Die Sicherheit des deutschen Internets ist ein Flickenteppich in orange, lila, gelb und blau. So zeigt es eine Karte der deutschen Cybersicherheitsinfrastruktur, die die Berliner Stiftung Neue Verantwortung (SNV) ständig aktualisiert. Auf fünf unterschiedlichen Farbebenen von lokalen Einrichtungen bis hin zu den Vereinten Nationen listet die Karte ein Organigramm von sage und schreibe 384 Institutionen auf. Sie alle sollen das digitale Deutschland verteidigen: Hackerangriffe verstehen, Systeme härten, Sicherheitslücken aufspüren und erforschen.
Nach den Anschlägen auf die Pipelines Nord Stream 1 und 2 hat auch die Frage nach der hiesigen IT-Sicherheit eine neue Priorität bekommen. Viele fragen sich aktuell bange, ob all die Akteure in diesem Bereich überhaupt einen sinnvollen Schutz bieten können. Wer sich mit Experten unterhält, hört unisono die Befürchtung, dass der nächste Angriff nicht mit TNT auf eine Tiefseepipeline stattfinden wird, sondern per Software.
Kollateralschäden jenseits des Kriegsgebiets
Wer die digitale Gefahrenlage in den vergangenen Jahren aufmerksam beobachtet hat, weiß um die Bedrohung von Exploits, Advanced Persistent Threats (APT) oder Wipern aus dem Internet. Und konnte ahnen, dass russische Hacker sie im Falle eines Krieges einsetzen würden: „Die Russen haben in der Ukraine schon mehrfach gezeigt, dass sie in der Lage sind, ein Stromnetz völlig lahmzulegen“, sagt etwa der Energiesicherheitsexperte Frank Umbach von der Universität Bonn.
Und nicht nur dort.
Einer der weltweit schwerwiegendsten Cyberangriffe der vergangenen Jahre, die NotPetya-Attacke 2017, war bereits gegen die Ukraine gerichtet. Und sie verursachte auch in Deutschland noch immense Schäden. Kollateralschäden. Wie in jedem Krieg. „Unternehmens-IT und Produktionssysteme werden immer stärker vernetzt“, warnt etwa Tim Berghoff, Cybersicherheitsspezialist beim IT-Sicherheitsdienstleister G Data. Damit wachse auch das Risiko, dass Hacker und Saboteuren nicht bloß Rechner verschlüsseln oder sensible Daten stehlen. „Wenn es ihnen gelingt, beispielsweise in die Steuerungssysteme von Chemiefabriken oder Energietransportleitungen einzugreifen, dann ist nicht mehr auszuschließen, dass Angreifer diese Anlagen manipulieren – bis hin zur Zerstörung der Infrastruktur.“
Noch seien solche Attacken auf die operationale Technologie aufwendig und selten, so der Sicherheitsspezialist. Aber gerade für staatliche oder staatlich unterstützte Akteure stelle das keine ernsthafte Hürde dar. „Fälle wie der Cyberangriff auf die amerikanische Colonial-Pipeline, die die Treibstoffversorgung an der US-Ostküste tagelang physisch lahmgelegt hat, sind auch in Deutschland jederzeit denkbar.“ Ein Beispiel sei etwa der Angriff auf den Hamburger Tankstellenversorger Oiltanking, der im Februar dieses Jahres deutschlandweit Tanklager lahmgelegt hat. „Die Saboteure müssen beispielsweise Energieversorger gar nicht direkt angreifen, es reicht, wenn sie einen Dienstleister erwischen.“
Warnung vom Verfassungsschutz
Auch der Verfassungsschutz warnt vor einer „anhaltend hohen Gefährdung“ durch russische Hacker und Nachrichtendienste. Cyberangriffe gehören zum Instrumentenkasten der russischen Nachrichtendienste, die in Deutschland „auf hohem Niveau“ aktiv sind, wie es beim Verfassungsschutz heißt. Zu den Zielen gehöre auch die kritische Infrastruktur, also all das, was für die Gesundheit, Sicherheit sowie das wirtschaftliche und soziale Leben einer Gesellschaft unabdingbar ist. Vom Kraftwerk bis zum Krankenhaus. Bisher gehe es bei den Angriffen „in der Regel“ um Informationsbeschaffung, also um Spionage – aber es gebe „auch die Bereitschaft zur Sabotage“. Ausgeführt werden die Angriffe sowohl vom Inlandsnachrichtendienst FSB, dem militärischen Auslandsnachrichtendienst GRU sowie dem zivilen Auslandsnachrichtendienst SWR, unterstützt von verschiedenen Hackergruppen.
