Kolumne : Zur Lage der Cybernation

Folgt man den jährlichen Aufstellungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und denen des Bundeskriminalamtes (BKA), steigt die Bedrohungslage jedes Jahr weiter oder stagniert auf einem sehr hohen Niveau. Die Bedrohungslage beschreibt, kurz gefasst, wer welche und wie viele Ziele zu kompromittieren versucht, mit welchen Ressourcen dies geschieht und wie es um den aktuellen Stand der Software- und Hardware-Sicherheit bestellt ist.

Um unseren Fortschritt auf dem Weg zur Cybernation beurteilen zu können, ist die konkrete Gefährdungslage relevanter als die abstrakte Bedrohungslage. Die Gefährdungslage umfasst neben der Bedrohung auch die konkrete Verwundbarkeit der IT-Systeme eines Landes – von Behörden, Wirtschaft und Gesellschaft. Sie ergibt sich aus Aspekten wie beispielsweise ungepatchten Schwachstellen in weit verbreiteter Soft- und Hardware, Absicherung von Kritischen Infrastrukturen oder Patch-Verhalten der Bevölkerung. Daraus ergibt sich, dass die Gefährdungslage sinken würde, wenn IT-Systeme hierzulande sicherer und resilienter gemacht würden – selbst wenn die Bedrohungslage steigt.

Vorfälle entstehen dort, wo die Bedrohungslage, beispielsweise ein motivierter böswilliger Akteur mit guten Ressourcen, auf die Gefährdungslage, beispielsweise ungepatchte kritische Schwachstellen in der Firmen-IT-Infrastruktur, trifft. Neben der Anzahl ist das Ausmaß von IT-Sicherheitsvorfällen – das durch Resilienzmaßnahmen begrenzt werden kann – ein guter Indikator, um zu messen, wie es um die „Cybernation Deutschland” bei der Cybersicherheit bestellt ist.

Die blinden Männer und der Elefant

Beim Cybersicherheits-Lagebild in Deutschland ist es in etwa so wie bei der Parabel „Die blinden Männer und der Elefant”. Darin fassen mehrere sehbeeinträchtigte Menschen denselben Elefanten an unterschiedlichen Stellen an und kommen zu unterschiedlichen Auffassungen darüber, was sie da eigentlich berühren – eine Schlange? Oder einen Baumstamm? Auf die Cybersicherheit bezogen heißt das: Unser Lagebild ist fragmentiert. Oder, um es mit den Worten der BSI-Präsidentin zu sagen: „Wir haben nicht das eine Lagebild, das gesamtstaatliche Informationen bündelt.“

In Deutschland gibt es neben den Lageberichten von BSI und BKA einen entsprechenden Abschnitt im jährlichen Bericht des Bundesamtes für Verfassungsschutz (BfV). Zusätzlich wird der Föderalismus auch bei der Cybersicherheit hochgehalten, weshalb es bereits die ersten Länderberichte zu Cybersicherheit gibt, zum Beispiel aus Bayern. Bei den staatlichen Lagebildern handelt es sich meist um eine Verbindung von Bedrohungs- und Gefährdungslage mit eher anekdotischer Vorfallsübersicht. Zusätzlich gibt es bei Behörden wie der Bundeswehr, dem Militärischen Abschirmdienst und dem Bundesnachrichtendienst weitere nicht-öffentliche, interne Lageinformationen, die teilweise in diese Lagebilder einfließen.

Zu diesen starren und teils bedrohungsspezifischen Lagebildern (Kriminalität, Spionage und andere) gesellen sich private Vorfallssammlungen, unter anderem über Kommunen, Kritische Infrastrukturen (via X-Feed) und über Hochschulen. Hinzu kommen institutionelle Vorfallssammlungen, wie das mit deutschen Steuergeldern co-finanzierte European Repository of Cyber Incidents, sowie eine Kaskade von Analysen zu einzelnen Operationen oder Kampagnen durch IT-Sicherheitsunternehmen. Gerade die privaten Initiativen sind natürlich löblich. Sie ändern jedoch nichts an der Tatsache, dass wir für IT-Sicherheitsvorfälle eine umfassende Lagedarstellung anstelle der hier umrissenen Fragmentierung brauchen. Unter anderem auch, weil die Datensammlungen unterschiedliche Erkenntnisse über Bedrohungen (Threat Intelligence) besitzen und offenbar abweichende Kriterien nutzen.

