IT-Sicherheit in Deutschland

„Der Staat muss sich auch im Cyberraum verteidigen“

Wie reagiert die deutsche Politik auf die zunehmende Bedrohung im Cyberraum? Andreas Könen, Abteilungsleiter Cyber- und IT-Sicherheit im Bundesinnenministerium, beantwortet die Fragen von CSO.
Von 
CSO | 22. Juli 2022 10:40 Uhr
Andreas Könen ist seit Mai 2018 Abteilungsleiter „Cyber- und IT-Sicherheit“ im Bundesministerium des Innern, für Bau und Heimat (BMI).
Andreas Könen ist seit Mai 2018 Abteilungsleiter „Cyber- und IT-Sicherheit“ im Bundesministerium des Innern, für Bau und Heimat (BMI).
Foto: BMI

Cyberangriffe auf deutsche Industrieunternehmen haben in den vergangenen Monaten deutlich zugenommen. Dadurch entstehen Schäden in Millionenhöhe. Mit welchen Maßnahmen will die Politik die Sicherheitslage verbessern?

Könen: Hintergrund ist der Krieg zwischen Russland und der Ukraine, der auch im Cyberraum stattfindet. Allerdings muss man festhalten, dass Deutschland in diesem Zusammenhang nicht direkt betroffen ist. Die Cyberbedrohungssituation hat sich generell verschärft. Zudem nutzen Kriminelle die unsichere Lage aufgrund des Krieges als Deckmantel für ihre Angriffe.

Mit der neuen Cybersicherheits-Agenda will die Bundesregierung deshalb die Sicherheitsarchitektur modernisieren. Vor allem die Sicherheitsbehörden sollen besser gegen Cybercrime aufgestellt werden. Auch das Bundesamt der Sicherheit in der Informationstechnik (BSI) wird gestärkt - zum einen, damit die Bundesländer beim Thema Sicherheit besser unterstützt werden, zum anderen, um die Cyberresilienz in Deutschland zu fördern.

Viele Experten haben die aktuelle Version der Cybersicherheits-Agenda scharf kritisiert. Sie befürchten, dass dadurch problematische Techniken wie Hackbacks oder Staatstrojaner eingesetzt werden könnten.

Könen: Bundesinnenministerin Nancy Faeser hat sich ja bei der Präsentation der Agenda ganz deutlich gegen Hackbacks ausgesprochen. Präventive Maßnahmen der Polizeibehörden, für die heute schon in den Bundesländern eine rechtliche Grundlage existiert, sollen auch den Bundesbehörden im jeweiligen Aufgabenbereich zur Verfügung stehen.

Die Gegner dieser Maßnahmen argumentieren, die Freiheit der Bürger würde eingeschränkt. Ist das so?

Könen: Nein. In die Freiheit von unbescholtenen Bürgern greift keines dieser Mittel ein, denn alle Maßnahmen etwa der Strafverfolgung setzen eine richterliche oder staatsanwaltschaftliche Anordnung voraus. Auch für einen Krisenfall setzen wir uns natürlich damit auseinander, wie Maßnahmen minimalinvasiv und rechtskonform umgesetzt werden können. Die Bürger betrifft es insoweit, als damit ihre freie Entfaltung im Cyberraum verteidigt wird.

Der Digitalverband Bitkom warnt davor, dass durch geplante Gesetzesänderungen die Ende-zu-Ende-Verschlüsselung auf dem Spiel stehe.

Könen: An keiner Stelle der Agenda steht geschrieben, dass wir Verschlüsselungen schwächen wollen. Eher ist das Gegenteil der Fall. Die Koalition hat sich zum Ziel gesetzt, die Ende-zu-Ende-Verschlüsselung zu stärken. Bei den Maßnahmen der Agenda geht es immer darum, kriminelle oder staatliche Akteure zu bekämpfen. Wir wollen auch die Möglichkeiten der präventiven Aufklärung verbessern - Verschlüsselung wird dabei nur innerhalb eines klaren rechtlichen Rahmens tangiert.

Können die Menschen hundertprozentig sicher sein, dass Staatstrojaner nur gegen Kriminelle zum Einsatz kommen?

Könen: Ja, das regeln die entsprechenden Bundesgesetze wie das BKA-Gesetz und die Strafprozessordung.

Wir haben ausschließlich diejenigen im Blick, die das Recht brechen und Deutschland angreifen wollen. Dagegen müssen wir uns verteidigen. Der Staat muss auch im Cyberraum entsprechende Mittel an der Hand haben, um zum Beispiel Cyberspionage und -Sabotage abzuwehren.

Wie können Sie garantieren, dass das so bleibt? Der eco-Internetverband bemängelt, dass die Agenda an manchen Stellen zu unkonkret formuliert sei. So bekämen die Überwachungsdienste Schlupflöcher, um ihre Mittel beliebig einzusetzen.