Advanced Persistent Threat (APT) werden solche fortgeschrittenen andauernden Bedrohungen im Fachjargon genannt, die auf kritische IT-Infrastrukturen abzielen. APT 28, bekannt auch als „Fancy Bear“, heißt eine der bekanntesten russischen Angriffsgruppierungen, die nach Angaben des Verfassungsschutzes bereits seit mindestens 2004 weltweit aktiv ist, eben auch in Deutschland. So soll der Hackerangriff auf den Bundestag 2015 auf die Gruppe zurückgehen. Angesichts der verschärften Sanktionen geht der Verfassungsschutz sogar von einer „Intensivierung der Aktivitäten“ russischer Nachrichtendienste aus.
Eine zu späte Einsicht
Deutschland hätte sich also längst schützen können.
„Was wir in der Rückschau vernachlässigt haben, ist die Frage der Anfälligkeit dieser kritischen Infrastruktur“, betont Stefan Mair, Direktor der Stiftung Wissenschaft und Politik, im aktuellen WiWo-Podcast „Chefgespräch“ von Beat Balzli. Und der Experte für die außen- und sicherheitspolitischen Herausforderungen Deutschlands ergänzt: „Das führt dann zu der Frage: Wie schaffen wir es denn eigentlich, unter Wasser, Pipelines oder Kabel für die Telekommunikationsinfrastruktur wirksam zu schützen?“
Ist die deutsche Cyber-Abwehr ausreichend?
Auch nach Ansicht von Energiesicherheitsexperte Frank Umbach wird die Diskussion um die IT-Sicherheit kritischer Infrastrukturen in Deutschland noch viel zu selten und auch viel zu leise geführt. „Dabei ist allen klar, dass Russland in diesem Bereich einer der am besten aufgestellten Staaten der Welt ist.“
Was also tun, wenn eine russische Hackergruppe versucht, hierzulande den Strom abzudrehen?
Das Bundesamt für Sicherheit in der Informationssicherheit (BSI) verweist darauf, dass es die Betreiber kritischer Infrastrukturen, aber auch die Bundesverwaltung sowie Unternehmen wiederholt sensibilisiert, gezielt informiert und ruft weiterhin zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft auf.
Aber reicht das aus?
„Unsere Übersicht bedeutet keineswegs, dass in Deutschland alles dysfunktional abläuft“, betont SNV-Cybersicherheitsexperte Sven Herpig. Seine Karte, jener Flickenteppich in orange, lila, gelb und blau, zeige durchaus, dass es im deutschen Sicherheitsnetzwerk zentrale Akteure gibt, um den Schutz vor Angriffen zu organisieren.
Dazu gehören etwa das Nationale Cyberabwehrzentrum auf operativer Ebene oder der Nationale Cybersicherheitsrat für die strategischen Fragen. Um aber tatsächlich für Sicherheit sorgen zu können, müssen diese Akteure auch effektiv arbeiten können. „Das ist nicht der Fall“, betont Herpig, der für eine grundlegende Neuaufstellung der Institutionen eintritt. „Es fehlen unter anderem wichtige Informationspflichten, damit Zwischenfälle zuverlässig beim Abwehrzentrum zusammenlaufen können“, sagt er. Ein gemeinsames, zentrales Lagebild existiere in Deutschland nach wie vor nicht. Herpig attestiert: Stromkraftwerke, zentrale IT-Dienstleister oder auch Flughäfen seien zu anfällig für Angriffe aus dem Netz.
Streit ums richtige Gesetz
Konstantin von Notz, Vizefraktionschef der Grünen und Vorsitzender des Parlamentarischen Kontrollgremiums (PKGr), beklagt ebenfalls erhebliche Defizite. „Es steht um den Schutz unserer digitalen Infrastrukturen schlecht“, sagt er. Projekte wie ein „Kritis-Dachgesetz“ müssten angesichts der gestiegenen Bedrohungslagen politisch priorisiert umgesetzt werden. Das Innenministerium unter Ministerin Nancy Faeser (SPD) sei dafür federführend zuständig.
