Cybergefahren

IT- und Cyberangriffe gehören zu den täglichen Gefahren auf allen Verwaltungsebenen und der Wirtschaft in Deutschland. Ihnen zu begegnen erfordert eine akteursübergreifende Zusammenarbeit.

Cyberangriffe – die unsichtbare Bedrohung

Immer wieder schaffen es Cybervorfälle in die bundesweiten Schlagzeilen: Ein Krankenhaus muss sich von der Notfallversorgung abmelden, weil Kriminelle die internen Informationstechnik-Systeme (kurz: IT-Systeme) durch sogenannte Ransomware verschlüsselt haben und ein Lösegeld verlangen. Schadsoftwarewellen wie 2017 WannaCry und NotPetya oder 2019 und 2020 Emotet sorgten sektorübergreifend für Ausfälle bei Kritischen Infrastrukturen (kurz: KRITIS).

Die Folgen: Stromausfälle und Ausfall kritischer Dienstleistungen

2015 und 2016 führten Angriffe auf mehrere regionale Energieversorger sowie einen Übertragungsnetzbetreiber in der Ukraine sogar zu den ersten bestätigten Stromausfällen durch Cybersabotage. Aber auch fehlerhafte Software-Updates oder Konfigurationsfehler verursachen immer wieder unerwartete Ausfälle kritischer Dienstleistungen.

Fortschreitende Digitalisierung birgt Gefahren

Gleichzeitig nimmt die Verbreitung und Nutzung von Informations- und Kommunikationstechnik seit Jahren kontinuierlich zu. Automatisierung und der sekundenschnelle Austausch von Daten bergen enorme Möglichkeiten zur Effizienzsteigerung. Daher können auch sicherheitskritische Bereiche – beispielsweise die Betreiber Kritischer Infrastrukturen – nicht mehr auf Informations- und Kommunikationstechnik verzichten.

Die fortschreitende Digitalisierung in allen Bereichen treibt außerdem die Vernetzung immer weiter voran. Zu guter Letzt sind viele Betreiber Kritischer Infrastrukturen in vielfacher Weise voneinander abhängig, auch sektorübergreifend. Vor dem Hintergrund dieser potenziellen Störungskaskade ist nicht auszuschließen, dass Störungen in einer Kritischen Infrastruktur auf andere übertragen werden.

Die Wahrscheinlichkeit, dass kritische Dienstleistungen aufgrund von Cybergefahren ausfallen, ist heute so hoch, dass sie ständig mitgedacht werden muss.

Cyberangriffe als Herausforderung für Kommunen

Cyberangriffe sind immer wieder eine große Herausforderung für Kommunen und können schwerwiegende Folgen haben. Eine wirksame Vorsorge für Cybergefahren und ein effizienter Umgang mit IT-Krisen wird von der öffentlichen Verwaltung erwartet. Um Kommunen den Einstieg in das Thema kommunale IT-Krisen zu erleichtern, hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (kurz: BBK) gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) einen praxisorientierten Wegweiser entwickelt. Der Wegweiser bietet Hilfestellung, wie Kommunalverwaltungen sich effektiver vor Cybergefahren schützen können. Thematisiert wird auch, wie die Handlungsfähigkeit im Fall eines Cyberangriffs verbessert und negative Auswirkungen verringert werden können.

Aufgaben des BBK bei Cybergefahren

Die Bundesregierung nimmt die Gefahr von Cybervorfällen sehr ernst und hat eine Cyber-Sicherheitsstrategie für Deutschland entwickelt. Sie steckt den Rahmen für sämtliche Aktivitäten zum Schutz vor Cybergefahren ab. In verantwortlicher Rolle ist selbstverständlich auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe involviert.

Störungen der öffentlichen Sicherheit vermeiden

Übergeordnetes Ziel des BBK im Umgang mit Cybergefahren ist es, gravierende Ausfälle kritischer Dienstleistungen und damit erhebliche Störungen der öffentlichen Sicherheit zu vermeiden. Das BBK beschäftigt sich folglich insbesondere mit den Auswirkungen, die Cybervorfälle über den Cyberraum hinaus haben können.

Cyberraum

Virtueller Raum aller weltweit auf Datenebene vernetzten beziehungsweise vernetzbaren informationstechnischen Systeme. Ihm liegt als öffentlich zugängliches Verbindungsnetz das Internet zugrunde, welches durch beliebige andere Datennetze erweitert werden kann.

Im Fokus des BBK stehen vier komplexe Aufgabenbereiche:

  • die Suche nach Möglichkeiten zur Vorsorge,
  • die Minderung der Folgen, die Cybervorfälle beispielsweise auf die Verfügbarkeit kritischer Dienstleistungen haben können,
  • die Warnung und Information der Bevölkerung sowie
  • das Bevölkerungsschutzsystem in Deutschland.

Dem All-Gefahren-Ansatz folgend strebt das BBK an, den Cyberbereich in das allgemeine Risiko- und Krisenmanagement zu integrieren. Dies würde den ganzheitlichen Ansatz des Bundesamtes stärken.

