Cybersicherheitgipfel: Fast alle wollen zusammenarbeiten – zu ihren Bedingungen
Zum ersten Mal kamen Vertreter aus Politik, Wirtschaft und Sicherheitsexperten auf Einladung des Nationalen Cybersicherheitsrats der Bundesregierung zusammen.
Zum ersten "Berliner Cybersicherheitsgipfel" des Nationalen Cybersicherheitsrats der Bundesregierung (NCSR) kamen am Dienstag etwa 200 Teilnehmer zusammen. Dabei zeigte sich erneut, wie schwer die Zusammenarbeit der unterschiedlichen Beteiligten umzusetzen ist.
"Wir haben eine bedrohliche Cybersicherheitslage", erläuterte NSCR-Vorsitzender Markus Richter, der auch Staatssekretär im Bundesministerium des Innern ist. Wie im Koalitionsvertrag vorgesehen wolle das Ministerium dafür sorgen, dass das BSI als Zentralstelle für IT-Sicherheitsvorfälle eine wichtige Funktion erfüllt. "Es ist sehr wichtig, dass wir das im Grundgesetz einmal klarstellen", forderte Richter mit Blick auf Kritik aus einzelnen Bundesländern, die dem Vorhaben skeptisch gegenüberstehen.
Die niedersächsische Landesinnenministerin Daniela Behrens (SPD) unterstützt das Vorhaben. Niedersachsen sei dafür, das BSI zu einer Zentralstelle auszubauen, um gute, institutionalisierte Kooperation zwischen Bundes- und Länderbehörden zu erreichen. Niemand dürfe im Schadensfall lange darüber nachdenken, wer welche Kompetenz hat, meinte Bundes-CIO Richter. An der "Schwelle zur Cloud" sei entscheidend, dass der Bund Kompetenz für Infrastruktursicherheit habe. Rudimentäre Vorgaben, die nicht berücksichtigt seien, wie Patches, wären oft das Einfallstor.
"Wichtig ist, dass es passiert, nicht, wer was macht"
BSI-Präsidentin Claudia Plattner ergänzte, es liege an den Beteiligten, eingespielte Prozesse statt Kompetenzgerangel zu IT-Sicherheitsvorfällen zu haben. Entscheidend sei dabei, dass notwendige Maßnahmen ergriffen würden – nicht, wer welche Aufgabe wahrnehme. Die Finanzlage für das Haushaltsjahr 2024 sei dabei angespannt – und "Investitionen in den Maschinenraum" seien nicht so sexy wie akute Probleme, betonte Richter. Er unterstrich die Bedeutung von Schnittstellen, die der Harmonisierung des Europäischen Rechts in der IT-Sicherheit dienen.
Im Anwendungsbereich der überarbeiteten EU-Netzwerk- und Informationssicherheitsrichtlinie (NIS2) rechnet das BMI mit fast 30.000 verpflichteten Stellen – zehnmal so viel wie bisher. Es brauche daher auch technische Tools statt Bürokratie, um den Überblick zu behalten und sich nicht selbst lahmzulegen. Das gelte insbesondere für das BSI, das die Unternehmen und öffentlichen Stellen, die unter die NIS2 fallen, beaufsichtigen soll.
Plattner skizziert "Cybernation"-Konzept
Die BSI-Präsidentin betonte, dass Regulierung und Behörden allein die Problematik nicht lösen könnten: "Wir sind eine Behörde, 1500 Leute, 200 offene Stellen, die wir jetzt ganz schnell besetzen, und wir können nur Impulsgeber sein." Die gesamte Gesellschaft sei gefragt, an der "Cybernation" mitzuwirken, einem Zielbild, das sie im Oktober erstmals erwähnte.
Das Thema Cybersicherheit sei noch nicht flächendeckend angekommen, sagte Plattner. Die Resilienz müsse erhöht, ein viel höherer Automatisierungslösungsgrad erreicht werden. Es brauche ein gesamtes Ökosystem, in dem Lösungen entwickelt würden – daraus könnten sich auch Märkte entwickeln. Denn funktionierende Standards und Zertifizierungen würden auch mit Partnern zusammen Relevanz entfalten, insbesondere mit internationalen politischen Partnern mit ähnlichen Interessen. Platter sieht darin einen möglichen Wettbewerbsvorteil. Insbesondere für Zertifizierungen und Standards müsse ein europäischer Rahmen her – etwa über die europäische Netzwerk- und Informationsbehörde ENISA, in die Plattner starke Hoffnungen setzt.
