Cybersicherheitsstrategie : Keine Zeitenwende ohne Cybersicherheit

Der 24. Februar 2022 markiert eine Zäsur. Mit dem Überfall Russlands auf die Ukraine herrscht wieder Krieg in Europa. Ein Krieg, der neben Angriffen zu Land, Luft und Wasser auch digital geführt wird: Die Ukraine verzeichnet eine hohe Anzahl an Distributed- Denial-of-Service- sowie Ransomware-Angriffen auf Regierungsinstitutionen, Banken und die Betreiber Kritischer Infrastrukturen. Diese Angriffe sollen die Kommunikationsinfrastruktur lahmlegen, kritische Aktivitäten stören und so die Lage weiter destabilisieren.

Von einer Zeitenwende sprach der sonst um bedeutungsschwere Worte eher verlegene Bundeskanzler Olaf Scholz: einer Zeitenwende für Deutschland und seine Verteidigung. Im Vordergrund steht dabei die verbesserte finanzielle Ausstattung der Bundeswehr mit Hilfe eines Sondervermögens von 100 Milliarden Euro. Dieser Fokus hat zwei Nachteile. Zum einen braucht es angesichts des Ausstattungsdefizits der Bundeswehr mehr als ein einmaliges Sondervermögen. Es braucht eine langfristige, sichere, planungsfreundliche Erhöhung der Verteidigungsausgaben.

Zum anderen klammert das Sondervermögen Investitionen in die Cybersicherheit aus. Eine Zeitenwende in der deutschen Verteidigungspolitik ist jedoch nicht möglich, ohne die Cyberabwehr zu stärken – finanziell, personell, materiell. Das soll immerhin aus anderen Töpfen finanziert werden. Bundesinnenministerin Nancy Faeser kündigte an, dass Investitionen in die Cybersicherheit in den kommenden Bundesetats weiter deutlich erhöht würden. Wichtig ist, dass das Geld auch wirklich kommt, und zwar viel, schnell, langfristig und zielgerichtet.

Bedrohungslage nimmt zu

Denn gerade beim Cyber-Warfare, der digitalen Kriegsführung, sind die Angriffsvektoren vielfältig und die potenziellen Ziele breitgestreut. Das Risiko ist damit unkalkulierbar. So reichen die Auswirkungen der digitalen Angriffe Russlands über die Ukraine hinaus. Die Infrastruktur von Nato-Ländern kann aufgrund der Unterstützung für die Ukraine zu einem Angriffsziel unterhalb der Schwelle eines militärischen Schlags durch Russland zählen. Auch in Deutschland ist es seit Kriegsbeginn zu zusätzlichen IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten. Dennoch spricht das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) von einer erhöhten Bedrohungslage für Deutschland.

Da nahezu alle Bereiche des öffentlichen und privaten Lebens digital vernetzt sind, können auch alle diese Bereiche digital angegriffen werden. Dies kann ortsunabhängig geschehen und braucht nicht notwendigerweise extensiver personeller Ressourcen, weshalb digitale Angriffe besonders attraktiv scheinen. Der politische Aktivismus von nicht-staatlichen Hackerinnen und Hackern („Hacktivism“) in Russland, der Ukraine und anderen Teilen der Welt kann weder umfassend beobachtet noch kontrolliert werden, hat aber das Potenzial, die weltweite Sicherheitslage weiter zu gefährden.

Besonders bedroht ist die Privatwirtschaft. In Unternehmen gibt es oft zahlreiche Sicherheitslücken, die auch schon vor dem Ukraine-Krieg vielfach ausgenutzt wurden. Auch das vermehrte Homeoffice während der Pandemie hat die Cybersicherheitslage verschärft. Cyberangriffe haben laut dem Branchenverband Bitkom bei 86 Prozent der Unternehmen in Deutschland 2021 oder 2020 einen Schaden verursacht. Die Schäden durch Ransomware-Angriffe, verbunden mit dem Ausfall von Systemen oder der Störung von Betriebsabläufen, sind laut Bitkom seit 2019 um 358 Prozent gestiegen. Damit die Unternehmen wehrhafter gegen Cyberangriffe sind, sind sie auch auf die schnelle Unterstützung des Staates angewiesen.

Klare Zuständigkeit sind notwendig

Dazu braucht es neben mehr finanziellen und personellen Ressourcen vor allem auch klare Zuständigkeiten. Laut dem Schaubild zur staatlichen Cybersicherheitsarchitektur in Deutschland, das die Stiftung Neue Verantwortung regelmäßig aktualisiert, sind allein auf Bundesebene 75 Stellen – darunter Ministerien, Gremien und staatliche Organisationen – dafür zuständig, Schaden von IT-Systemen fernzuhalten. Zu diesen kommen internationale Akteure, Akteure der UN, EU und Nato sowie zahlreiche Institutionen der Länder. Diese Fragmentierung bedeutet einen hohen Koordinierungsaufwand, der mit der Dynamik und Reichweite digitaler Angriffe nicht zusammenpasst. Etwas mehr Ordnung verspricht der Ausbau des BSI zu der Zentralstelle im Bund-Länder-Verhältnis, wie er in der Cybersicherheitsagenda angekündigt worden ist.

Indes ist die außen- und sicherheitspolitische Zeitenwende längst zu einer nach innen gerichteten Diskussion um steigende Energiepreise verkommen. Diese zweifelsohne nötige Diskussion darf nicht dazu führen, dass die Cybersicherheit – wieder einmal – vernachlässigt wird. Denn die Cybersicherheit zu vernachlässigen ist allzu einfach, weil sie ein Sichtbarkeitsproblem hat. Wenn sie da ist, fällt sie nicht auf. Wenn sie nicht da ist, tut es sehr, sehr weh.

Cyberangriffe sind sicherlich nicht gänzlich zu verhindern. Umso wichtiger ist es, dass IT-Systeme Angriffe gut auffangen können und sich von diesen schnell wieder erholen. Diese Cyberresilienz ist die Antwort auf alle digitalen Bedrohungen. Sie muss mit der Zeitenwende einhergehen. Sonst wird es schmerzhaft für alle.

Barbara Engels ist Senior Economist für nachhaltige Digitalisierung am Institut der deutschen Wirtschaft. Sie ist Mitautorin der Studie „Zeitenwende für die Verteidigungswirtschaft? Sicherheitspolitik und Verteidigungsfähigkeit nach der russischen Invasion der Ukraine“, die im August publiziert wurde.