In einer digitalen Gesellschaft wird IT-Sicherheit immer wichtiger und die Abhängigkeit von funktionierender IT immer größer. Jedes Jahr steigen die Zahlen der Cyberangriffe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Lagebericht und weist darauf hin, dass täglich über 300.000 neue Schadsoftwarevarianten entdeckt werden. Die größte Gefahr sieht das BSI in sogenannten Ransomeware-Attacken, bei denen Schadsoftware die Daten verschlüsselt und Geld in Form von Kryptowährungen erpresst und/oder Daten geleakt werden sollen. Auch in Deutschland waren bereits ganze Landkreise, Kommunen, sogar Krankenhäuser und Universitäten betroffen.
Die IT-Sicherheit und Fragen der Resilienz haben jedoch auch im aktuellen Angriffskrieg Russlands gegen die Ukraine an trauriger Aktualität gewonnen. Zwischen Russland und der Ukraine herrscht Krieg, anlog und digital. Es ist der erste offen ausgetragene „Cyberwar“. Von russischer Seite wurden die jüngsten Angriffe auf die IT-Infrastruktur ukrainischer Einrichtungen vermutlich schon lange vorbereitet, auch dazu eigenen sich die Taktiken der Ransomware-Angriffe, bei denen Schadsoftware genutzt wird, um IT-Systeme über einen längeren Zeitraum auszukundschaften und einen künftigen gezielten Angriff vorzubereiten. Inzwischen sind die Nachrichten nicht nur voll von Berichten über Panzerkolonnen und Bombardements, sondern auch von übernommenen und abgeschalteten Webseiten der jeweiligen Gegner, von geleakten Daten oder der Einschränkung von Internetdiensten wie Facebook oder Satelliten Internet von russischer Seite.
In diesem ersten offenen Cyber-Krieg gibt es nicht nur die beiden Länder und ihre Institutionen als Akteure, sondern auch eine unsichtbare „IT-Armee“, der auf ukrainischer Seite nach eigenen Angaben über 125.000 Freiwillige – vermutlich aus aller Welt – angehören, die dazu aufgerufen wurden, gezielte Attacken gegen russische Institutionen (Banken, Medien, Regierungseinrichtungen, staatliche Konzerne etc) durchzuführen. Daneben wurden diverse Hackerkollektive wie z.B. Anonymous aktiv und schalteten sich in diese Auseinandersetzung aktiv ein.
Das ist eine äußerst bedrohliche Entwicklung, weil sich derartige Angriffe im nur äußerst schwer steuern, kontrollieren und attribuieren lassen. Auch ethische und moralische Kodizes werden meist ignoriert, so mancher Hacker verwechselt den Krieg mit einem Videospiel und richtet durch Angriffe auf gerade zufällige Ziel auch viel Schaden an, der am Ende vor allem die Zivilgesellschaft trifft.
Was hat das nun mit Deutschland und der Bundesregierung zu tun? Ich glaube durchaus einiges, denn gerade die eingeschränkten Möglichkeiten, einen Angriff auf einen bestimmten Angreifer zurückzuführen, würden Russland in die Lage versetzen, einen NATO-Staat (z.B. Deutschland) anzugreifen, dies aber gleichzeitig zu dementieren, um keine direkte kriegerische Auseinandersetzung zwischen der NATO und Russland auszulösen. Eins ist doch klar: in der digitalen Welt haben wir unzählige „Außengrenzen“, auch gegenüber Russland. Das BSI hat deshalb die Bedrohungsstufe Orange ausgelöst. Verhindern kann man solche Angriffe nicht, aber man kann sich dagegen bestmöglich schützen. Und genau das macht die Bundesregierung nach meiner Einschätzung nicht ausreichend. Wenn Ransomeware-Gruppen wie Conti öffentlich Vergeltungsmaßnahmen für Sanktionen gegen die russische Regierung ankündigen, kann dies auch die IT-Sicherheit und zivile Infrastrukturen hierzulande gefährden.
Zum Schutz gehört, dass man IT-Sicherheit mit sehr hoher Priorität behandelt, dass es in jeder Behörde einen CISO (Chief Information Security Officer) gibt, der/die auch Verantwortung und Machtkompetenzen hat, dazu gehört auch, dass es genug Fachkräfte gibt und die dafür geschaffenen Stellen auch besetzt sind. Nichts davon ist beim Bund ausreichend der Fall.
