Berlin. Die Chefin der Cyberabwehrbehörde BSI erklärt, wie der Staat Cyberangriffe abwehren kann. Und sie warnt: Es braucht mehr Investitionen.
Der Verlust ist so groß, dass es einen fast wundert, wie wenig darüber gesprochen wird: 206 Milliarden Euro Schaden entstehen Firmen in Deutschland jedes Jahr durch Cyberkriminalität, Datendiebstahl, Industriespionage, Erpressung. Der deutsche Mittelstand bereite ihr dabei die größte Sorge, sagt Deutschlands oberste Cyberabwehr-Chefin, Claudia Plattner. Seit dem vergangenen Sommer leitet sie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Interview mit unserer Redaktion verrät sie, wie sich Firmen am besten schützen und wie viel Betriebe für IT-Sicherheit ausgeben sollten. Einen Hinweis für den Bundeskanzler hat Plattner auch noch.
Bundeskanzler Olaf Scholz hat unlängst angekündigt, dass er und andere Mitglieder der Bundesregierung auf dem sozialen Netzwerk Tiktok aktiv sein wollen. Haben Sie Bauchschmerzen bekommen, als Sie diese Nachricht gelesen haben?
Claudia Plattner: Erst mal nicht. Und doch gilt, dass wir als Sicherheitsbehörde den Datenschutz bei Tiktok kritisch sehen. Bei dem sozialen Netzwerk unterschreibe ich als Nutzer in den Allgemeinen Geschäftsbedingungen, dass der Standort meines Handys von der Firma geortet wird. Mir leuchtet nicht ein, warum eine Videoplattform immer genau wissen muss, wo ich unterwegs bin. Und bei Millionen Nutzerinnen und Nutzern in Deutschland macht mir das Sorgen. Am Ende muss das jeder für sich selbst entscheiden.
Lesen Sie auch: Putins Agenten greifen direkt in den Wahlkampf in Deutschland ein
Gerade erst wurde bekannt, dass Cyberakteure aus Russland ein Telefonat von ranghohen Bundeswehr-Offizieren abgehört und veröffentlicht haben. Sind die Deutschen zu fahrlässig bei der Kommunikation?
Dass Telefonleitungen zum Teil unsicher sind und es Methoden gibt, die Gespräche abzuhören, ist bekannt. Daher ist es wichtig, dass wir uns mit Vorsichtsmaßnahmen und auch mit Verschlüsselungstechnik schützen.
Die bekannte Hackergruppe APT29 wollte mit gefälschten Einladungen für einen Abend mit der CDU an Daten von mehreren Politikern kommen. Wie schätzen Sie die Bedrohung für Parteien und Parlament im Wahljahr 2024 ein?
Wir als BSI sehen schon seit einigen Jahren eine Zunahme der Cyberattacken gegen deutsche Institutionen. Wir nehmen das sehr ernst. Und wir müssen davon ausgehen, dass wir in diesem Jahr noch mehr Phishing-Kampagnen erleben. Brisant sind vor allem sogenannte „Hack and Leak“-Operationen. Das heißt, Cyberkriminelle infiltrieren Politiker, Parteien oder Parlamente und ziehen Daten ab. Das können kontroverse, heikle oder persönliche Daten von Amtsträgern sein, die dann gezielt veröffentlicht werden, um die gestohlenen Informationen in eigene Narrative einzubetten und so etwa Wahlen oder andere demokratische Verfahren in Deutschland zu manipulieren.
Wer sind die Täter?
Aus China erkennen wir Spionageangriffe, aber auch aus Nordkorea und Iran. Von Russland geht seit Jahren eine starke Bedrohung aus. Vor allem bei Schadsoftware, sogenannter Ransomware, sind mehrere große kriminelle Organisationen im Netz unterwegs. Da registrieren wir einen deutlichen und dauerhaften Anstieg der Angriffszahlen. Oftmals ist ihr Ziel, die Computertechnik von Unternehmen lahmzulegen und dann Lösegeld zu erpressen. Es geht den Tätern vor allem um Profit, da ist ein globales Geschäftsmodell mit einer eigenen kriminellen Infrastruktur gewachsen. Deutschland ist ein attraktives Ziel für Cyberkriminelle, weil es ein reiches Land ist. Zugleich machen viele Firmen und Privatpersonen es den Tätern zu leicht, schützen ihre IT nicht. Die Cyberkriminellen greifen oftmals von Servern aus dem Ausland an, dort, wo ihnen keine Strafverfolgung droht.
Ist Deutschland auch deshalb für Hackergruppen ein lukratives Ziel, weil wir zu wenig in Cybersicherheit investieren?
Die Antwort ist ganz eindeutig: ja. Aus unserer Sicht sollten Staaten und Unternehmen 20 Prozent ihrer IT-Ausgaben für die Cybersicherheit ausgeben – das würde der aktuellen Bedrohungslage entsprechen. Der Bitkom-Verband schätzt die Schäden von Cyberkriminalität 2023 allein in Deutschland auf 206 Milliarden Euro. Die Investitionen in IT-Sicherheit sind dagegen nicht dreistellig. Hier sehe ich Nachholbedarf. Zumal Unternehmen mit guter Cyberinfrastruktur auch einen Geschäftsvorteil erwerben, der für Kunden attraktiv ist. Das rechnet sich.
