+

© dpa

Um die IT-Sicherheit hierzulande ist es schlecht bestellt, berichtet BSI-Präsidentin Claudia Plattner. Das liegt auch an politischen Interessen des Innenministeriums.

Berlin – Als „Cyber-Nation“ soll Deutschland sich verstehen. Das forderte Claudia Plattner, die Chefin des Bundesamts für Sicherheit in der Informationstechnik (BSI), als sie am Donnerstagmorgen den Lagebericht zur IT-Sicherheit in Deutschland vorstellte. Die Sicherheit digitaler Infrastrukturen gehöre endlich auf die Agenda der Chefetagen in Politik, Verwaltung und Wirtschaft, um die aktuell „besorgniserregende“ Lage der digitalen Sicherheit in Deutschland substanziell zu verbessern.

Man wüsste nur zu gerne, was Bürger:innen oder Beschäftigte der 70 nordrhein-westfälischen Kommunen dazu zu sagen hätten, deren Verwaltungen seit einige Tagen wegen eines Angriffs auf einen IT-Dienstleister komplett abgemeldet sind. Mehr als ein müdes Lächeln dürften sie nicht übrig haben für die Ambitionen der Behördenleiterin und von Innenministerin Nancy Faeser (SPD), die nicht müde wurden zu betonen, dass Deutschland in Sachen IT-Sicherheit jetzt endlich mal in die Gänge kommen müsse, um widerstandsfähiger gegen Angriffe zu werden.

BSI-Lagebericht zu IT-Sicherheit zeichnet düsteres Bild

Der BSI-Lagebericht zeichnet – wie auch schon in den letzten Jahren – ein düsteres Bild. Mehr Angriffe, mehr Schadsoftware, mehr Schwachstellen. Die Entwicklung lasse sich nicht bloß dadurch erklären, dass man mit steigendem Bewusstsein genauer hinschaue. Kriege, die geopolitische Weltlage, aber auch technologischer Fortschritt und neue Geschäftsmodelle von professionellen Internet-Kriminellen erschweren die Arbeit für digitale Sicherheit in Wirtschaft und Politik.

Der Bericht zeige, dass es vor allem kriminelle Gruppen seien, die Schwachstellen in digitaler Infrastruktur ausnutzten und zum Beispiel Daten ausläsen, verschlüsselten und für die Entschlüsselung Lösegeld forderten, so Faeser bei der Vorstellung des Berichts in Berlin.

BSI-Lagebericht: Internetkriminelle werden immer professioneller

Immer vielfältiger werde auch das Angebot von Profis, die gegen Geld Straftaten im Internet ausführten. Wer eine Einrichtung oder eine Privatperson hacken will, braucht also nicht einmal selbst die technischen Fähigkeiten dafür, sondern kann den Angriff bequem online bestellen. Auch Spionage mittels digitaler Schwachstellen und die Sabotage von kritischen Infrastrukturen wie Energienetzen oder Krankenhäusern nähmen immer weiter zu, fügt BSI-Chefin Plattner hinzu.

Die Schäden, die durch diese Art der Kriminalität entstehen, belaufen sich dem Digitalbranchenverband Bitkom zufolge jährlich auf 206 Milliarden Euro – allein in Deutschland. Plattner rechnet vor, dass diese Schadenssumme in ihrer Höhe 40 Prozent des Bundeshaushalts entspricht. Es ist wohl ein Seitenhieb auf die Innenministerin, die über das Budget des BSI maßgeblich mitentscheiden kann. Mitte September hatte Plattner im Digitalausschuss des Bundestags gewarnt, dass ihre Behörde 2024 eigentlich 38 Millionen Euro mehr als aktuell budgetiert benötigen würde, um ihren Aufgaben angemessen nachzukommen.

BSI soll größere Rolle für Deutschlands IT-Sicherheit zukommen

Zumal dem BSI in Zukunft eine noch größere Rolle zukommen soll als bisher schon. Zwei Gesetze zu IT-Sicherheitsvorgaben erarbeitet die Bundesregierung derzeit. Künftig werden für eine größere Zahl von Unternehmen strengere Vorgaben in Sachen IT-Sicherheit gelten. Obwohl die Neuregelung dringend nötig ist, warnen Fachleute für die Umsetzung vor komplizierten Verfahren, undurchsichtigen Regelwerken und chaotischen Zuständigkeiten – das bedeutet viel Arbeit für das BSI.

Faeser plant außerdem, die Behörde zu einer „Zentralstelle“ auszubauen, die in IT-Sicherheitsfragen zwischen Bund und Ländern vermitteln kann. Bislang darf das BSI die Länder nur mit Amtshilfe unterstützen. „Diese Zusammenarbeit müssen wir hinbekommen“, bekräftigt Plattner. Es sei den Menschen nicht zu vermitteln, dass das BSI sich bei der Suche nach Schwachstellen auf die Bundesverwaltung beschränke und seine technischen Fähigkeiten nicht auch in anderen Bereichen zur Verfügung stelle.

Koalitionsvertrag verspricht mehr politische Unabhängigkeit für das BSI

Derweil sind aber nicht alle Länder begeistert von den steigenden Kompetenzen des BSI. Das liegt teilweise an eigenen Strukturen, die zumindest größere Länder schon für die IT-Sicherheit aufgebaut haben. Aber auch die fehlende Unabhängigkeit des BSI vom Innenministerium stört viele. Die Ampel-Koalition hatte in ihrem Koalitionsvertrag eigentlich Fortschritte angekündigt, passiert ist bislang aber wenig.

Das könnte auch daran liegen, dass sich Innenministerium und BSI in der Frage des Schwachstellenmanagements nicht einig sind – ein weiteres netzpolitisches Projekt aus dem Koalitionsvertrag, bei dem es keine Fortschritte gibt. Plattner als Fachfrau für IT-Sicherheit plädiert dafür, jede Sicherheitslücke sofort zu schließen, sobald sie entdeckt werde. Nur so könne verhindert werden, dass Kriminelle die Lücke ausnutzten, um sich widerrechtlich Zugang zu IT-Systemen zu verschaffen. Faeser betont hingegen: „Es gibt Bereiche, die hochsensibel sind, für die es Ausnahmen braucht, auch für Sicherheitsbehörden“.

Politische Entscheidungen für die IT-Sicherheit stehen aus: Auch Wirtschaft in der Verantwortung

Denn Sicherheitsbehörden in Deutschland und vielen anderen Staaten horten Schwachstellen, die sie entdecken, um sie selbst auszunutzen, um in Computer und Handys von Verdächtigen einzudringen. Das Risiko, dass Kriminelle derweil auf dieselben Lücken stoßen und sie für Angriffe ausnutzen, nimmt man dabei in Kauf.

Auch wenn Plattner bei der IT-Sicherheit explizit auch die Wirtschaft in der Verantwortung sieht, wirksame Maßnahmen umzusetzen, stehen so auch auf politischer Ebene zentrale Entscheidungen noch aus. (Jana Ballweber)