Ein großangelegter Cyberangriff könnte Deutschland ins Chaos stürzen. Was tut die Politik dagegen?
Ein großangelegter Cyberangriff könnte Deutschland ins Chaos stürzen. Was tut die Politik dagegen?
Dass die Digitalisierung nicht nur Segen bringt, musste zuletzt der Landkreis Anhalt-Bitterfeld erfahren, der Opfer eines Cyberangriffs wurde und bundesweit erstmals einen „Cyber-Katastrophenfall“ ausrief. Gleichzeitig warnte diese Woche ein Institut der Fraunhofer-Gesellschaft die Parteien vor Sicherheitsmängeln in ihren IT-Systemen und Risiken von Desinformationskampagnen zur diesjährigen Bundestagswahl.
Wie hoch die Cyberbedrohungslage hierzulande ist, bedarf keiner weiteren Beweise. Die pandemiebedingte Umstellung auf das Arbeiten von zu Hause hat die Angriffsfläche von Unternehmen und Behörden nochmals vergrößert. Die Zahlen sind erschreckend. Sie zeigen, dass sich Cyberkriminalität zu einer Parallelpandemie entwickelt hat und konventionelle Sicherheitsmechanismen immer weniger greifen. Zwischen 2019 und 2020 hat laut einer Sicherheitsstudie des amerikanischen IT-Sicherheitsunternehmens Deep Instinct allein die Anzahl der Ransomware-Attacken, eine Erpresser-Software, die auch dem Landkreis Anhalt-Bitterfeld zum Verhängnis wurde, um 435 Prozent zugenommen.
Eine Billion Dollar
Die jüngsten Vorfälle wie beim amerikanischen Pipelinebetreiber Colonial Pipeline oder der irischen Gesundheitsbehörde zeigen die schwerwiegenden Auswirkungen von Ransomware-Angriffen auf den Geschäftsbetrieb sowie die Stabilität kritischer Infrastrukturen. Experten schätzen die weltweit verursachten Schäden durch Cyberkriminalität inzwischen auf bis zu eine Billion US-Dollar pro Jahr. Das entspricht der Hälfte des Bruttoinlandsprodukts (BIP) von Italien. Neben den hohen wirtschaftlichen Schäden werden auch Gesellschaft und Demokratie zunehmend zu digitalen Opfern. Deutschlands Politik sei ein „attraktives Ziel“ für Desinformationskampagnen, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI). Während die Bundestagswahl noch analog mit Papierstimmzetteln durchgeführt wird und kaum direkte digitale Angriffsflächen bietet, sieht es beim Wahlkampf anders aus. Mit ausgefeilten Kampagnen können Hacker und Fälscher mit Desinformation, Diskreditierung von Politikern über soziale Medien und Angriffen auf IT-Infrastrukturen von Parteien und öffentlichen Einrichtungen die Wahlbeteiligung und Stimmungslage beeinflussen. Oftmals wird dabei an Russland mit seiner sogenannten „schwarzen Propaganda“ gedacht. Aber es müssen nicht immer fremde Mächte sein. 2016 bewies die Zusammenarbeit zwischen Facebook und der Trump-Kampagne im US-Wahlkampf, was möglich ist. Damals hat das inzwischen insolvente Skandalunternehmen Cambridge Analytica aus politischen Zwecken illegal auf die Daten von 60 Millionen Facebook-Nutzern zugegriffen und damit die Wahl von Trump sowie später im Vereinigten Königreich das Brexit-Votum beeinflusst.
Wie sehr soziale Medien in kurzer Zeit die Stimmungslage aufheizen, muss derzeit der CDU-Kanzlerkandidat Armin Laschet erfahren, der angesichts der schrecklichen Hochwasserkatastrophe im Westen Deutschlands einer hässlichen Hetzkampagne ausgesetzt ist. Soziale Medien wie Twitter und Facebook oder Messenger-Dienste wie Telegram tun nach wie vor zu wenig gegen Hass, Fake News und Diffamierungen im Netz. Zwar arbeiten laut Facebook heute rund 200 Experten unter anderem für Gefährdungsanalyse, IT-Sicherheit und Strafverfolgung daran, politischen Missbrauch und Hassbeiträge auf der Plattform frühzeitig zu erkennen und zu verhindern. Was sie allerdings gegenüber 3,4 Milliarden Nutzern und Millionen von Gruppen bei Facebook ausrichten können, ist fraglich. Es liegt an der Politik, ob sie die Internetriesen weiter mit Samthandschuhen anfasst oder fester an der Regulierungsschraube dreht.
Von Estland lernen
Spätestens seit der Corona-Krise sollte man gewarnt sein, dass die staatliche Krisen- und Katastrophenvorsorge trügerisch ist. Es fehlt vor allem an wichtigen Rückfallebenen. Allein in Deutschland gibt es fast 2000 Kritische Infrastrukturen, aber wenig Kapazitäten für einen digitalen Katastrophenschutz. Im Falle eines Cyberangriffs stehen diesen 15 Mitarbeiter eines Mobile Incident Response Team (MIRT) der Bonner Cybersicherheitsbehörde BSI gegenüber. Zum Vergleich: Estland setzt mit einer eigenen Cyber-Einheit in den estnischen Streitkräften mehrere hundert IT-Spezialisten als „Digital-Miliz“ zum Schutz der Kritischen Infrastrukturen des Landes ein. Bislang haben Cybersicherheit und der Schutz unserer digitalen Souveränität nicht die nötige Priorität in der Politik. Auf den Rat von IT-Experten wird in Legislative und Exekutive viel zu wenig gehört, auch weil es den politischen Entscheidungsträgern aufgrund ihrer persönlichen Biografie an einem grundlegenden Verständnis von komplexen Zusammenhängen in der digitalisierten Welt mangelt. Genauso komplex mutet die deutsche Cybersicherheitsarchitektur an. Mit über 50 Institutionen, Ressorts und Organisationen auf den Ebenen von Bund, Ländern und Kommunen obstruiert sie von vornherein eine wirkungsvolle Sicherheitsstrategie. Sie ist ein „Wimmelbild der Verantwortungsdiffusion“, wie es treffend Manuel Atug, der Sprecher der sich mit kritischen Infrastrukturen beschäftigenden AG Kritis, formulierte.
Verwundbarkeit verringern
Staat und Politik müssen neue Sicherheitsstrategien entwickeln, die nicht verwalten, sondern gestalten. Wenn größere Katastrophen verhindert werden sollen, muss eine neue Sicherheitskultur etabliert werden, in der Datenschutz und IT-Sicherheit „by design“ der Standard sind. Effektiver in der Cyberabwehr wird Deutschland, wenn Kompetenzen gebündelt werden und sich nicht im Klein-Klein des Föderalismus verlieren. In den USA ist nach den Terroranschlägen vom 11. September 2001 das Heimatschutzministerium gegründet worden, das 22 Behörden unter einem Dach vereinte. Nach diesem Vorbild braucht auch Deutschland eine schlagkräftigere Cyberabwehr sowie nach estnischem Vorbild einen digitalen Katastrophenschutz. Ein aus Ehrenamtlichen und Freiweilligen bestehendes Cyber-Hilfswerk (CHW), wie es von der AG Kritis gefordert wird und unbürokratisch eingesetzt werden kann, sollte schnell in die Praxis umgesetzt werden. Klar ist: Hundertprozentige Sicherheit kann man nicht erwarten, eine sinnvolle Sicherheitsvorsorge des Staates, die Resilienzkapazitäten und Rückfallebenen schafft, aber schon, um nach einem großen Cyberangriff wieder schnell auf die Beine zu kommen.