Seit Beginn des russischen Angriffskrieges auf die Ukraine ist etwas mehr als ein Jahr vergangen. Vor diesem Hintergrund hatte die SPD-Fraktion im hessischen Landtag erneut einen Berichtsantrag gestellt, um mehr über den Stand der IT-Sicherheit in hessischen Städten und Gemeinden zu erfahren. Das Ergebnis meiner Auswertung war ernüchternd. Lediglich 11 von 422 Städten und Gemeinden in Hessen haben sich in Bezug auf ihre IT-Sicherheit verbessert. Und schon vorher war die Ausgangslage dürftig.
Der Leak der Vulkan-Files zeigt erneut, wir müssen uns in Deutschland besser gegen Cyberangriffe, insbesondere aus Russland schützen. Neben der Frage nach dafür notwendigen Fähigkeiten, Fachkräfte, die sie anwenden sollen, stellen sich auch solche nach gesetzlichen Grundlagen und Zuständigkeiten. Im Ernstfall beginnen aktuell, sofern überhaupt verfügbar, CERTs nach einem Hack damit, Schaden lokal einzugrenzen und die weitere Ausweitung des Angriffs zu begrenzen. Doch spätestens dann beginnt die Bürokratie und es müssen Amtshilfeersuchen auf den Weg gebracht werden, anstatt umgehend weitere Maßnahmen einzuleiten.
Schon länger wird zudem neben der Frage, wer reagiert, auch gefragt, wie wird reagiert? Eine sinnvolle umfassende Reaktion erfordert auch eine Aktive Cyberabwehr. Bevor Missverständnisse entstehen, das meint keinen Hack-Back. Eher Abwehrmaßnahmen, wie das Umlenken von Datenströmen durch die Anpassung von Routing-Protokollen oder das Blockieren einzelner Netze und Netzknoten.
Wildwuchs, Behördendschungel und Zuständigkeitsdickicht
Klar ist, dass die meisten Attacken auf die IT-Infrastruktur aus dem Ausland kommen. Die Gefahr geht neben organisierten Kriminellen aber auch von fremden Mächten aus. Häufig ist der Übergang fließend. Aktuell betrifft dies allen voran von Russland und seinen staatsnahen Akteuren. Es macht vor diesem Hintergrund wenig Sinn, wenn die Reaktion auf diese Bedrohung darin bestehen soll, dass jedes Bundesland für sich versucht, die IT-Sicherheit für die öffentliche Verwaltung zu verbessern und eigene Einheiten zur Cyberabwehr aufzubauen. Genau das wurde vor der Sommerpause im Hessischen Landtag mit der Verabschiedung des Hessischen IT-Sicherheitsgesetzes (HITSiG) entschieden.
Hessen folgt damit Bayern, das mit dem Landesamt für Sicherheit in der Informationstechnik bereits eine eigene Behörde ins Leben gerufen hat. Es droht Wildwuchs, Behördendschungel und Zuständigkeitsdickicht. Außerdem stellt sich die Frage, wie bestehende Strukturen in die künftige deutsche staatliche Cybersicherheitsarchitektur eingebunden werden sollen. Das Wimmelbild der Stiftung neue Verantwortung mahnt uns eigentlich zur Komplexitätsreduktion.
Denn Bundesinnenministerin Nancy Faeser hat bereits angekündigt, das Grundgesetz ändern zu wollen und das Bundeskriminalamt (BKA) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu stärken, um mehr Sicherheit vor Cyberangriffen von feindlichen Staaten zu gewährleisten. Damit das BKA zur Gefahrenabwehr im Cyberraum aktiv werden kann, müsste aber zunächst das Grundgesetz ergänzt werden.
Wir haben gelernt
In Deutschland sind grundsätzlich die Länder für die Gefahrenabwehr zuständig. Vor fünfzehn Jahren wurde diese Kompetenz zuletzt angepasst und das BKA erhielt die Zuständigkeit für die „Abwehr von Gefahren durch den internationalen Terrorismus“. Wir haben aus dem 11. September gelernt. Gedauert hat es dann trotzdem rund 7 Jahre.
