Perspektive : Operative IT-Sicherheit stärken statt Strategiepapiere stapeln

Ein Sprichwort besagt: „Die Definition von Wahnsinn ist, immer wieder das Gleiche zu tun und andere Ergebnisse zu erwarten.“ Könnte es sein, dass die deutsche Cybersicherheitspolitik dem beunruhigend nahekommt?

Was tut die Politik in den vergangenen 15 oder 20 Jahren? Sie reguliert, gründet neue Behörden, veröffentlicht Strategien, schafft Planstellen und pumpt Geld in den Apparat. Auf Linkedin könnten sich dann staatliche Vertreter euphorisch feiern, als hätten sie gerade ein Wundermittel für mehr Cybersicherheit entdeckt. Die Realität sieht anders aus.

Wohlwollend ließe sich argumentieren: Unsere IT-Systeme und Infrastrukturen werden tatsächlich technisch sicherer. Aber die Bedrohungen eskalieren in einem Tempo, dem unsere Schutzmaßnahmen kaum folgen können. Die Lagebilder der Sicherheitsbehörden bestätigen dies. Sie sind kaum mehr als düstere Bestandsaufnahmen – ein einziges „Alles wird schlimmer“-Narrativ, das kaum Ansatzpunkte für eine operative Verbesserung liefert, während die Politik weiter in alten Mustern verharrt. Das Ergebnis bleibt daher: Deutschland wird digitaler – und zugleich verletzlicher.

Politik hat das Ziel aus den Augen verloren

Natürlich ist es utopisch zu glauben, dass man das grundlegende Problem ein für allemal „lösen“ könnte. Und es ist nicht so, dass nichts versucht wurde. Um das Problem anzugehen, wurden Behörden gegründet, Projekte gefördert und Stellen ausgeschrieben. Doch dabei hat man offenbar das wirkliche Ziel aus den Augen verloren: die operative IT-Sicherheit.

Schonungslos dokumentiert hat dies der Prüfbericht des Bundesrechnungshofes zur „Resilienz der staatlichen Kernfunktionen und ihrer kritischen Infrastruktur“. Darin heißt es unter anderem, dass Rechenzentren von Bundesbehörden oft weder über Betriebsredundanz verfügen noch funktionierende und getestete Back-up-Prozesse haben. Oder verkürzt: „Die IT des Bundes ist nicht auf die aktuellen Bedrohungen vorbereitet.“ Ein Armutszeugnis für die operative IT-Sicherheit, das die Diskrepanz zwischen politischem Anspruch und realer Umsetzung aufzeigt.

Während also unklar ist, ob die für den Spannungs- und Verteidigungsfall relevanten Rechenzentren überhaupt Back-ups erfolgreich einspielen können, wird schon über einen „Cyber Dome“ diskutiert. Statt nachhaltig Talente für operative IT-Sicherheit aufzubauen, werden ein paar Professuren finanziert – Prestige über Substanz. AG Kritis-Sprecher Manuel Atug bringt es auf den Punkt: Wir brauchen keinen „Glitzer-Hype-KI“, wir brauchen „Menschen mit Hirn“. Menschen, die Firewalls konfigurieren, Back-ups testen und Load-Balancer einstellen können.

Strategien werden zu oft nur beschlossen, nicht umgesetzt

Und während bei neuen Digitalisierungsprojekten wie der elektronischen Patientenakte oder künftigen Telekommunikationsstandards Sicherheit bewusst zugunsten staatlicher Datenzugriffe geopfert wird, vernachlässigen wir die operative Resilienz weiter. Das sorgt für eine gefährliche Lücke zwischen der offiziellen Rhetorik und dem, was in der Praxis tatsächlich umgesetzt wird – eine Lücke, die Kriminelle und feindliche Staaten nur allzu bereitwillig ausnutzen.

Nicht weniger beunruhigend ist der Blick auf die strategische Ebene. Gesetzgebung kann oft schneller beschlossen als umgesetzt werden. Die Cybersicherheitsarchitektur gleicht in ihrer Übersichtlichkeit dem Retro-Arcade-Game „Space Invaders“. Bestehende Strategien bleiben zu großen Teilen Papier, während der „Cybe Dome“ schon als Prestigeprojekt gefeiert wird.

Oder um es noch einmal mit den Worten des Bundesrechnungshofs zu sagen: „Die Bundesregierung steuert die Cybersicherheit bisher nicht ausreichend. Ihrer Cybersicherheitsstrategie lag keine Analyse der Defizite zugrunde. Die strategischen Ziele hat sie nicht priorisiert. Die Cybersicherheitsarchitektur zeichnet sich durch einen Dschungel von Institutionen und Zuständigkeiten aus.“

Budget bleibt endlich

Bis zum Bericht des Bundesrechnungshofs konnte der wirkliche Zustand der Cybersicherheit oft durch teure Projekte kaschiert werden. Selbst wenn das Sondervermögen der Bundesregierung auch für die IT-Sicherheit eingesetzt werden kann und das Bundesamt für Sicherheit in der Informationstechnik einen „Rekordhaushalt“ bekommt, ist das Budget endlich. In den aktuellen Verhandlungen um die Umsetzung der NIS-2-Richtlinie will die Bundesregierung viele wichtige Bundesbehörden von den notwendigen IT-Sicherheitsmaßnahmen ausnehmen. Warum? Weil es der Haushalt nicht hergibt. Und ehrlich gesagt: Genügend Fachkräfte, um die entsprechenden IT-Sicherheitsmaßnahmen umzusetzen, gibt es in Deutschland derzeit auch nicht.

Vor dem Hintergrund der durch den Bundesrechnungshof gezogenen Bilanz und der unzureichenden Ressourcen braucht es einen Kurswechsel in der deutschen Cybersicherheitspolitik. Ideen, was geschehen müsste, damit wir effektiver und effizienter werden, liegen auf dem Tisch. Für den Innen-, Außen-, Digital- und Verteidigungsausschuss des Bundestages wurden in den letzten Legislaturperioden zahlreiche Anhörungen mit Sachverständigen organisiert. Doch ihre Empfehlungen sind allzu oft ungehört verhallt. So oft, dass sich manche ernsthaft fragen, welchen Sinn solche Anhörungen in der jetzigen Form noch haben.

Wir müssen die strategische Ausrichtung überdenken

Die Sommerpause endet – und die neue Bundesregierung muss nun zeigen, dass sie über Mut und Kreativität verfügt, die strategische Ausrichtung unserer Sicherheits- und Verteidigungspolitik im Cyberraum grundlegend zu überdenken. Ohne einen solchen Kurswechsel droht der endgültige Verlust im Wettlauf gegen die Bedrohungen.

Sven Herpig ist Lead Cybersecurity Policy and Resilience bei Interface.

In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Herpig erschienen: Bewährungsprobe fürs Digitalministerium: Von unsicherer Digitalisierung zu sicheren KI-Anwendungen