Könen: Die Agenda ist aus meiner Sicht überhaupt nicht unkonkret formuliert. Es wird tatsächlich eine ganze Reihe konkreter Maßnahmen in jedem Kapitel genannt. Natürlich müssen die Maßnahmen noch im Einzelnen beschrieben und mit Meilensteinplanungen unterlegt werden. Daran arbeiten wir gerade.

Lassen Sie uns zu einem anderen Thema in Sachen staatlicher Regulierung wechseln. Experten beklagen, dass das IT-Sicherheitsgesetz zu kurz greife. Viele Unternehmen müssten die vorgeschriebenen Maßnahmen nicht umsetzen, weil sie per definitionem nicht zu den Kritis-Unternehmen gehörten. Wird es in Zukunft Anpassungen geben?

Könen: Ja, das ist tatsächlich geplant. Nach Verhandlungen in der Europäischen Union - unter starker deutscher Beteiligung -wurde die Netzwerk- und Informationssicherheitsrichtlinie (NIS)-2.0 beschlossen. Künftig zählen damit zehn Mal so viele Einrichtungen zur kritischen Infrastruktur wie bisher. Mit Regulierung alleine lassen sich allerdings nicht alle Risiken ausschließen.

Wie will die Politik den erweiterten Kreis der Kritis-Unternehmen bei der Umsetzung ihrer Sicherheitsmaßnahmen unterstützen?

Dazu existiert seit 15 Jahren mit dem UP KRITIS eine Plattform, auf der wir mit allen KRITIS-Betreibern erfolgreich zusammenarbeiten, also auch mit den nicht regulierten. Ziel ist der Informations- und Erfahrungsaustausch sowie die wechselseitige Unterstützung bei der Umsetzung von Maßnahmen.

Kommen wir zum aktuellen Thema Ransomware: Erpresser, die die Systeme ihrer Opfer verschlüsseln und für die Freigabe ein Lösegeld verlangen, richten große Schäden in der deutschen Wirtschaft an. IT-Sicherheitsexperten appellieren an den Bund, Lösegeldzahlungen zu verbieten, um den Angreifern die Anreize zu nehmen. Was halten Sie von dieser Forderung?

Könen: Die Forderung kam nicht nur von Sicherheitsexperten, sondern auch aus Teilen der Politik. Ich empfehle immer erst einmal, eine Anzeige bei der Polizei zu erstatten und auf keinen Fall Lösegeld zu zahlen. Ob eine Zahlung bei einer Lösegeldforderung verboten werden kann, ist letztendlich aber eine Frage des europäischen Rechts. Diese Debatte ist übrigens vor vielen Jahren auch schon im Zusammenhang mit Entführungen geführt worden. Damals wurde beschlossen, kein generelles Verbot zu erlassen, sondern im Einzelfall zu entscheiden, zumal es dabei um Leben und Tod geht.

Im Fall von Ransomware geht es nur selten um Menschenleben, aber oft um die Existenz von Unternehmen. Insofern bin ich nicht für ein Verbot. Vielleicht lässt sich das Problem der Lösegeldzahlung gemeinsam mit den Versicherungsunternehmen lösen. Viele bieten derzeit eine Lösegeldversicherung an. Das schafft allerdings wiederum Anreize für Angreifer und ist deshalb problematisch.

Wichtig bei Ransomware-Angriffen ist aber auch, den Unternehmen praktische Hilfe anzubieten. Darum wollen wir mit der neuen Cybersicherheitsagenda das BSI stärken, um den Ländern mehr Unterstützung bieten zu können. Ein weiterer Schritt ist, dass wir gemeinsam mit der Wirtschaft einen Weg finden, wie man mit der staatlichen Unterstützung, den Möglichkeiten der Versicherer und einer besseren Aufstellung der Unternehmen die Ransomware-Seuche bekämpfen kann. Viele Angriffe hätten ja vermieden können, wenn zuvor elementare Sicherheitsvorkehrungen beachtet worden wären. Da müssen wir für mehr Aufklärung sorgen. Kleinere und mittlere Unternehmen können sich dazu von der Allianz für Cybersicherheit beraten und unterstützen lassen.

Wo sehen Sie aktuell die größten Herausforderungen für die Cybersicherheit in Deutschland?

Könen: Aus dem Russland-Ukraine-Krieg haben wir gelernt, dass wir unsere eigenen Strukturen im Cyberraum deutlich resilienter aufstellen müssen. Das heißt, neben der physischen Resilienz zum Beispiel bei der Energieversorgung müssen wir auch unsere Aufstellung im Cyberraum stärken. Deshalb sind Förderung der Cyberresilienz und Investitionen in die (Cyber-)Sicherheit der kritischen Infrastrukturen prioritäre Ziele für die kommenden Monate.

Lesetipps: Cyberabwehr in Deutschland - "Wir brauchen ein unabhängiges BSI"

IT-Spezialist zum Cyberkrieg - "Systeme dürfen nicht per Software veränderbar sein"

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.