Werden wir auch aus dem 24. Februar lernen? Ein Blick in Grundgesetz-Kommentierungen lohnt. Neuere geben Hinweise darauf, dass hybride Formen der Kriegsführung wie Cyberangriffe, wenn deren Auswirkungen den Folgen von Angriffen mit herkömmlichen Waffen ähneln, durchaus als bewaffneter Angriff gewertet werden können. Beispiele wären ein Lahmlegen des Stromnetzes oder der öffentlichen Verwaltung (Dürig/Herzog/Scholz: Grundgesetz-Kommentar, Art. 115a Rn. 44), wie bereits in diversen Stadt- und Kreisverwaltungen geschehen.
Im vergangenen Sommer traf ein Ransomware-Angriff den hessischen IT-Dienstleister Count+Care. Davon betroffen waren unter anderem auch der Darmstädter Mutterkonzern und Energieversorger Entega. Obwohl lediglich die Kommunikation sowie Kundendaten betroffen war, die Stromversorgung selbst aber nicht, wird deutlich, wie schwer die Abgrenzung bei Fragen der Kritischen Infrastruktur ist. Auch hier die erste Frage: Amtshilfeersuchen? Wer ist zuständig? Klarer war der Fall, als vor zwei Jahren nach einer Ransomware-Attacke kein Treibstoff mehr durch die Colonial Pipeline in den USA floss.
Es bleibt genug zu tun
Wie schon im vorzeitenwendlichen Koalitionsvertrag vorgesehen, soll das BSI zur „Zentralstelle“ aufgewertet werden. Das ist notwendiger denn je. So wären die Länder zur Zusammenarbeit mit dem BSI verpflichtet und Amtshilfeersuchen überflüssig.
Aber auch für die Länder bleibt nach der Zeitenwende noch genug zu tun. Das Bayrische LSI oder das hessische Zentrum für IT-Sicherheit sollten sich primär darum kümmern, die Kommunen proaktiv zu beraten und bei der Sicherung ihrer IT-Systeme zu begleiten. Denn die Kommunen sind nun mal staatsorganisationsrechtlich Teil der Länder. Die Länder sollten sich daher zuerst auf die Verbesserung der Situation in Kommunen konzentrieren.
Wir müssen sicherstellen, dass den Kommunen bei konkreten Vorkommnissen schnell geholfen wird und ihnen genügend Mittel, Personal und Know-how zur Verfügung stehen, um Gefahrenlagen und Angriffe zu bewältigen.
Das BSI könnte dann die Koordinierung und den Informationsaustausch zwischen Bund und Ländern übernehmen und bei außergewöhnlichen Gefahren- und Schadenlagen die Länder bei der Gefahrenabwehr unterstützen. Auch gemeinsame IT-Sicherheitsstandards zu entwickeln, wäre eine Aufgabe, die am besten zentral koordiniert werden sollte. Das mahnte der Städtetag bereits in seiner Stellungnahme zum HitSiG an.
Auch eine Art bundesweiter IT-Sicherheits-Tüv für Hard- und Softwareprodukte beziehungsweise IT-Sicherheitsmaßnahmen wäre denkbar und könnte dann nach dem EfA-Prinzip beim BSI durchgeführt werden. Gerade bei besonders komplexen oder neuartigen Herausforderungen können sie auf die besondere Kompetenz einer Zentralstelle beim BSI oder anderer Länder zurückgreifen, ohne dass diese Unterstützung auf den Einzelfall beschränkt wäre.
Das hessische Zentrum beziehungsweise das Hitsig in seiner jetzigen Form hingegen gefährdet die Inanspruchnahme von Hilfe durch das BSI im Ernstfall. Darauf hat das BSI hat bereits in seiner Stellungnahme zum Hitsig verwiesen.
Eines jedenfalls ist klar, ineffiziente Doppelstrukturen können wir uns weder vor dem Hintergrund der akuten Bedrohungslage noch dem gravierenden Mangel an Fachkräften leisten. Daher sollten Bund und Länder an einem Strang ziehen und gemeinsam das Konzept für die Zentralstellenfunktion des BSI und eine entsprechende Grundgesetzänderung auf den Weg bringen.
Bijan Kaffenberger ist direkt gewählter Landtagsabgeordneter für den Wahlkreis Darmstadt II und Digitalpolitischer Sprecher der SPD-Fraktion im Hessischen Landtag