Cybergefahren
Cyberangriffe – die unsichtbare Bedrohung
Immer wieder schaffen es Cybervorfälle in die bundesweiten Schlagzeilen: Ein Krankenhaus muss sich von der Notfallversorgung abmelden, weil Kriminelle die internen Informationstechnik-Systeme (kurz: IT-Systeme) durch sogenannte Ransomware verschlüsselt haben und ein Lösegeld verlangen. Schadsoftwarewellen wie 2017 WannaCry und NotPetya oder 2019 und 2020 Emotet sorgten sektorübergreifend für Ausfälle bei Kritischen Infrastrukturen (kurz: KRITIS).
Die Folgen: Stromausfälle und Ausfall kritischer Dienstleistungen
2015 und 2016 führten Angriffe auf mehrere regionale Energieversorger sowie einen Übertragungsnetzbetreiber in der Ukraine sogar zu den ersten bestätigten Stromausfällen durch Cybersabotage. Aber auch fehlerhafte Software-Updates oder Konfigurationsfehler verursachen immer wieder unerwartete Ausfälle kritischer Dienstleistungen.
Fortschreitende Digitalisierung birgt Gefahren
Gleichzeitig nimmt die Verbreitung und Nutzung von Informations- und Kommunikationstechnik seit Jahren kontinuierlich zu. Automatisierung und der sekundenschnelle Austausch von Daten bergen enorme Möglichkeiten zur Effizienzsteigerung. Daher können auch sicherheitskritische Bereiche – beispielsweise die Betreiber Kritischer Infrastrukturen – nicht mehr auf Informations- und Kommunikationstechnik verzichten.
Die fortschreitende Digitalisierung in allen Bereichen treibt außerdem die Vernetzung immer weiter voran. Zu guter Letzt sind viele Betreiber Kritischer Infrastrukturen in vielfacher Weise voneinander abhängig, auch sektorübergreifend. Vor dem Hintergrund dieser potenziellen Störungskaskade ist nicht auszuschließen, dass Störungen in einer Kritischen Infrastruktur auf andere übertragen werden.
Die Wahrscheinlichkeit, dass kritische Dienstleistungen aufgrund von Cybergefahren ausfallen, ist heute so hoch, dass sie ständig mitgedacht werden muss.
Aufgaben des BBK bei Cybergefahren
Die Bundesregierung nimmt die Gefahr von Cybervorfällen sehr ernst und hat eine Cyber-Sicherheitsstrategie für Deutschland entwickelt. Sie steckt den Rahmen für sämtliche Aktivitäten zum Schutz vor Cybergefahren ab. In verantwortlicher Rolle ist selbstverständlich auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe involviert.
Störungen des öffentlichen Sicherheit vermeiden
Übergeordnetes Ziel des BBK im Umgang mit Cybergefahren ist es, gravierende Ausfälle kritischer Dienstleistungen und damit erhebliche Störungen der öffentlichen Sicherheit zu vermeiden. Das BBK beschäftigt sich folglich insbesondere mit den Auswirkungen, die Cybervorfälle über den Cyberraum hinaus haben können.
Im Fokus des BBK stehen vier komplexe Aufgabenbereiche:
- die Suche nach Möglichkeiten zur Vorsorge,
- die Minderung der Folgen, die Cybervorfälle beispielsweise auf die Verfügbarkeit kritischer Dienstleistungen haben können,
- die Warnung und Information der Bevölkerung sowie
- das Bevölkerungsschutzsystem in Deutschland.
Dem All-Gefahren-Ansatz folgend strebt das BBK an, den Cyberbereich in das allgemeine Risiko- und Krisenmanagement zu integrieren. Dies würde den ganzheitlichen Ansatz des Bundesamtes stärken.
Das IT-Sicherheitsgesetz 2015
Das IT-Sicherheitsgesetz 2015 hat die Aufgaben des BBK in Bezug auf Cybergefahren noch einmal konkretisiert:
In seine Zuständigkeit fällt demnach die Analyse potenzieller Auswirkungen, die erfolgte oder versuchte IT-Angriffe, Sicherheitslücken und Schadprogramme auf die Verfügbarkeit Kritischer Infrastrukturen haben können. Außerdem soll es bei der Prüfung branchenspezifischer Sicherheitsstandards mitwirken.