BDI fĂĽr Regulierung und Kooperation
"Cybersecurity ist kein Thema ausschließlich für digitale Nerds", meinte der Präsident des Bundesverbands der Deutschen Industrie (BDI) Siegfried Russwurm. Er kenne keinen Aufsichtsrat in Deutschland, der sich nicht mit dem Thema IT-Sicherheit beschäftige. Das habe auch ungewöhnliche Rückwirkungen, beispielsweise wenn es um die Frage von mehr oder weniger Regulierung gehe: Der Cyber Resilience Act (CRA), der womöglich übermorgen in Brüssel beschlossen wird, und mit dem unter anderem für Internet-of-Things-Geräte genauere Cybersicherheitsvorgaben gemacht werden sollen, gehe auf einen Wunsch der Industrie zurück.
Wünsche nach mehr Kooperation wurden bei der Konferenz intensiv diskutiert. Dag Baehr, Vizepräsident des Bundesnachrichtendienstes, schüttete allerdings etwas Wasser in den Wein. "Die staatlichen Akteure, die wir beobachten, überwiegend Spione, sind etwa 20 Prozent von dem, was wir beobachten", sagte Baehr. Die Grenze zwischen staatlichen und nichtstaatlichen Akteuren verschwimme allerdings stark; die wesentlichen Attacken kämen "über Proxies". Schwierig würde es zudem, wenn staatliche Akteure privaten Gruppen einen "sicheren Hafen" anbieten. Hauptherkunftsländer der Angriffe, soweit attribuierbar, seien Russland, China, Nordkorea und der Iran.
Ihm fehle derzeit noch das Vorstellungsvermögen, wie das international umsetzbar, was im nationalen Bereich schon problematisch sei, sagte Baehr. Das derzeitige BND-Gesetz, erst vor zwei Wochen von der Ampel reformiert, sei im Kern ein Datenschutzgesetz – etwa wenn es um IP-Adressen gehe. Das sei ein Hindernis für die Arbeit des Nachrichtendienstes.
Ein anderes Hindernis sei das Wesen von Nachrichtendiensten, möglichst nichts über ihre eigenen Fähigkeiten preisgeben zu wollen. Werde der Angreifer als Maus in einem schwarzen Raum betrachtet, schickten sechs Nachrichtendienste sechs schwarze Katzen hinein, um hinterher abstreiten zu können, dass es ihre Katze gewesen sei, versuchte Baehr den Teilnehmern des Kongresses die Denkweise der Nachrichtendienstler näherzubringen.
Auswärtiges Amt und NATO hoffen auf engere Kooperation
John Reyels, Leiter des Koordinierungsstabs für Cyberaußen- und Cybersicherheitspolitik im Auswärtigen Amt, betonte, ein sicherer Cyberraum sei nur möglich, wenn auch andere Staaten daran mitwirkten. Das werde auf mehreren Ebenen versucht, etwa mit internationalen Normen über die UNO. Dort allerdings sei das nicht immer einfach, wenn etwa Nordkorea mit im Raum sitze. Doch mit vielen anderen Staaten sei die Kooperation gut.
Es gehe zudem um ganz praktische Hilfe, wie im Fall der Ukraine, wenn Satellitenkapazitäten bereitgestellt würden oder bei der IT-Sicherheit. Hilfe für die Ukraine sei auch in Fragen der IT-Logistik wichtig, die einfach wirkten: "Welches Unternehmen liefert denn überhaupt noch Hardware direkt in die Ukraine?" Deutschland bringe sich aktiv in viele der derzeit wichtigen Stränge ein. Über Kernbereiche der Cybersicherheit könne man allerdings nur im ganz kleinen Kreis der Partner sprechen – "dazu gehören noch nicht einmal alle NATO-Staaten."
