine (teil-)automatisierte Abwehr im Netz („Cyber-Dome“) zur Abwehr und Vermeidung von Schäden durch Cyberangriffe“ soll erst noch erarbeitet werden.

Dass die Idee noch nicht ausgearbeitet wurde, heißt nicht, dass sie per se schlecht ist. Ein deutscher Cyber Dome, oder ein Cybershield Deutschland, könnte – wenn gut und durchdacht umgesetzt – meiner Meinung nach Bund, Länder, Kommunen sowie Kritische Infrastrukturen, kleine und mittelständische Unternehmen (KMU) und Privathaushalte in den Fokus nehmen, um zentrale, skalierbare Sicherheits- und Verteidigungsmaßnahmen zu etablieren. Das Ziel wäre ein höherer Schutz und mehr Resilienz der zivilen IT-Infrastrukturen. Zugleich sollten die Lösungen von Beginn an so ausgelegt sein, dass sie auch in anderen EU-Staaten genutzt werden können – als Grundlage für einen hoffentlich irgendwann kommenden gesamteuropäischen Sicherheitsverbund. Wie aber könnte ein deutsches Cyberschild aussehen? Im Folgenden werden vier Ideen vorgestellt, die als Inspiration dienen sollen.

Schwachstellenscanner für Deutschland

Edge-Geräte wie Router, VPN-Appliances, Firewalls oder NAS-Systeme stehen zunehmend im Fokus krimineller und staatlich unterstützter Bedrohungsakteure. Solche Geräte sind aus dem Internet erreichbar und können im Falle einer Kompromittierung als Einfallstor in Heim- oder Firmennetze dienen. Verschärft wird das Problem dadurch, dass gerade solche Geräte besonders oft unverzeihliche Schwachstellen enthalten.

Ein präventiver Schwachstellenscanner könnte diese Geräte über den deutschen IP-Adressraum identifizieren, auch wenn dieser wegen Cloud- oder Software-as-a-Service-Dienstleistungen nicht die gesamte deutsche IT-Infrastruktur erfasst. In Zusammenarbeit mit Internetanbieter (ISPs) ließe sich ein frühzeitiger Hinweisprozess etablieren: Betreiber:innen würden über erkannte Schwachstellen informiert und bekämen Empfehlungen, wie sie diese Sicherheitslücken schließen können.

Der Schwachstellenscanner könnte durch ein Testen von Standard-Zugangsdaten bei den Edge-Geräten ergänzt werden, da die meisten initialen Kompromittierungen mit validen Zugangsdaten erfolgen. Es handelt sich bei einem solchen Scan jedoch um ein invasives Vorgehen, bei dem man sehr viel Vorsicht walten lassen muss. Weiterhin könnte zur Erhöhung der Effektivität ein Walled Garden implementiert werden: Nach einem zeitlich versetzten Zweitscan werden gefährdete Netzwerke in einem isolierten Netzbereich gehalten, bis die Schwachstellen behoben sind. Nutzer:innen sähen dann beim Versuch, das Internet zu erreichen, eine Warnung sowie Handlungsempfehlungen.

Rechtlich setzt die Maßnahme auf freiwillige Teilnahme (Opt-In), vor allem in Bezug auf den Walled-Garden-Mechanismus und den Zugangsdaten-Test. Geklärt werden müssten vorher zudem die heiklen Haftungs- und Datenschutzfragen. Technisch müssen die Scanner robust, skalierbar und kompatibel mit unterschiedlichen Gerätetypen sein. Damit die Maßnahmen umgesetzt werden können, braucht die verantwortliche staatliche Stelle entsprechende Befugnisse und Ressourcen – und die ISPs müssen für ihren Aufwand entschädigt werden. Die Maßnahme wäre besonders wirksam für Kritische Infrastrukturen sowie kleine und mittelständische Unternehmen, aber auch für öffentliche Einrichtungen und Privathaushalte, da sie systematisch Schwachstellen reduziert und so die Risiken für die Infrastruktur senkt.