Etwas zuversichtlicher zeigt sich Norbert Pohlmann, Professor für Informationssicherheit an der Westfälischen Hochschule Gelsenkirchen und Geschäftsführer des Instituts für Internetsicherheit: Er attestiert den Betreibern kritischer Infrastrukturen in Deutschland „ein im europäischen Vergleich hohes IT-Sicherheitsniveau“. Grund dafür seien die hierzulande vergleichsweise rigiden rechtlichen Vorgaben. Neben den Auflagen etwa der Datenschutzgrundverordnung gelten für die Betreiber kritischer Infrastruktur zusätzliche Schutzvorgaben, etwa durch das IT-Sicherheitsgesetz, betont Pohlmann, zugleich Vorstand IT-Sicherheit beim Eco Verband der Internetwirtschaft. Mit diesem Regelwerk sei Deutschland im EU-Vergleich Vorbild für andere Länder. Zu diesen Auflagen, darauf verweist auch das BSI, gehört es etwa, IT-Schutzmaßnahmen nach dem Stand der Technik umzusetzen – und dies alle zwei Jahre gegenüber der Aufsichtsbehörde nachzuweisen.
Pohlmann verweist auf eine Untersuchung seines Instituts für das BSI zu Cyberattacken gegen die Betreiber kritischer Infrastruktur, wonach diese Unternehmen weniger häufig von erfolgreichen Hackerangriffen betroffen seien und zudem geringere Schäden verzeichneten. Umso fragwürdiger sei, dass diese Sicherheitsregularien nur für bestimmte Branchen gelten. „Eigentlich müssten die Vorgaben für alle Unternehmen in Deutschland gelten, dann wäre in Sachen Cybersicherheit hierzulande viel gewonnen“, fordert Pohlmann. „Dieser Schritt ist überfällig.“
Hoffen auf die Nato
In den Augen des Sicherheitsexperten Herpig bietet zum einen die Tatsache, dass eine Sabotageoperation mittlerweile als kriegerischer Akt angesehen wird und damit zum Nato-Bündnisfall führen kann, einen zusätzlichen Schutz. „Zum anderen dauert es, bis Russland sich überhaupt die nötigen Zugänge verschaffen kann, die es für so eine Operation braucht“, betont Herpig. Anders gesagt: Falls Putins Hacker nicht schon eingedrungen sind, bleibt es sicher. „Das ist auch eine Erkenntnis aus den letzten Monaten des russischen Kriegs in der Ukraine“, so Herpig. Dort haben IT-Attacken spürbar abgenommen.
Stefan Mair von der Stiftung Wissenschaft und Politik glaubt, dass es bei Russlands Präsident Wladimir Putin immer noch eine nüchterne Abwägung über die nächste Eskalationsstufe gibt. „Und ein Anschlag jetzt unmittelbar, sozusagen auf Talsperren oder Staudämme, hätte noch mal einen ganz anderen Charakter als auf eine Pipeline, die von Russen gebaut wurde, die von Russen betrieben wurde, die letztendlich auch für Russland ein wichtiger Faktor ist.“
Allerdings sind russische Hacker aus Sicht von Experten nicht einmal die größte Gefahr für Deutschlands digitale Infrastruktur. Vielmehr gilt in Sicherheitskreisen der Spruch: „Russia is a storm, China is a climate“. Experten fürchten, dass die chinesischen Dienste im Schatten des russischen Angriffskriegs auf die Ukraine ihre Aktivitäten auch in Deutschland weiter ausbauen.
Grünen-Vizefraktionschef von Notz spricht sich deshalb für eine Stärkung der Nachrichtendienste aus. „Ob Abhöreinrichtungen auf Botschaften, Angriffe auf den Bundestag oder Morde im Tiergarten - an Anlässen, die Spionageabwehr besser aufzustellen, hat es in den letzten Jahren schon nicht gemangelt. Passiert ist hier jedoch viel zu wenig“, betont von Notz. „Spätestens im Lichte der Entwicklungen der letzten Monate werden wir die Sabotageabwehr entschlossen neu aufstellen müssen“, erklärt von Notz: „Übrigens nicht nur in Richtung Russland, sondern beispielsweise genauso in Richtung China und anderer autoritärer Länder.“
Lesen Sie auch: Der Angriff auf die Pipelines Nord Stream 1 und 2 wirft die Frage auf, ob sich solche Gasleitungen vor Saboteuren schützen lassen. Vom Aktivsonar bis zum Spionageboot gibt es da tatsächlich vielversprechende Technologie. Aber: Wie realistisch ist ihr Einsatz?