Warum es ein gemeinsames Lagebild braucht

Ein Cybersicherheits-Lagebild ist kein Selbstzweck. Doch auch die BSI-Präsidentin beantwortet in ihrer an sich unterstützenswerten Forderung nach einem gemeinsamen Lagebild die Frage nach dem Sinn nicht wirklich. Jedes der genannten Teil-Cybersicherheits-Lagebilder erfüllt sicherlich den spezifischen Zweck der Behörde oder Organisation, die es zusammenträgt – der allerdings oft vor allem darin besteht, die eigenen Forderungen zu unterstreichen: „Alles ist ganz böse da draußen, wir brauchen mehr Stellen und mehr Budget.“ Aus genau diesem Grund stützen sich unterschiedliche Lagebilder auch auf unterschiedliche Indikatoren. Gerne gewählt werden Portscans und Schadsoftwarevarianten, weil sich hier sehr große Zahlen präsentieren lassen. Man erinnere sich nur an den ehemaligen Präsidenten des BSI, der gerne von „eintausend Millionen Schadprogrammen/-softwarevarianten“ sprach.

Ein gemeinsames Cybersicherheits-Lagebild wäre eine solidere Basis für die legislativen und strategischen Bemühungen der Bundesregierung, Deutschland sicherer zu machen. Natürlich lassen sich auch Gesetze verabschieden und Strategien veröffentlichen, ohne die genaue Lage zu kennen und zu analysieren. Doch der Nutzen solcher Aktivitäten ist zumindest fraglich. Weiterhin hilft ein gemeinsames Lagebild dabei, nuancierte Diskurse über den aktuellen Zustand der Cybersicherheit zu führen und zu prüfen, welche Projekte Priorität genießen sollten. Bei diesen Punkten hilft ein gemeinsames Lagebild, das neben hochwertigen Einzelfällen auch Übersichten zu Trends, Betroffenheit und weiteren Indikatoren abbildet. Ein Beispiel: Wenn – und so wäre mein Bauchgefühl – ein Großteil der Vorfälle und des Schadens in Deutschland auf bekannte Schwachstellen in ungepatchten Systemen zurückzuführen wäre, sollte der Schwerpunkt der Bemühungen dort liegen. Und nicht beispielsweise auf Projekten, die mit Künstlicher Intelligenz versuchen, unbekannte Schwachstellen zu finden.

Da wir gerne auf die Vereinigten Staaten schauen: Dort hat die Solarium Commission ebenfalls das Fehlen eines gemeinsamen Cybersicherheits-Lagebilds bemängelt. Als Reaktion soll nun das Bureau of Cyber Statistics geschaffen werden. Es soll zusätzlich zu den Daten, die bereits für Kritische Infrastrukturen gewonnen werden, weitere Informationen einholen. Hier sollen entsprechende Daten gesammelt werden, um das Cyberrisiko des Landes besser beurteilen zu können – unter anderem als Basis für Haushaltsverhandlungen im Kongress. Datentypen sollen unter anderem sein, welche Sektoren im Lauf der Zeit das höchste Risiko haben, ob erfolgreiche Kompromittierungen mit den eingesetzten Ressourcen der Opfer korrelieren und welche Maßnahmen am effektivsten zur Cybersicherheit beitragen.

Natürlich gibt es noch weitere Gründe, die für ein gemeinsames Cybersicherheits-Lagebild sprechen. Doch schon die hier vorgebrachten Argumente könnten als Grundlage dazu dienen, dass sich das höchste, behördenübergreifende strategische Gremium für Cybersicherheit, der Nationale Cybersicherheitsrat (NCSR), sich des Themas annimmt.

Meldepflicht und Datenaustausch als Grundlagen?

Die Zusammenführung des fragmentierten Lagebilds setzt das Handeln der gesamten Regierung voraus – einen „Whole-of-government“-Ansatz –, bestehend zumindest aus den Ressorts Inneres, Äußeres und Verteidigung. Aber dazu bräuchte es eine erweiterte Meldepflicht sowie einen verpflichtenden Austausch der Vorfallsdaten durch die Sicherheitsbehörden – und natürlich eine federführende Instanz.