Schadprogramm-Erkennungssystem

Das Schadprogramm-Erkennungssystem des Bundesamt für Sicherheit in der Informationstechnik (BSI) ist ein zentraler Baustein der deutschen Cyberabwehr in den Netzen des Bundes. Kernaufgabe des Systems ist die frühzeitige Erkennung von Schadprogrammen durch automatisierte Sensoren, die den anfallenden Datenverkehr überwachen. Wird eine Anomalie erkannt, wird sie markiert und zur näheren Analyse an Mitarbeiter:innen weitergeleitet.

Im Rahmen der Cyber-Dome-Diskussion ist die skalierbare Einbindung des Systems in andere Bereiche besonders relevant. Behörden, Unternehmen und Kritische Infrastrukturen könnten, mit Zustimmung der Betreiber, eigene Sensoren für spezifische Datenkanäle installieren. So ließe sich ein Netzwerk von Detektoren aufbauen, das kontinuierlich Bedrohungen analysiert und eine zeitnahe Reaktion ermöglicht.

Das so erweiterte Schadprogramm-Erkennungssystem würde bestehende kommerzielle Produkte wie Network Intrusion Detection/Prevention Systems oder Network Traffic Analysis-Angebote sinnvoll ergänzen.

Die Umsetzung des Schadprogramm-Erkennungssystems hat jedoch eine Reihe von rechtlichen und organisatorischen Voraussetzungen. Datenschutz, Haftungsfragen und Marktneutralität müssen geklärt werden, insbesondere wenn Datenverkehr teilweise verschlüsselt ist oder über SSL/TLS Inspection Proxies geleitet wird. Zusätzlich wäre eine Weiterentwicklung des im BSI bestehenden Schadprogramm-Erkennungssystems notwendig. Hinzu kommen technische Herausforderungen, etwa die Integration von Sensoren in unterschiedliche IT-Umgebungen, ohne den Betrieb zu stören. Freiwilligkeit bleibt dabei ein zentrales Prinzip: Unternehmen oder Behörden können selbst entscheiden, ob sie Detektoren einsetzen, wodurch die Akzeptanz und langfristige Nachhaltigkeit der Maßnahme erhöht wird.

Schadsoftware-Präventionssystem

Das Schadsoftware-Präventionssystem ergänzt das -Erkennungssystem um proaktiven Schutz: Es verhindert sowohl die Kompromittierung von Systemen beim Internetzugriff als auch die Kommunikation zwischen infizierten Systemen und Bedrohungsakteuren. Konkret werden ein- und ausgehende Verbindungen mit bekannten Indicators of Compromise (IOCs) abgeglichen. Stimmen sie überein, werden die Verbindungen blockiert, sodass Schadsoftware weder weiteren schädlichen Code oder Befehle von Angreifern bereits bekannter Infrastrukturen empfangen noch über gestohlene Zugangsdaten oder systemeigene Tools („Living-off-the-Land“, LOTL) agieren kann.

Die Stärke des Schadsoftware-Präventionssystems liegt in seiner zentral gesteuerten, skalierbaren Funktionsweise: Zusammen mit ISPs könnten die Maßnahmen nicht nur in Bundesnetzen, sondern auch in Kritischen Infrastrukturen und Unternehmen umgesetzt werden, wodurch eine präventive Absicherung ganzer Netzwerksegmente möglich wird. Ein zusätzlicher Vorteil: Die Maßnahme greift weitgehend unsichtbar für die Nutzer:innen, da die Blockade automatisch erfolgt. Auch hier wäre eine Opt-In-Einwilligung Grundbedingung.

Das Schadprogramm-Präventionssystem könnte bestehende kommerzielle Produkte wie Secure Web Gateways oder DNS Filtern ergänzen.

Die Umsetzung eines solchen Systems erfordert jedoch umfangreiche Vorarbeiten. Neben der rechtlichen Klärung (Marktneutralität, Haftung) müssen ausreichend Ressourcen bereitgestellt werden, um das bestehende Schadsoftware-Präventionssystem weiterzuentwickeln und die Kosten der ISPs abzudecken. Bei einer Opt-In-Einwilligung könnte die Kostendeckung der ISPs gegen ein kommerzielles Angebot ersetzt werden. Der Aufwand beinhaltet vor allem die Pflege der Deny-Listen, kontinuierliche Analyse neuer Bedrohungen sowie die enge Abstimmung zwischen BSI, ISPs und den betroffenen Einrichtungen.