Lesen Sie auch
IT-Sicherheit in Malawi ist auch Kampf gegen Häftlinge
Für die NATO war deren Branch Head Cyber Defence Patrick Jungkunz vor Ort in der Landesvertretung Niedersachsens. Er beschrieb, wo die NATO derzeit einen Schwerpunkt lege: "Die NATO schützt ihre Netze und Infrastrukturen selbst. Allerdings ist sie auch abhängig von Infrastrukturen, die nicht bei der NATO liegen." In der Regel sind das private Dienstleister in den Mitgliedstaaten. Die seien für potenzielle Angreifer interessante Ziele, da sie zum Beispiel für die Verlegefähigkeit von Truppen und Material zentral seien. Hier würde die NATO gerne enger mit den Betreibern zusammenarbeiten; vielen sei gar nicht wirklich bewusst, dass sie "missionsrelevant" sind.
Zwischen Beil und Byte soll möglichst wenig Unterschied gemacht werden
Wie groß die Herausforderungen einer besseren Abstimmung unter den Akteuren in der IT-Sicherheit bleiben, wurde während der Veranstaltung klarer. Insbesondere Fragen rund um die Umsetzung der NIS2-Richtlinie und des Kritis-Dachgesetzes zum physischen Schutz Kritischer Infrastrukturen führten zu Wünschen der Wirtschaft an die Politik: "Ob jemand mit dem Beil ins Glasfaser reinhackt oder mit dem Virus die IT lahmlegt, in der Kritikalität ist das kein Unterschied", sagte BDI-Präsident Siegfried Russwurm. Kritische Anlagen sollten nach einheitlichen Kriterien für beide Dimensionen benannt werden.
Auch, dass sich im IT-Planungsrat die CIOs von Bund und Ländern dafür ausgesprochen haben, Kommunale Einrichtungen nicht in die NIS2 aufzunehmen, sieht Russwurm überaus kritisch: "Aktuell ist unsere Sorge, dass Länder die Kommunen weitgehend ungeschützt dastehen lassen." Gigabitausbau und Energiewende könnten nicht funktionieren, wenn die Verwaltungen reihenweise wochenlang offline gingen.
Vor Phantastereien in der Regulierung warnte Thomas Tschersich, Geschäftsführer von Telekom Security, dem IT-Sicherheitszweig der Deutschen Telekom. "Wie wollen Sie 500.000 Kilometer Glasfaser effektiv schützen? Hier hat Regulierung Grenzen." In der Cybersicherheit habe sich die Wirtschaft nicht mit Ruhm bekleckert und stecke nach wie vor in einer "naiven Phase". "Wir vernetzen hier Babyphones miteinander, die sind zehn Jahre im Markt", sagt Tschersich, die dann für DDoS-Angriffe genutzt würden. Hier könne Regulierung helfen. Der Mittelstand allerdings sei schon mit der jetzigen Regulierung überfordert – so wie auch Kommunen und kommunale Dienstleister.
88 Prozent der Unternehmen glaubten, Maßnahmen ergriffen zu haben – doch nur 22 Prozent hätten das tatsächlich, sagte Daniela Brönstrup, Abteilungsleiterin Digital- und Innovationspolitik im Bundeswirtschaftsministerium. Es mangele in den meisten Fällen an einfachen Dingen wie Softwareupdates. Auch DDoS-Angriffe seien nach wie vor ein Problem, sagte Tschersich. Dabei sei die Lösegeldkomponente allerdings derzeit verschwunden. Bei Angriffen aus dem russischen Raum und Nordkorea gehe Telekom Security davon aus, dass sich die Führung hier auch der Mittel der organisierten Kriminalität bediene. Es gehe um ein Signal: "Ihr seid verwundbar und wir könnten noch viel mehr machen, wenn wir wollten."
Die Dringlichkeit von Verbesserungen der IT-Sicherheit war der größte gemeinsame Nenner der Veranstaltung in Berlin. Der Wunsch nach mehr und besserer Kooperation schien vier Wochen vor Weihnachten stark ausgeprägt: Der Trend gehe weg von isolierten Monolithen, auch bei dem, was der Staat anbiete, sagte Bundes-CIO Richter. Effektives Zusammenwirken sei deshalb wichtig, interministeriell und mit Verbänden.
Vertreter der Zivilgesellschaft wurden auf dem Berliner Cybersicherheitsgipfel nicht auf die Bühne geladen. Vielleicht geschieht das in zwei Jahren, wenn der nächste Gipfel dieser Art stattinden soll.
(anw)