Seit Beginn des russischen Angriffskrieges in der Ukraine hat sich die bereits zuvor angespannte Bedrohungslage gerade für solche Unternehmen, Organisationen und Einrichtungen verschärft, die mit Russland in Verbindung stehen. Beispielhaft dafür gilt die Cyber-Attacke des Hacker-Kollektivs „Anonymus“ auf die deutsche Rosneft-Tochter im März – nach eigenen Angaben hierzulande immerhin drittgrößter Akteur in der Mineralölverarbeitung. Vorfälle wie dieser könnten sich bald wiederholen.
Laut „Spiegel“ seien die Angreifer bei Rosneft tief in die Systeme eingedrungen und hätten im Worst Case die Steuerungsfunktionen zum Absturz bringen können. Ein besonders schwerer Fall. Weit häufiger sind laut Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn sogenannte „DDoS“-Attacken durch Ransomware, die die IT-Systeme von Unternehmen blockieren oder mit Codes sperren. Erst nach Zahlung von Lösegeld („ransom“) erlangen die Betroffenen die Kontrolle zurück.
14,8 Millionen Meldungen zu Schadprogramm-Infektionen übermittelte das BSI im vergangenen Jahr an deutsche Netzbetreiber – mehr als doppelt so viele wie 2020. Tendenz steigend. Verschärft wird die Lage durch „Spillover“-Effekte. So hatte der Angriff auf einen US-amerikanischen Satellitenbetreiber für Mittel- und Osteuropa im Frühjahr in Deutschland zu Kollateralschäden bei der Wartung von Windkraftanlagen geführt. Solche Risiken beunruhigen BSI-Präsident Arne Schönbohm zusätzlich.
„Im digitalen Raum gibt es keine festen Landesgrenzen“, betonte Schönbohm Ende April in einem Interview mit dem Redaktionsnetzwerk Deutschland (RND). Ein Angriff mit Schad-Software auf eine der beiden Kriegsparteien – Russland oder Ukraine – könne deshalb schnell auf IT-Systeme in weiteren Ländern übergreifen, „auch in Deutschland; das ist eine erhebliche Gefahr“, warnte Schönbohm eindringlich. Die Bundesregierung will sich mit neuer Cyber-Sicherheitsstrategie wehrhaft machen.
HOHEIT SOLL BEIM BUND LIEGEN
Sie zielt darauf ab, die Hoheit über IT-Sicherheit und ITResilienz in Zukunft nicht nur strategisch, sondern auch verfassungsrechtlich beim Bund zu verankern. Im diesem Zuge soll das BSI zur Zentralstelle im Bund-Länder-Verhältnis ausgebaut werden. Es fungiert perspektivisch – neben dem Bundeskriminalamt im Polizeiwesen und dem Bundesamt für Verfassungsschutz im Verfassungsschutzverbund – als dritte starke Säule einer föderal integrierten Cyber-Sicherheitsarchitektur für Deutschland.
Bisher konnte das BSI lediglich punktuell im Rahmen der Amtshilfe unterstützen. Die Neuaufstellung ermöglicht der Behörde eine auf Dauer angelegte Zusammenarbeit und zudem die Einrichtung gemeinsamer Informationssysteme. Um die Chancen der Digitalisierung ausschöpfen zu können, müssten deren Risiken minimiert werden, begründet das verantwortliche Bundesministerium des Innern und für Heimat (BMI) in Berlin den Schritt. Dafür seien alle Akteure „sinnvoll miteinander zu verzahnen“.
Anfang Juni gab Bundesinnenministerin Nancy Faeser auf der Digitalkonferenz re:publica in Berlin eine klare Botschaft aus: „Die Gefahr durch Cyber-Angriffe hat sich massiv erhöht.“ Passive Sicherungsmaßnahmen allein böten nicht mehr genug Schutz. Die Regierung brauche „auch gefahrenabwehrende Befugnisse“. Dies gelte insbesondere hinsichtlich kritischer Infrastrukturen, deren Kreis mit Inkfrafttreten des „IT-Sicherheitsgesetzes 2.0“ bereits erweitert worden war (siehe Kasten auf Seite 22).
„Die Gefahr durch Cyber-Angriffe hat sich massiv erhöht. Der Bund braucht auch gefahrenabwehrende Befugnisse.“
Nancy Faeser, Bundesministerin des Innern und für Heimat in Berlin
„Im digitalen Raum gibt es keine festen Landesgrenzen.“
Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik in Bonn
Denn ein Angriff auf die Betreiber von Stadtwerken, Krankenhäusern und ähnliche Organisationen oder Einrichtungen mit herausragender Bedeutung für das staatliche Gemeinwesen betreffe im Ernstfall Millionen von Bürgern. Bundesinnenministerin Faeser zeigt sich überzeugt, allein der Bund könne „komplexen Gefahren im Cyber-Raum effektiv etwas entgegensetzen“. Auf welche konkret fokussiert werden müsse, sei derzeit Gegenstand einer ressortübergreifenden Debatte, so ein BMI-Sprecher.
Zugleich erklärt er: „Es wird angestrebt, dass das Bundeskabinett noch in diesem Jahr ein Konzept zum Ausbau des BSI zur Zentralstelle beschließt.“ Dort wiederholt man gebetsmühlenartig, Informationssicherheit müsse als Daueraufgabe verstanden werden und entsprechende Maßnahmen immer dem Stand der Technik entsprechen. Von entscheidender Bedeutung sei, das Thema bei allen Digitalisierungsvorhaben „von Anfang an mitzudenken und strukturiert umzusetzen“, betont ein BSI-Sprecher.