Wer investiert noch zu wenig?
Am meisten Sorgen bereitet uns der deutsche Mittelstand. Nicht nur Firmen, sondern auch Kommunen, Krankenhäuser, Universitäten. Diese Einrichtungen sind sehr oft Ziel von Cyberangriffen, und es mangelt an den nötigen Ressourcen für adäquate Schutzmaßnahmen.
Lesen Sie auch: Die Cyberkriminellen der Gruppe „Lockbit“: Das sind ihre gefährlichen Methoden
Mit Ihrem Plan der „Cybernation Deutschland“ wollen Sie mehr Sicherheit schaffen. Warum ist das nicht längst passiert?
Wir mussten erst einmal daran arbeiten, dass jeder in Deutschland versteht, wie wichtig der Schutz unserer kritischen Infrastruktur und unserer Daten ist. Nun fehlen uns die wirkungsvollen Wege, um flächendeckend diese IT-Sicherheit nach vorne zu bringen, eben auch in den vielen mittelständischen Unternehmen. Das kann das BSI nicht allein lösen. Wir bauen jetzt ein Netzwerk auf, in dem wir etwa einen Autozulieferer-Betrieb mit einer Firma für IT-Sicherheit zusammenbringen. Was ich damit sagen will: Cybersicherheit führt nicht allein über den Behördenweg. Es braucht dafür die private Wirtschaft.
Landratsämter, Schulen, teilweise sogar Kindertagesstätten setzen auf digitale Technik in der Verwaltung, pflegen eigene Webseiten. Ist die Lebenswelt der Deutschen abseits der politischen Schaltzentralen in Berlin gut gegen Cyberangriffe geschützt?
Genau diese Ziele, etwa Schulen oder Verwaltungen in Kommunen, sind attraktiv für Cyberkriminelle. Wer Landratsämter oder Kindertagesstätten lahmlegt, feiert einen Propagandaerfolg gegen Deutschland. Denn die Täter demonstrieren, dass der deutsche Staat sich nicht ausreichend schützen kann. Im Kampf gegen diese Angreifer ist das BSI auf die Landesregierungen und Kommunen angewiesen. Hier stellt uns unsere föderale Struktur vor Herausforderungen: Wir brauchen endlich ein gemeinsames Lagebild, müssen über gemeinsame Datenbanken untereinander Informationen austauschen können. Das verbietet uns derzeit das Grundgesetz. Wenn in Hamburg und München massenhaft der Strom ausfällt, ist nicht klar, wer in diesem Krisenfall die Führung übernimmt. Die aktuelle Gesetzeslage lässt diese Koordination nicht zu, und das kann ich im 21. Jahrhundert niemandem mehr schlüssig erklären.
Ein deutsches Dilemma, das seit Jahrzehnten niemand löst …
Grundsätzlich obliegt es den Kommunen selbst, Informationssicherheit zu gewährleisten. Die Länder und der Bund unterstützen bereits – etwa über zentrale, niedrigschwellige Angebote für Kommunen bei der Umsetzung von Informationssicherheitsmaßnahmen. Aber die rechtlichen und finanziellen Möglichkeiten sind hier begrenzt. Ein Weg zum besseren IT-Schutz für Kommunen, Kliniken und Kraftwerke könnte daher der Zusammenschluss mit anderen Gemeinden, Krankenhäusern und Energieversorgern in der Region sein. Auf diese Weise lassen sich Ressourcen bündeln und lässt sich Austausch organisieren. Diese Cyber-Cluster sind ein Hebel, bei dem wir auch als BSI helfen können.
Lesen Sie auch: Kryptowährungen – Die dunkle Seite des Bitcoin-Booms
Gehört zu einer Cybersicherheitsarchitektur in Deutschland auch die Fähigkeit, bei Hackerangriffen aus Russland oder China zum Gegenangriff überzugehen, also mithilfe eines „Hackbacks“ Cyberkriminelle und ihre Server im Ausland auszuschalten?
Das BSI kümmert sich nicht um die sogenannten „Hackbacks“. Das ist auch gar nicht unser Ziel. Wichtig ist, dass die Operationen der Cyberkriminellen gestört werden. Und dafür gibt es mehrere Wege. Ein Beispiel: Hacker infizieren Computer einer deutschen Firma mit einer Schadsoftware. Irgendwo auf der Welt steht ein Server, der die Software steuert. Wenn wir als BSI rechtzeitig diese Kommunikation zwischen dem infiltrierten Rechner und dem Hacker-Server identifizieren, können wir die Verbindung stören – und dafür sorgen, dass der Angriff ins Leere läuft. Das Fachwort dafür lautet „Sinkholing“: Wir leiten die gefährlichen Datenströme der Cyberkriminellen einfach in einen digitalen Mülleimer um. Dafür müssen wir nicht deren Server im Ausland angreifen.
Lesen Sie auch: Polizeistatistik: Warum sie oft falsch interpretiert wird