Seit 2020 erfrage ich jährlich von der Bundesregierung, wie viele IT-Sicherheitsstellen es in den Ministerien und nachgeordneten Bundesbehörden es gibt und wie viele davon besetzt/unbesetzt sind. Zwar ist die Gesamtzahl der IT-Sicherheitsstellen seit Beginn meiner Befragungen stark gestiegen (ein Plus von mehr als 800 IT-Sicherheitsstellen) und von Jahr zu Jahr wird die Quote besetzter Stellen etwas besser, aber der Zustand ist weiterhin unbefriedigend. 2020 war jede 4.Stelle und 2021 jede 5. Stelle unbesetzt, aktuell ist immer noch fast jede 6.Stelle unbesetzt – bei der Bedrohungslage viel zu viel.
Damit riskiert die Bundesregierung, dass ihre eigenen Ministerien und nachgeordneten Behörden inmitten einer weltweiten Krise zu einem potentiellen Angriffsziel werden. Selbst das Kommando Cyber- und Informationsraum der Bundeswehr rief bereits auf Twitter zur Unterstützung auf, um mögliche Schwachstellen in deutschen Netzen zu finden.
Aber es geht nicht nur um Schutz vor Bedrohung von außen, sondern auch um IT-Kompetenz in Sachfragen der jeweiligen Ministerien, die einzeln betrachtet extrem unterschiedlich mit dem Thema umgehen. Nur drei Ministerien haben alle IT-Sicherheitsstellen besetzt (BMBF, BMUV und BMZ). Eins hat nur 1,5 Stellen eingerichtet, aber keine einzige davon besetzt – es ist das neue Ministerium für Bau, Stadtentwicklung und Wohnen. IT-Sicherheit muss von Beginn an prioritär behandelt werden! Gravierend schlecht ist schon seit Beginn der Befragung das Bundesgesundheitsministerium, denn seit 2020 sind dort zwischen 60 und 78 % der Stellen unbesetzt, obwohl man dort über große Projekte mit sensiblen Gesundheitsdaten entscheidet. Kein Wunder eigentlich, dass es mit der Digitalisierung im Gesundheitswesen so schlecht voran geht, denn eine Reihe der Probleme haben mit mangelnder Datensicherheit zu tun.
Völlig unklar ist, warum ausgerechnet das Ministerium, das „Digitales“ im Namen trägt, in den letzten 12 Monaten sogar jede 5. IT-Sicherheitsstelle gestrichen hat (knapp 20 Stellen). Dabei werden auch dort kritische Themen verantwortet, z.B. zu digitalen Identitäten oder die digitale Infrastruktur. Stellenabbau gab es auch im BMI, dort sind sogar 58 IT-Sicherheitsstellen verschwunden, obwohl dort die größte Verantwortung für das Thema IT-Sicherheit zu finden ist: Das Ministerium hat sich das IT-Sicherheitsgesetz 2.0 ausgedacht und ist für das BSI zuständig.Besonders kritisch sehe ich die ungleiche Verteilung der Stellen zugunsten des militärischen Bereichs. Allein auf das BMVg entfallen mit 1.488 Stellen etwa 41% aller 3.657 IT-Sicherheitsstellen des Bundes. 2021 waren es erst 36%, und im Jahr zuvor sogar nur 24%. Diese starke Verschiebung zum Nachteil des zivilen Schutzes ist gefährlich, denn die Fachkräfte fehlen schlicht im zivilen Sektor. Mehr als 808 Stellen hat das BMVg in den drei Jahren meiner Befragungen zusätzlich geschaffen, das ist mehr als eine Verdopplung. Das BMVg hat nun drei Mal so viele IT-Sicherheitsstellen, wie 13 Ministerien zusammengenommen! Ich wünsche mir mehr Expertise in der zivilen Verteidigung, nicht nur beim Militär, damit künftig bei einem Katastrophenfall nach einer Ransomware-Attacke nicht mehr wie beim Landkreis Anhalt-Bitterfeld die Bundeswehr zu Hilfe kommen muss, sondern das BSI oder ein neu zu schaffendes Cyberhilfswerk dazu in der Lage ist, Nothilfe zu leisten.