Unternehmen zwingt das, ein Informationssicherheitsmanagemensystem (ISMS) zu etablieren. Vor allem zum Schutz vor Ransomware ist akut ein stringentes Patch-Management (extern gesteuerte Software-Aktualisierung) nötig, um Schwachstellen in Software-Produkten zügig schließen zu können. Auch dazu zählen funktionierende Backups, physisch getrennt vom Produktivnetzwerk, damit sie von einem Cyber-Angriff unbeeinträchtigt bleiben, sowie eingeübte IT-Krisenreaktionsprozesse.
Klar ist: Erhöhtes Schutzniveau und Widerstandsfähigkeit gegen computergesteuerte Angriffe auf hiesige IT-Strukturen gibt es für die Wirtschaft nicht zum Nulltarif. Der Preis ist unter anderem ein Weniger an Freiheit respektive ein Mehr an Kontrolle. Der absehbaren Reaktanz der Unternehmen versucht die Cyber-Sicherheitsstrategie der Bundesregierung den Wind aus den Segeln zu nehmen: Sie wirbt um Vertrauen und betont, es handele sich um einen „gemeinsamen Auftrag von Staat und Wirtschaft“.
Die regulatorischen Rahmenbedingungen sind auch wegen der noch nicht gebilligten „NIS2“- Richtlinie in ihrer gesamten Komplexität bisher nicht zu greifen. „NIS2“ soll die die Richtlinie (EU) 2016/1148 („NIS“-Richtlinie) ersetzen, die Deutschland bereits im Wesentlichen im zuletzt am 1. Dezember 2021 geänderten BSI-Gesetz umgesetzt hat. „Die ,NIS2’-Richtlinie ist von den Co-Gesetzgebern Europäisches Parlament und Rat der Europäischen Union noch zu beschließen“, bestätigt ein BMI-Sprecher.
Anschließend müssen die Mitgliedstaaten die neue Richtlinie binnen 21 Monate ab Inkrafttreten in nationales Recht umsetzen, also wohl bis Mitte 2024. Experten halten es in diesem Kontext für durchaus möglich, dass die Regelungen des „IT-SiG 2.0“ im Rahmen der Implementierung von „NIS2“ sowie einer weiteren, primär die Residenz kritischer Infrastrukturen adressierenden Richtlinie erneut zu überarbeiten sind. Dies vor allem, weil „NIS2“ den Kreis der Betroffenen erneut erheblich erweitern wird. Erfasst werden in Zukunft bereits KRITIS-Unternehmen mit mehr als 50 Mitarbeitern und über zehn Millionen Euro Jahresumsatz. Auch die der Richtlinie unterfallenden Sektoren werden massiv erweitert, im Bereich Gesundheit etwa um Pharmazeutik, Medizinforschung und Labore. Deutlich erweitert wird außerdem der kritische Sektor „Digitale Infrastruktur“, der dann insbesondere auch Cloud-Provider, Rechenzentren sowie Content-Delivery-Netzwerke einbeziehen soll. Das aber ist nicht alles.
Damit verbunden sein werden weiter gefasste Sicherungsund Mitwirkungspfl ichten sowie zusätzliche Informationspfl ichten. Und auch das Sanktionsregime wird durch „NIS2“ erweitert. Kritischer als ein höherer Bußgeldrahmen ist für Unternehmen die Tatsache, dass künftig auch ihre CEOs bei Verstößen sanktioniert werden können. Auf der Haben-Seite führt „NIS2“ eine europaweit stärkere Vereinheitlichung von IT-Sicherheitsanforderungen und Meldeprozessen; NIS2“ setzt die Mindeststandards.
NEUE ANFORDERUNGEN, ERWEITERTER ADRESSATENKREIS
Die rechtliche Grundlage für die künftige Cyber-Sicherheitsstrategie der Bundesregierung bildet das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz 2.0“). Es ist seit 28. Mai 2021 in Kraft. Mit dem Gesetz werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Kompetenzen zugeordnet und es in seiner Rolle als Cyber-Aufsichtsbehörde des Bundes gestärkt. Unmittelbar damit verbunden ist eine deutliche Personalaufstockung um knapp 800 Mitarbeiter.
Das BSI erhält unter anderem mehr Möglichkeiten beim Aufspüren von Sicherheitslücken und der Abwehr von Cyber-Angriffen. Es darf IT-Schwachstellen bei Betreibern Kritischer Infrastrukturen – Organisationen oder Einrichtungen mit Kernbedeutung für das staatliche Gemeinwesen – nun auch durch aktives Hacken („Hackback“) suchen. Außerdem schreibt das Gesetz dem BSI die Verantwortung für den Verbraucherschutz zu und macht es in diesem Kontext zur ersten Anlaufstelle in Fragen der IT-Sicherheit auf Bundesebene.
Der Kreis der Kritischen Infrastrukturen (KRITIS) wird mit dem „IT-SiG 2.0“ um den Sektor Siedlungsabfallentsorgung erweitert. Daneben müssen jetzt auch andere Unternehmen im besonderen öffentlichen Interesse („UBI“) – etwa Rüstungshersteller oder Unternehmen mit herausragender volkswirtschaftlicher Bedeutung – gewisse ITSicherheitsmaßnahmen umsetzen. Zugleich wurden die Bußgeldrahmen auf vier Stufen mit Strafen von 100.000 Euro bis 20 Millionen Euro (bei Verfahren gegen juristische Personen) erhöht.
Bijan Peymani