Dass Russlands Präsident Wladimir Putin den Westen mit Atomwaffen attackieren wird, halten Sicherheitsfachleute zwar für möglich, aber eher für unwahrscheinlich. Ziemlich sicher sind sie aber, dass der Kreml seine Cyber-Attacken ausweiten wird – und darauf ist Deutschland denkbar schlecht vorbereitet. Einige Gründe verwundern sehr.

Die deutsche Wirtschaft steht bereits seit Längerem im Fokus von Cyber-Angriffen. Wie das Magazin Bitcoin recherchierte, belaufen sich die dadurch entstehenden jährlichen Schäden auf 223 Milliarden Euro. Zum Vergleich: Das Bruttosozialprodukt Bayerns liegt bei rund 635 Milliarden Euro pro Jahr. Bei den Sicherheitsbehörden gilt es als ziemlich sicher, dass viele Hacker im Auftrag der russischen Regierung handeln oder zumindest mit ihr zusammenarbeiten. Dummerweise sind ihnen aber durch komplizierte rechtliche Regelungen oft die Hände gebunden, um dagegen aktiv zu werden.



Dirk Heidsiek, seit 30 Jahren beim Bayerischen Landesamt für Verfassungsschutz tätig, erklärt: „Um dagegen vorzugehen, brauchen wir einen staatlichen Akteur auf der anderen Seite.“ Im Klartext: Wenn nicht feststeht, dass hinter den Cyber-Attacken zum Beispiel die russischen Geheimdienste FSB oder GRU stecken – dann sind Gegenmaßnahmen schwierig.

Erfolgreicher Anschlag auf Stromversorgung möglich

Wie kaum ein anderes Nato-Land knebelt sich Deutschland im Kampf gegen den Krieg im Netz selbst. Grundsätzlich sei die Bundeswehr zwar in der Lage, auf einen Cyber-Angriff mit einem sogenannten Hackback – also einem digitalen Gegenschlag – zu antworten, sagt ein beim Zentrum für Cyber-Sicherheit der Bundeswehr beschäftigter Oberstleutnant. Aber der politische Wille fehlt. Vor allem Grüne und Linkspartei, aber auch Teile von SPD und FDP haben entsprechende Gesetzesänderungen im Bundestag bisher verhindert. Die Begründungen sind ein Gemisch aus Angst vor Eskalationen, datenschutzrechtlichen Bedenken und dem Prinzip des unzensierten Netzes.



Hinzu kommt ein völliges Durcheinander der für die Cyber-Sicherheit zuständigen Behörden in der Bundesrepublik. In den USA gibt es einen speziell dafür verantwortlichen zentralen Geheimdienst: die Cybersecurity and Infrastructure Security Agency (CISA), die beim Ministerium für Heimatschutz angesiedelt ist. Und diese besitzt nicht nur nachrichtendienstliche, sondern auch strafverfolgungsrechtliche Kompetenzen. „In Deutschland dagegen befassen sich mit diesem Thema mehr als 50 verschiedene Ämter – von der Bundes- über die Landes- bis zur kommunalen Ebene“, erläutert Ralph Kreter, Deutschland-Geschäftsführer der amerikanischen IT-Sicherheitsfirma Deep Instinct. Zwar gibt es das Bundesamt für Sicherheit in der Informationstechnik (BSI) – doch das darf nur beraten und besitzt keinerlei Weisungs- oder Handlungskompetenz. „Die deutschen Netz-Sicherheitsgesetze befinden sich auf dem Stand von vor 20 Jahren“, bemängelt Ralph Kreter.



Eine explizit zuständige Behörde nach dem Vorbild der CISA möchte der Ingolstädter Abgeordnete Reinhard Brandl (CSU), digitalpolitischer Sprecher der Unions-Bundestagsfraktion und Mitglied im Verteidigungsausschuss, trotzdem nicht gründen. Er setzt stattdessen auf eine stärkere Vernetzung der dafür bisher zuständigen Behörden – und darauf, dass die Kompetenzen für Cyber-Sicherheit zumindest beim Bund gebündelt werden. Wenn es beispielsweise bisher einen ausländischen Hacker-Angriff auf eine öffentliche Einrichtung gegeben hat – dann fiel das zunächst einmal in die Zuständigkeit der Kriminalpolizei des jeweiligen Bundeslands. „Eine entsprechende Grundgesetzänderung wurde bisher von den Grünen blockiert“, berichtet Brandl. Notwendig sei es auch, dass Firmen künftig verpflichtet sind, Behörden Hacker-Angriffe zu melden und nach staatlichen Vorgaben in entsprechende Schutzmaßnahmen zu investieren. Viele Unternehmen scheuen vor Publicity häufig zurück, um ihre Kundschaft und Aktionär*innen nicht zu verunsichern.