Leitfäden und Handlungsempfehlungen zum Schutz Kritischer Infrastrukturen
Darüber hinaus müssen die Effekte von Cybergefahren auch in den Leitfäden und Handlungsempfehlungen zum Schutz Kritischer Infrastrukturen berücksichtigt werden.
Des Weiteren hat das BBK die letzte Länder- und Ressortübergreifende Krisenmanagementübung LÜKEX 23 mit dem Szenario Cyberangriff auf Regierungshandeln ausgerichtet.
Akteursübergreifende Zusammenarbeit
Da es sich bei der Bekämpfung von Cybergefahren um eine gesamtgesellschaftliche Herausforderung handelt, leisten neben dem BBK eine Vielzahl von Akteuren aus Staat, Wirtschaft, Wissenschaft und Gesellschaft ihren Beitrag zur Cybersicherheit in Deutschland.
Einen Überblick bietet das „Online-Kompendium Cybersicherheit in Deutschland“ des Nationalen Pakts Cybersicherheit.
Damit die gemeinsamen Anstrengungen erfolgreich sind, ist eine gute Kooperation unerlässlich. Das BBK steht mit verschiedenen Akteuren in engem Austausch und engagiert sich in den zugehörigen Plattformen.
Gemeinsame Plattform Cyber-Abwehrzentrum
Im Nationalen Cyber-Abwehrzentrum (kurz: Cyber-AZ) in Bonn arbeitet das BBK über Verbindungspersonen mit anderen relevanten Behörden zusammen.
Aktuell sind dort neben dem BBK folgende Kernbehörden vertreten:
- Bundesamt für den Militärischen Abschirmdienst (kurz: BAMAD)
- Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI)
- Bundesamt für Verfassungsschutz (kurz: BfV)
- Bundeskriminalamt (kurz: BKA)
- Bundesnachrichtendienst (kurz: BND)
- Bundespolizeipräsidium (kurz: BPOLP)
- Kommando Cyber- und Informationsraum (kurz: KdoCIR)
Weitere beteiligte Stellen als Assoziierte Einrichtungen:
- Zollkriminalamt (kurz: ZKA)
- Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin)
Weitere beteiligte Stellen als Partner:
- Cyberabwehr Bayern (kurz: CAB)
- Hessen CyberCompetenceCenter (kurz: Hessen3C)
- Schwerpunktstaatsanwaltschaften Cyber aus Bamberg und Köln
Das Cyber-AZ bietet als gemeinsame Plattform die Möglichkeit zum schnellen Informationsaustausch und zur besseren Koordinierung von Schutz- und Abwehrmaßnahmen gegen IT-Sicherheitsvorfälle. Vorfälle können zügig und umfassend bewertet werden, was die Erarbeitung abgestimmter Handlungsempfehlungen begünstigt.
Die Plattform dient unter anderem dazu, Analyseergebnisse sowie Informationen zu Verwundbarkeiten und Angriffsformen auszutauschen und Risikobewertungen zusammenzutragen. Relevante Ergebnisse werden den zuständigen Ministerien der Bundesregierung und den Bundesländern als gemeinsame Berichte zur Verfügung gestellt. Dabei arbeiten alle beteiligten Behörden unter Beibehaltung ihrer jeweiligen Aufgaben und gesetzlichen Befugnisse.
Zusammenarbeit im UP KRITIS
Auch im Umsetzungsplan Kritische Infrastrukturen (kurz: UP KRITIS), der öffentlich-privaten Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen, bilden Cybergefahren einen wichtigen Bestandteil des Austauschs. Ziel der Mitglieder ist es unter anderem, gemeinsam die Cyber-Sicherheitslage einzuschätzen und zu bewerten sowie die Robustheit von Informations- und Kommunikationstechnik-Komponenten in kritischen Prozessen zu fördern.