Je vernetzter unsere Gesellschaft, je technologieorientierter und digitaler, desto größere Angriffsflächen bietet sie für cyberkriminelle Aktivitäten. Die Sensibilität für mögliche Gefahren ist nicht erst seit dem 24. Februar gewachsen, aber gerade in der aktuellen Situation gilt das Augenmerk mehr denn je kritischen Infrastrukturen (KRITIS), also etwa den Energie- und Telekommunikationsnetzen, der Wasserversorgung, dem Transport, der medizinischen Versorgung dem Lebensmittelhandel oder den Medien. Angesichts der Zunahme bekanntwerdender Cyberangriffe und einer insgesamt sich verschärfenden Bedrohungslage stellt sich auch in Deutschland die Frage, ob für das Funktionieren von Staat und Gesellschaft existenzielle Infrastrukturen ausreichend geschützt sind. Anlass für das Wirtschaftsforum der SPD, das Thema mit Expertinnen und Experten aus Politik und Sicherheitsforschung am 11. Oktober im Telefónica Basecamp, Berlin, zu diskutieren.
Die aktuelle Bedrohungslage nannte Prof. Dr. Ines Zenke, Präsidentin des SPD-Wirtschaftsforums, als „sehr hoch“. Angriffe auf die Cybersicherheit seien mittlerweile Alltag in Deutschland. Sie zitierte dabei Zahlen aus dem aktuellen Bundeslagebild, demzufolge sich die Kosten durch Schäden im Vergleich zu 2019 verdoppelt haben. Neben den erheblichen Kosten für Staat und Unternehmen seien aber gerade auch die Auswirkungen cyberkrimineller Aktivitäten auf Leib und Leben einerseits und auf Lieferketten andererseits zu betrachten. „Was passiert eigentlich, wenn eine Gasinfrastruktur nicht mehr zuverlässig ist?“, fragte Zenke und gab selbst die Antwort: „Dramatische Entwicklungen bei den Preisen sind die Folge.“ Cyberangriffe seien längst Teil einer international organisierten Kriminalität, die auch als Auftragnehmer agierten: “crime-as-service”.
Aus der Perspektive einer Kommune, die selbst Ziel eins Cyberangriffes wurde, berichtete Sabine Griebsch, Chief Digital Officer des Landkreises Anhalt-Bitterfeld. Aus dem Ransomware-Angriff auf den Landkreis im Sommer 2021 habe man in der konkreten technischen Umsetzung und mit Blick auf neue Sicherheitsrichtlinien gelernt, die jetzt restriktiver betrachtet würden. „Wir haben Vertrauen in die Digitalisierung, wissen aber auch um die Gefahren der Prozesse“, so Griebsch. Das Digitalbudget der kommenden Jahre würde nun auf Cybersicherheit und den Wiederaufbau der Infrastruktur verwendet, auch sei weiteres Personal für Datensicherheit eingestellt worden, aber wie so viele Arbeitgeber stünde auch der Landkreis vor den Herausforderungen des Fachkräftemangels. Hier gelte es, Kooperationsmöglichkeiten mit benachbarten Landkreisen, etwa beim OZG, zu finden.
Für Johann Saathoff, Parlamentarischer Staatssekretär im Bundesministerium des Innern und für Heimat, sei bei der vergangenen Bundestagswahl nicht absehbar gewesen, dass man sich nun in einem dauerhaften Krisenstatus befinde. Er kündigte an, dass das Ministerium der KRITIS ein Gesetz widmen werde. Auch werde das Bundesamt für die Sicherheit in der Informationstechnik (BSI) gestärkt. Mit Blick auf die Digitalstrategie der Bundesregierung und das Onlinezugangsgesetz (OZG bzw. OZG 2.0) stellte Saathoff die Schaffung weiterer Zugänge in Aussicht und nannte auch die sogenannten „Booster“-Dienste, also besonders relevante Verwaltungsdienstleistungen für die Bürgerinnen und Bürger. „Ziel ist es, gemeinsam Verwaltungsdienstleistungen zu organisieren und zu digitalisieren“, so der Staatssekretär.
Dass Staat und Behörden sowie Unternehmen beim Thema Resilienz noch nicht da seien, wo sie sein sollten, warf dagegen Peter-Michael Kessow ein, Geschäftsführer beim German Competence Center against Cyber Crime e.V – G4C. „Die Frage ist: Wie arbeitet man konkret mit BKA und BSI zusammen?“ Es koste viel Zeit und Kraft, um diese Resilienz zu erreichen, so Kessow. Gerade die mittelständische Wirtschaft müsse für das Problem sensibilisiert werden. Auch wenn es Unternehmer gebe, die sich mit dem Thema Cybersicherheit beschäftigten, hätten sich zu viele noch keine Gedanken über die potenzielle Bedrohung gemacht. Natürlich spielten gerade beim Mittelstand auch finanzielle Aspekte bei Vorbeugung und Cyberabwehr eine Rolle. Kessow sagte aber auch: „Es gibt heutzutage genügend Möglichkeiten, Angriffslagen zu minimieren.“
Die Leiterin der Abteilung Cybersecurity Analytics and Defences (CAD) am Fraunhofer-Institut für Sichere Informationstechnologie SIT, Prof. Dr. Haya Shulmann, nannte viele Infrastrukturen von Produkten in Deutschland veraltet und bezog sich insbesondere auf Betriebssysteme und Programme. Das mache den Schutz dieser Infrastrukturen schwieriger. Zudem könne man bei kritischen Infrastrukturen Prozesse zum Schutz nicht schnell evaluieren und umsetzen. „Bereits jetzt sehen wir uns Cyberangriffen von ausländischen staatlichen Behörden ausgesetzt“, sagte Shulmann. Trotzdem lautete ihr Urteil, dass Deutschland vergleichsweise gut abgesichert sei.
Die Diskussion moderierte Heinz Kreuter, Mitglied des Erweiterten Präsidiums des SPD-Wirtschaftsforums.