Meldepflichten bei IT-Sicherheitsvorfällen gibt es für einen Teil der Betreiber Kritischer Infrastrukturen. Dieser Kreis wird durch das Umsetzungsgesetz zur EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union und die EU-Richtlinie über die Resilienz kritischer Einrichtungen noch erweitert werden. Gleichzeitig sollte jedoch geprüft werden, ob eine zusätzliche Ausweitung der Meldepflicht nötig wäre, um ein möglichst akkurates Lagebild zu bekommen.

Denn die wenigsten melden freiwillig Ausnahmen für Kleinstunternehmen, die es dabei genauso geben wird wie niedrigschwellige Meldemöglichkeiten mit großzügigeren Fristen für Unternehmen, die keine kritischen Dienstleistungen erbringen. Je detaillierter die Meldungen sind – wenn sie zum Beispiel die Dauer des Ausfalls oder erfolgreiche Mitigations- und Resilienzmaßnahmen enthalten –, desto wertvoller sind sie, um später daraus strategische Handlungsempfehlungen abzuleiten.

Um die Gefährdungslage besser beurteilen zu können, kann man auch über Befugnisse zum automatischen Scannen von aus dem Internet erreichbaren Systemen diskutieren, zum Beispiel durch das BSI. In Japan wurden beispielsweise 2018 rechtliche Befugnisse geschaffen, damit von behördlicher Seite alle Internet-der-Dinge-Geräte gescannt und auf schwache Credentials geprüft werden dürfen.

All diese Meldungen müssen an einem zentralen Ort zusammenlaufen. Anbieten würden sich dafür das BSI sowie das Nationale Cyberabwehrzentrum (Cyber-AZ). In beiden Fällen bedarf es wahrscheinlich rechtlichen Anpassungsbedarfs, was etwa die Datenübermittlung von Ländern an das BSI oder die gemeinsame Datenhaltung beim Cyber-AZ anbelangt. Es handelt sich hierbei aber nicht um unüberwindbare Hindernisse. Beides wäre Teil der ohnehin bereits stattfindenden Diskussion zur Reform der Cybersicherheitsarchitektur.

In einem ersten Schritt müssten sich daher die Zuständigen auf der strategischen Ebene, gerne im NCSR, zusammensetzen, um, um zu definieren, wozu wir ein umfassendes Cybersicherheits-Lagebild brauchen und nutzen wollen. In einem zweiten Schritt muss dann zusammen mit Sicherheitsbehörden und anderen Organisationen diskutiert werden, welche Informationen von wem und in welcher Detailtiefe benötigt werden. Daraus ergibt sich dann die Handlungsempfehlung für die Politik im Bereich der Rechtssetzung sowie das Verständnis der betroffenen Akteure, warum eine Mitwirkung hier notwendig ist.

Ein gesamtstaatliches Lagebild – packen wir's an

Im vergangenen Jahrzehnt wurden in Deutschland etliche neue Akteure geschaffen, Strategien und Policies verabschiedet, Befugnisse der Sicherheitsbehörden immer mehr erweitert und eine vierstellige Anzahl von Planstellen für Behörden geschaffen, um die Cybersicherheit in Deutschland zu verbessern. Aber ist uns das gelungen? Wir wissen nur, dass die Bedrohungslage so hoch wie nie zuvor und die Gefährdungslage ähnlich kritisch ist.

Um einzuschätzen, ob unsere Maßnahmen wirklich zweckdienlich sind, braucht es eine empirische Grundlage. Vorhaben wie die Schaffung einer „Cybernation“ müssen konkrete Indikatoren benennen, aus denen hervorgeht, welche Ziele erreicht werden sollen, auf welche Art und in welchem Zeitraum. Ein gesamtstaatliches Lagebild zur Gefährdungslage im Cyberraum wäre ein erster Schritt in diese Richtung. Um es mit den Worten der BSI-Präsidentin zu sagen: „Machen hilft!“.

Sven Herpig ist Leiter für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung.

In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Herpig erschienen: Warum das Bundesinnenministerium den Begriff „Hackback“ umdefiniert