Viele Firmen sind gar nicht in der Lage, ihr Risikopotenzial zu erkennen

„Viele Firmen – vor allem in der Lebensmittelbranche – sind gar nicht in der Lage, ihr eigenes Risikopotenzial zu erkennen“, klagt Martin Braun, Geschäftsführer der Cyber Security Manufaktur aus Füssen. „Die wissen nicht um ihre Schwachstellen. Und selbst wenn die ITler notwendige Investitionen anmahnen – dann werden diese von der Geschäftsführung nicht selten aus Kostengründen blockiert“, schildert der Allgäuer seine Erfahrungen. Im Rahmen der Energiewende könnte das noch zum Problem werden, so Martin Braun: „Drei Viertel der deutschen Solaranlagen lassen sich total easy hacken; die verwendeten Passwörter sind teilweise ein Witz.“



Und es mangelt in ganz Deutschland – bei privaten Firmen wie Behörden – an Fachpersonal für den IT-Schutz. Eine Mitschuld sieht Martin Braun dafür auch bei den Industrie- und Handelskammern (IHK). „Die kennen bis heute nur zwei Ausbildungsberufe für den IT-Bereich wie schon in den 1990er-Jahren, keiner davon ist speziell auf Cyber-Sicherheit ausgerichtet. Außerdem dauert die Lehre stur weiterhin drei Jahre. Da mal die Ausbildung auf nur zwei oder 1,5 Jahre verkürzen, damit die Leute schneller auf den Arbeitsmarkt kommen – dafür fehlt bei der IHK leider noch immer Verständnis und Bereitschaft.“



Welchen massiven Schaden Cyber-Angriffe verursachen können, erfährt die Ukraine nicht erst seit dem russischen Einmarsch vom 24. Februar dieses Jahres, sondern bereits seit 2014. „Damals gelang es mutmaßlich russischen Akteuren, für mehrere Tage die Stromversorgung für rund 1,5 Millionen Menschen lahmzulegen“, berichtet Reinhard Brandl. Nach seinen Worten haben die feindlich gesinnten Hacker inzwischen Schadsoftware entwickelt, mit der man gezielt die IT von Flüssiggasanlagen attackieren kann. Der deutsche Ableger des globalen Web-Kollektivs Anonymous – das sich dem Schutz der Demokratie im Netz verschrieben hat – erregte kürzlich mit der Nachricht Aufsehen, man habe einen mehrere Terabytes Daten umfassenden Hacker-Angriff auf die Firma Bayernoil abgewehrt. Vom Unternehmen selbst gibt es dafür keine Bestätigung. Auch auf den Bundestag habe es 2015 einen größeren Cyber-Angriff gegeben, so der Abgeordnete.



Entsprechende Attacken auf die Münchner Stadtwerke zu verhindern: Das ist die Aufgabe von Jörg Ochs. Rund 50 Leute sind unter seiner Leitung mit dem IT-Schutz des kommunalen Eigenbetriebs befasst. Der Schutz der Infrastruktur der Landeshauptstadt gestaltet sich nach den Worten von Jörg Ochs ambivalent: „Beim Trinkwasser kann uns keiner hacken. Das kommt aus den Bergen über ein starkes Gefälle, wir brauchen also keine einzige Pumpe.“



Nicht wesentlich schlechter sehe es bei der Fernwärme aus, „da können wir das gesamte System notfalls auch von Hand und analog bedienen“. Die „große Schwachstelle“ aber bleibe die Stromversorgung. Dass grundsätzlich eines Tages in der 1,6 Millionen Menschen zählenden Stadt alle Lichter ausgehen und keine einzige S-, U- oder Trambahn mehr fährt – das, warnt Jörg Ochs, sei derzeit leider nicht auszuschließen.

(André Paul)