Der Angriff Russlands auf die Ukraine stellt manch langgehegte Überzeugung in Frage und deckt Versäumnisse der Vergangenheit auf. So wird die in Fachkreisen schon lange skeptisch diskutierte Frage, ob unsere kritischen Infrastrukturen ausreichend gegen staatlich unterstützte Angreifer geschützt sind, zu einer Thematik, die die breite Bevölkerung betrifft und keine hypothetische Diskussion mehr ist.
Durch das IT-Sicherheitsgesetz 1.0 und 2.0 ist hier schon einiges in die richtige Richtung gelenkt worden, wir sollten aber so ehrlich sein, dass das Niveau hier immer noch eher einem Grundschutz denn einer Hochsicherheitszone gleicht. Dies reicht für viele dieser Infrastrukturen auch aus, für manche sollte uns dies aber als Gesellschaft eben auch nicht ausreichen. Mit Skepsis betrachte ich daher Bestrebungen auf europäischer Ebene im Rahmen der Novellierung der NIS-Richtlinie, die den Grundschutz-Ansatz weitertreibt, in dem immer weiteren Unternehmen auferlegt wird, für eine solche Basissicherheit zu sorgen. Ein solcher Schutz ist natürlich begrüßenswert, der Staat sollte aber meiner Meinung nach viel mehr ein Augenmerk darauf legen, die kritischsten Infrastrukturen zu echten Hochsicherheitsbereichen zu entwickeln.
Staatliche Verantwortung zusätzlich zu Anforderungen an Betreiber
Und auch mich „erwischt“ es, dass ich bestimmte Überzeugungen und Glaubenssätze über Bord werfen muss. Bis vor wenigen Tagen war ich der festen Meinung, dass wenn der Gewinn bei der Erbringung von daseinsvorsorgenden Diensten privatisiert wird, auch die Aufgaben zu dieser Erbringung nur von dieser privaten Hand erbracht werden können. Darum unterstützte und unterstütze ich alles, was im IT-Sicherheitsgesetz 1.0 und 2.0 an Anforderungen an die Betreiber gestellt wird und sehe auch durchaus noch Luft nach oben, diese Anforderungen weiter zu erhöhen. Wir müssen aber auch so ehrlich sein, dass dies dennoch bestenfalls einen Schutz vor Unfällen, normalen Hackern und Cyberkriminellen bieten kann. Wenn wir das Szenario offener staatlicher Cyberangriffe betrachten, ist auch z.B. ein vermeintlicher „Energieriese“ doch nur ein „Cyberzwerg“. Die Asymmetrie zwischen Angreifer und Verteidiger ist immens.
Ein Schutz vor Gefahren einer solchen Qualität ist dann aber auch keine Aufgabe, die der Staat einfach als Vorgabe an die Betreiber weiterleiten kann. Hier ist er auch zur Unterstützung der finanziellen und ressourcentechnischen Anforderungen gefordert. Aus diesem Blickwinkel wird es spannend, wie das Thema „Cyber Security“, das Olaf Scholz in seiner Ankündigung des 100 Milliarden-Sondervermögens explizit erwähnt hat, hier konkret behandelt wird. Aus meiner Sicht sollten wir hier den Schwerpunkt nicht auf die Schaffung offensiver Kompetenzen bei der Bundeswehr legen, sondern Gelder zur Verfügung stellen, die gezielt Investitionen zum optimalen Schutz der hochkritischen Infrastrukturen fördern oder anders Anreize in diese Richtung schafft.
Es ist ganz natürlich, dass die einzelnen Betreiber derzeit dafür sorgen, dass die Anforderungen gerade so bewältigt werden, genau das nötige Mindestmaß betrieben wird. Und dies kann man auch niemandem vorwerfen, denn dies ist nun einmal die Rolle und Aufgabe eines Unternehmens in einer sozialen Marktwirtschaft. Wenn ich mich aber als Gesellschaft halbwegs sicher fühlen will und auch nicht erpressbar werden mag, dann kann mir dieser Ansatz bei den hochkritischen Infrastrukturen nicht ausreichen, dann muss hier noch einmal ein Mehr an Sicherheit her und zwar über die Kosten-Nutzen-Betrachtung des einzelnen Unternehmens hinaus. Bei der Energie-Versorgungssicherheit agiert die Bundesnetzagentur seit Jahren so, dass Investitionen in die Sicherheit direkt oder indirekt gefördert und belohnt werden.
In den Kompetenzaufbau der Gesellschaft investieren
Mir ist bewusst, dass auch unser Staat nicht unbegrenzt Mittel zur Verfügung stellen kann und mir ist auch bewusst, dass die Liste der Begehrlichkeiten dieser ja so unverhofft gekommenen Geldspritze für die Bundeswehr groß und meist auch wohlbegründet ist. Beim Thema Cybersecurity hoffe ich dennoch, dass Gelder auch beim BSI landen – und zwar nicht nur für die direkte Unterstützung der Bundeswehr, sondern genau auch für den Schutz der größtenteils privatwirtschaftlich betriebenen Schlagadern unserer Gesellschaft.
Und ebenso im Zweifelsfall auch direkt für Investitionen in die maximal mögliche Sicherheit dieser Strukturen. Wir haben nun alle leidvoll festgestellt, dass man eine funktionierende Armee in diesen unruhiger werdenden Zeiten braucht und man nicht nur die Friedensdividende genießen und konsumieren kann. Aber den Schutz unserer Infrastruktur kann nicht nur die Bundeswehr und das BSI übernehmen. Für die nicht hochkritischen Infrastrukturen und die Gesamtgesellschaft bedarf es dringend eines Kompetenzaufbaus in der Gesellschaft. Hier ist der zuvor teilweise kritisierte Ansatz des Basisschutzes in der Breite komplett richtig, wird aber bisher eher durch Symbolpolitik und Absichtserklärungen umgesetzt.
Wir wissen, wie lange es dauert, ein Kampfflugzeug zu beschaffen. Ähnlich viel Atem braucht man zur Sensibilisierung der Bevölkerung und erst recht zur Deckung des Bedarfs an Fachkräften. Eine bessere Verteidigung der vital wichtigen Strukturen unserer Gesellschaft ist deutlich schneller möglich – vor allem, wenn man es wie oben skizziert auch als gesellschaftliche Aufgabe annimmt. Beide Handlungsstränge sind wichtig und sollten umgehend angegangen werden.
So ein bisschen gilt hier dann auch das alte Bonmot über die Schweiz: „Die Schweiz hat keine Armee, die Schweiz ist eine Armee“ – ein ausreichendes Maß an Resilienz erhalten wir nicht durch offensive Kompetenzen, sondern durch das richtige Maß an Fähigkeiten auf allen Ebenen, von Basiskompetenz in der Breite bis zu maximaler Sicherheit an Schlüsselfunktionen. Hier ist jeder Euro gut investiert
Timo Kob ist Vorstand der HiSolutions AG, die er vor 30 Jahren gründete. Er besitzt eine Professur für Cybersecurity und Wirtschaftsschutz an der FH Campus Wien, leitet die Bundesarbeitsgruppe des Wirtschaftsrates der CDU und ist Mitglied im Hauptvorstand des Bitkom.