All-Gefahren-Ansatz

Der All-Gefahren-Ansatz berücksichtigt alle Gefahrenarten, wie zum Beispiel Naturgefahren und technologische Gefahren.

Das IT-Sicherheitsgesetz 2015

Das IT-Sicherheitsgesetz 2015 hat die Aufgaben des BBK in Bezug auf Cybergefahren noch einmal konkretisiert:

In seine Zuständigkeit fällt demnach die Analyse potenzieller Auswirkungen, die erfolgte oder versuchte IT-Angriffe, Sicherheitslücken und Schadprogramme auf die Verfügbarkeit Kritischer Infrastrukturen haben können. Außerdem soll es bei der Prüfung branchenspezifischer Sicherheitsstandards mitwirken.

Leitfäden und Handlungsempfehlungen zum Schutz Kritischer Infrastrukturen

Darüber hinaus müssen die Effekte von Cybergefahren auch in den Leitfäden und Handlungsempfehlungen zum Schutz Kritischer Infrastrukturen berücksichtigt werden.

Des Weiteren hat das BBK die letzte Länder- und Ressortübergreifende Krisenmanagementübung LÜKEX 23 mit dem Szenario Cyberangriff auf Regierungshandeln ausgerichtet.

Akteursübergreifende Zusammenarbeit

Da es sich bei der Bekämpfung von Cybergefahren um eine gesamtgesellschaftliche Herausforderung handelt, leisten neben dem BBK eine Vielzahl von Akteuren aus Staat, Wirtschaft, Wissenschaft und Gesellschaft ihren Beitrag zur Cybersicherheit in Deutschland.

Einen Überblick bietet das „Online-Kompendium Cybersicherheit in Deutschland“ des Nationalen Pakts Cybersicherheit.

Damit die gemeinsamen Anstrengungen erfolgreich sind, ist eine gute Kooperation unerlässlich. Das BBK steht mit verschiedenen Akteuren in engem Austausch und engagiert sich in den zugehörigen Plattformen.

Gemeinsame Plattform Cyber-Abwehrzentrum

Im Nationalen Cyber-Abwehrzentrum (kurz: Cyber-AZ) in Bonn arbeitet das BBK über Verbindungspersonen mit anderen relevanten Behörden zusammen.

Nationale Cyber-Abwehrzentrum Quelle: BPol
Das Nationale Cyber-Abwehrzentrum: Die Kooperations-, Kommunikations- und Koordinationsplattform der relevanten (Sicherheits-)Behörden unterschiedlicher Ressorts und Ebenen

Aktuell sind dort neben dem BBK folgende Kernbehörden vertreten:

  • Bundesamt für den Militärischen Abschirmdienst (kurz: BAMAD)
  • Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI)
  • Bundesamt für Verfassungsschutz (kurz: BfV)
  • Bundeskriminalamt (kurz: BKA)
  • Bundesnachrichtendienst (kurz: BND)
  • Bundespolizeipräsidium (kurz: BPOLP)
  • Kommando Cyber- und Informationsraum (kurz: KdoCIR)

Weitere beteiligte Stellen als Assoziierte Einrichtungen:

  • Zollkriminalamt (kurz: ZKA)
  • Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin)

Weitere beteiligte Stellen als Partner:

  • Cyberabwehr Bayern (kurz: CAB)
  • Hessen CyberCompetenceCenter (kurz: Hessen3C)
  • Schwerpunktstaatsanwaltschaften Cyber aus Bamberg und Köln

Das Cyber-AZ bietet als gemeinsame Plattform die Möglichkeit zum schnellen Informationsaustausch und zur besseren Koordinierung von Schutz- und Abwehrmaßnahmen gegen IT-Sicherheitsvorfälle. Vorfälle können zügig und umfassend bewertet werden, was die Erarbeitung abgestimmter Handlungsempfehlungen begünstigt.

Die Plattform dient unter anderem dazu, Analyseergebnisse sowie Informationen zu Verwundbarkeiten und Angriffsformen auszutauschen und Risikobewertungen zusammenzutragen. Relevante Ergebnisse werden den zuständigen Ministerien der Bundesregierung und den Bundesländern als gemeinsame Berichte zur Verfügung gestellt. Dabei arbeiten alle beteiligten Behörden unter Beibehaltung ihrer jeweiligen Aufgaben und gesetzlichen Befugnisse.

Zusammenarbeit im UP KRITIS

UP KRITIS
Der UP KRITIS: öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen

Auch im Umsetzungsplan Kritische Infrastrukturen (kurz: UP KRITIS), der öffentlich-privaten Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen, bilden Cybergefahren einen wichtigen Bestandteil des Austauschs. Ziel der Mitglieder ist es unter anderem, gemeinsam die Cyber-Sicherheitslage einzuschätzen und zu bewerten sowie die Robustheit von Informations- und Kommunikationstechnik-Komponenten in kritischen Prozessen zu fördern.