Bundesregierung beschließt Cyber-Sicherheitsstrategie

Das Bundeskabinett hat eine neue Initiative zum Schutz der Internetsicherheit beschlossen, mit dem unter anderem ein Zentrum zur Abwehr digitaler Angriffe auf Behörden, Unternehmen und Bürger aufgebaut werden soll.

In Pocket speichern vorlesen Druckansicht 96 Kommentare lesen
Lesezeit: 5 Min.

Das Bundeskabinett hat am heutigen Mittwoch eine Cyber-Sicherheitsstrategie (PDF-Datei) beschlossen, mit der unter anderem ein Zentrum zur Abwehr digitaler Angriffe auf Behörden, Unternehmen und Bürger aufgebaut werden soll. "Wenn das Internet ausfällt, wird es kritisch für das Land", erklärte Bundesinnenminister Thomas de Maizière zur Vorstellung des öffentlichen Teil des Papiers in Berlin. Das Netz müsse "verfügbar, frei und sicher sein". Derzeit ereigne sich alle zwei Sekunden ein Angriff auf das Internet, einmal wöchentlich verlaufe eine Cyber-Attacke auf eine Bundesbehörde erfolgreich.

Bundesinnenminister Thomas de Maizière bei der Vorstellung der Pläne.

(Bild: Stefan Krempl)

Das neue Cyber-Abwehrzentrum soll dem CDU-Politiker zufolge beim Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgehängt werden. Direkt eingebunden sind die Bundesämter für Verfassungsschutz und Katastrophenschutz mit jeweils zwei Mitarbeitern, während das BSI sechs Stellen einbringt. Die Institution sollen vor allem, "Informationen zusammentragen", führte de Maizière aus. Wenn ein Angriff auf das Regierungsnetz oder eine Wirtschaftseinrichtung passiere, könne er "alle anderen auch betreffen, besonders beim Nutzen gleicher Betriebssysteme". Es sei daher wichtig zu wissen, "welche technische Konfiguration dahintersteckt".

Die konkrete technische Abwehr von Attacken soll dem Minister zufolge unabhängig vom Angreifer stattfinden. Dafür sei das BSI zuständig. Die Zerstörung von Servern, von denen Attacken ausgehen, gehöre nicht zum Aufgabenspektrum des Zentrums. Es sei klar vereinbart worden, dass die Zuständigkeiten der einzelnen Ressorts und somit auch des Bundesverteidigungsministeriums gewahrt blieben. Es bleibe bei einer "strikten Trennung" zwischen innerer und äußerer Sicherheit. Bei der Analyse und Rückverfolgung von Angriffen sei dann zu prüfen, erläuterte de Maizière, "ob das dem Verfassungsschutz bekannt vorkommt" oder Unternehmen bereits ähnliche Informationen gemacht hätten. Dafür brauche es "auch technische Fähigkeiten, aber noch keine Verteidigungslinie".

"Strukturell Pate gestanden hat das Gemeinsame Terrorabwehrzentrum", berichtete der Minister weiter. BSI-Präsident Michael Hange charakterisierte das geplante Cyber-Pendant in diesem Sinne als "Informationsdrehscheibe". Es sollten in diesem Rahmen auch "Verwundbarkeiten analysiert und Täterbilder erstellt" werden. Dabei könnten "anlassbezogen" weitere Stellen wie das Bundeskriminalamt, die Bundespolizei, die Bundeswehr, der Bundesnachrichtendienst und "Aufsichtsstellen für kritische Infrastrukturen" hinzugezogen werden.

Die Erkenntnisse werden laut Hange einem "Cybersicherheitsrat" vorgelegt, der seine Arbeit bereits am 1. April aufnehmen soll. Dessen Leitung liegt in den Händen der IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe. Hauptsächlich vertreten sein werden das Kanzleramt als Koordinationsstelle, das Verteidigungsministerium, das Forschungs- und das Wirtschaftsministerium. Rogall-Grothe selbst umschrieb Cybersicherheit mit der Aufgabe, "die Risiken des Internets auf ein tragbares Maß zu begrenzen". Bürger und Wirtschaft bräuchten das Netz "wie die Luft zum Atmen". Dies führe aber auch zur Abhängigkeit von "funktionierenden Infrastrukturen".

Hartmut Isselhorst vom BSI erklärte die Notwendigkeit der neuen Strategie damit, dass derzeit pro Sekunde zwei neue Schadprogramme entstünden und pro Minute zwei Identitäten gestohlen würden. Allein im deutschen Regierungsnetz seien pro Tag rund vier bis fünf gezielte Angriffe mit Trojaner-E-Mails zu verzeichnen. Pro Monat zähle man rund 30.000 Zugriffsversuche auf schädliche Webseiten aus dem eigenen Bereich. "Das wird in der Wirtschaft nicht anders sein", schätzte Isselhorst. Generell müsse man nicht erst seit Stuxnet von hochqualifizierten Angreifern mit vielen Ressourcen und einer "kreativen Nutzung" verschiedenster Attackenformen ausgehen, während zugleich Standard-Sicherheitsmaßnahmen an Wirksamkeit verlören. Parallel ergebe sich ein "steigendes Schadenspotenzial durch Angriffe auf kritische Infrastrukturen".

Bundeswirtschaftsminister Rainer Brüderle schätzte den bereits entstehenden Schaden durch Cyberangriffe allein für die deutsche Wirtschaft bei einer hohen "Dunkelzone" auf einen "zweistelligen Milliardenbetrag". Bei gefährlichen Viren sei die Ansteckungsgefahr in der Berliner U-Bahn inzwischen geringer als im Cyberraum, betonte der FDP-Politiker. Ende März werde er den Startschuss für eine "Task-Force IT-Sicherheit in der Wirtschaft" geben, die Teil der Gesamtstrategie sei. De Maizière ergänzte, dass die Erträge von Cybercrime inzwischen "größer sind als die der Drogenkriminalität". Er rief nach einem "präzisen und kundigen Ansprechpartner aus der Wirtschaft" für die Meldung von Netzangriffen. Auch die Provider und Hersteller seien "mehr in die Verantwortung zu nehmen". Sie müssten Angebote etwa durch die Vorinstallation einer Firewall als "Sicherheitsgurt" so gestalten, "dass sie bereits im Kern sicher sind".

Die Pläne de Maizières für das Cyber-Abwehrzentrum waren zunächst beim Koalitionspartner FDP auf Kritik gestoßen. Eine "Vermischung polizeilicher und nachrichtendienstlicher Tätigkeiten" komme nicht in Frage, betonte die innenpolitische Sprecherin der FDP-Bundestagsfraktion Gisela Piltz. Die Institution dürfe erst eingerichtet werden, wenn die "Auswirkungen solcher Zentren auf das Trennungsgebot" von Polizei und Geheimdiensten geklärt seien. Zudem dürften Belange innerer und äußerer Sicherheit nicht vermischt werden. Der Innenminister erklärte dazu, dass die Bedenken durch den Zuschnitt des Abwehrzentrums "ausgeräumt wurden".

Dem BSI gab der Gesetzgeber bereits Mitte 2009 mehr Mittel an die Hand, um Angriffe auf die IT-Infrastruktur des Bundes abzuwehren. Um Schadprogramme besser aufspüren zu können, darf die Bonner Behörde etwa alle "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen unbegrenzt speichern und automatisiert auswerten, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen. 2005 beschloss die Bundesregierung zudem einen "Nationalen Plan zum Schutz der kritischen Infrastrukturen", dem diverse Umsetzungsvorgaben folgten. (anw)