Off-Site System Backups für Deutschland

System-Backups bilden eine der wichtigsten präventiven Maßnahmen, um die Resilienz von IT-Infrastrukturen zu erhöhen. Während Daten-Backups nur Dateien sichern, erfassen System-Backups das gesamte Betriebssystem, installierte Programme und Konfigurationen. Im Ernstfall ermöglichen sie so die vollständige Wiederherstellung eines Systems, was nach Ransomwarevorfällen entscheidend für schnelle Recovery-Zeiten ist.

Unter Koordination einer Einrichtung des Bundes könnten Bund, Länder und zertifizierte Hostanbieter ein niedrigschwelliges Off-Site-System-Backup-Angebot schaffen. Behörden und Unternehmen könnten über sichere, nach Stand der Technik abgesicherte Plattformen Backups erstellen und diese bei Bedarf zeitnah wieder einspielen. Dies spart erhebliche Zeit und Kosten im Vergleich zu einzelnen Wiederherstellungen.

Die Umsetzung erfordert jedoch umfangreiche Vorarbeiten: Was ist innerhalb von welchem technischen, organisatorischen und rechtlichen Rahmen machbar? Wer implementiert und zahlt für die Entwicklung, den Betrieb und die Wartung der Infrastruktur? Und da der Aufwand besonders hoch ist: Welche Unternehmen oder kritische Einrichtung müssten als Erstes einbezogen werden?

Zudem müssen Finanzierungsfragen klar geregelt werden: Nur dort, wo kein Dienstleister kommerzielle Angebote für Backups bereitstellt, sind öffentliche Mittel erforderlich. Das Angebot könnte so gestaltet werden, dass es freiwillig genutzt wird, ohne den Wettbewerb zu verzerren, und gleichzeitig eine robuste Absicherung kritischer Systeme auf nationaler Ebene gewährleistet.

Wie es um den Cyber Dome des Bundes steht

Bei aller Ambition ist jedoch ein Realitätscheck notwendig: Laut Bundesrechnungshof ist die Personalausstattung für die bestehenden Detection-as-a-Service-(DaaS)-Maßnahmen der Bundesverwaltung unzureichend. Im Rahmen der Diskussion um das BSI als Zentralstelle wurde recht schnell deutlich, dass allein die Ausweitung bestehender Dienstleistungen auf die Länder einem kleinen Kraftakt gleichkommt. Hinzu kommt, dass die Bundes-IT auch im Bereich Backups keine Vorbildfunktion zeigt: Von elf vom Bundesrechnungshof befragten Behörden, die im Spannungs- und Verteidigungsfall zentrale Aufgaben für die Aufrechterhaltung von Staats- und Regierungsfunktionen haben, hatte keine umfassend getestet, ob sich die in Rechenzentren gespeicherten IT-Dienste anhand der angelegten Backups wiederherstellen lassen. Bevor ein deutscher Cyber Dome seine Funktionen auf andere öffentliche Einrichtungen oder Unternehmen ausweiten könnte, müsste daher zunächst geklärt werden, warum grundlegende Maßnahmen auf Bundesebene bislang nicht funktionieren.

Fazit

Ein deutscher Cyber Dome bleibt ohne ein konkretes und umsetzbares Konzept nur ein Schlagwort. In diesem Artikel wurden mehrere Ideen, erforderliche Ressourcen und wesentliche Herausforderungen skizziert, die in der Konzeptentwicklung berücksichtigt werden müssen. Das BSI könnte dabei eine führende Rolle übernehmen, während Bund, Länder, Unternehmen, ISPs und zertifizierte Hoster eng zusammenarbeiten, um skalierbare Präventions-, Erkennungs- und Wiederherstellungsmaßnahmen wirkungsvoll umzusetzen. Wichtig ist nun, Zuständigkeiten zu klären, Ressourcen bereitzustellen und den inhaltlichen und rechtlichen Rahmen zu definieren – damit die deutsche IT-Infrastruktur besser gegen heutige und kommende Bedrohungen gewappnet ist.