Angriffe auf öffentliche Einrichtungen, Behörden und Regierungsstellen nehmen zu. Die Bundesregierung sieht in Cyberattacken eine ernste Gefahr, weil sie über „eine unbegrenzte geographische Reichweite“ verfügen und „hohes Schadenspotential“ bergen, wie es in der vor wenigen Tagen vorgelegten „Nationalen Sicherheitsstrategie“ heißt.
Die Bundesregierung hat in der letzten Woche ihre „Nationale Sicherheitsstrategie“ vorgestellt. Aktuelle Ereignisse geben ihr Recht, wenn sie darin konstatiert: „Cyberangriffe zielen immer häufiger darauf ab, unsere Regierung und Gesellschaft oder jene unserer Partner zu destabilisieren“.
Zuletzt reihte sich das US-Energieministerium in die Reihe der geschädigten Regierungsorganisationen ein. Die MOVEit-Schwachstelle zieht weltweit Kreise. Wie berichtet waren zuvor bereits der Finanzsektor, Unternehmen wie Shell oder die Krankenkasse AOK betroffen.
Hinter den Angriffen steht die mutmaßlich russische Gruppe Cl0p. Sie hat inzwischen eine Liste der Geschädigten veröffentlicht, mit der sie sich brüstet. Die Gangster nutzen Schwachstellen in der Dateiübertragungssoftware MOVEit, durch die sie über Umwege Zugriff auf interne Unternehmensnetze erhalten. Die MOVEit-Software soll eigentlich sichere Dateiübertragungen für Unternehmen und Behörden bereitstellen, ist jedoch innerhalb kürzester Zeit von drei gefährlichen Schwachstellen betroffen. Die US-amerikanische IT-Sicherheitsbehörde Cybersecurity and Infrastructure Security Agency (CISA) hat laut Medienberichten etwa von CNN bestätigt, dass allein in den USA mehrere Hundert Firmen und Institutionen Opfer der Angriffe geworden sind. Für die Ergreifung der Cl0p-Bande wurde inzwischen eine Belohnung von einer Million US-Dollar ausgesetzt. Es wird befürchtet, dass etwa ein Dutzend US-Regierungsinstitutionen unter den Opfern sein könnten. Wichtige Einrichtungen im öffentlichen Interesse sind ein beliebtes Ziel, um einem Land beziehungsweise dessen Bürgern Schaden zu zufügen.
Jede Menge Sicherheitslücken bei Unternehmen und Behörden
Derweil wird berichtet, dass eine deutsche Firma durchschnittlich 11.000 interne Schwachstellen und Sicherheitslücken in deutschen Unternehmen und Behörden aufgedeckt hat. Untersucht wurden dafür 213 relevante Organisationen des öffentlichen und privaten Sektors. IT-Sicherheit steht also nicht ohne Grund zunehmend im Fokus der Politik.
Das spiegelt sich auch in der nationalen Sicherheitsstrategie wider, die in der letzten Woche von der Bundesregierung vorgelegt wurde. Darin thematisiert sie zwar nicht nur Cyber-Sicherheit, sondern insbesondere militärische sicherheitspolitische Fragen, doch Cyber-Sicherheit ist ein Querschnittsthema und daher an vielen Stellen eingeflossen.
Der nationalen Sicherheitsstrategie, die „die erste in der Geschichte unseres Landes“ ist, wie Bundeskanzler Olaf Scholz im Vorwort betont, legt die Bundesregierung „einen breiten Sicherheitsbegriff zugrunde“. Demzufolge finden sich darin Themenfelder wie Klima- und Ökosystemkrise, die Stärkung der Ernährungssicherheit, Pandemieprävention oder Weltraumsicherheit bis hin zu Rohstoff-, Energie- und Ernährungssicherheit. Jedoch sei angesichts der Bedeutung des digitalen Raums Cybersicherheit ein essenzieller Teil von integrierter Sicherheit, heißt es darin.
Im Cyberraum hätten Kriminalität, Terrorismus, Spionage und Sabotage „eine unbegrenzte geographische Reichweite, bergen hohes Schadenspotential und sind oft nur schwer bestimmten Akteuren zuzuschreiben“, beschreibt die Regierung das Gefahrenpotenzial. Ransomware hebt sie dabei besonders hervor: „Insbesondere erpresserische Software („Ransomware“) hat sich für Unternehmen, öffentliche Einrichtungen und Kritische Infrastrukturen zu einer erheblichen Bedrohung entwickelt“.
Gemeinsames Vorgehen gegen Cyberkriminalität
Doch anders als viele andere Aufgabengebiete wird Cybersecurity als kooperative Herausforderung gesehen:
„Die Bundesregierung versteht Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft“. Dementsprechend sollen Maßnahmen als gemeinsame Projekte mit privaten Akteuren oder Organisationen angegangen werden: „Wir werden unsere Cybersicherheitsarchitektur weiterentwickeln, gezielt Technologien fördern und die Kooperation mit der Wirtschaft intensivieren“. Dem liegt der Gedanke zugrunde, dass „Deutschlands Widerstands- und Wettbewerbsfähigkeit auf seiner hohen Innovationskraft und auf technologischer und digitaler Souveränität“ beruht. Deswegen sollen Wissenschaft und Forschung sowie die Innovationskraft der Unternehmen gezielt gefördert werden.
Für Kritische Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse soll „das höchste Schutzniveau“ gewährleistet werden. „Deswegen werden wir bei der Umsetzung der NIS2-Richtlinie der EU zur Cybersicherheit einen besonderen Fokus auf die verbesserte behördliche Zusammenarbeit legen“, heißt es in dem Dokument. Klar konstatiert die Regierung: „Hackbacks lehnen wir als Mittel der Cyberabwehr prinzipiell ab“. Denn diese Maßnahme ist umstritten, erfordert sie doch eine eindeutige und zweifelsfreie Identifizierung der Täter oder Täterinnen und die ist nur selten möglich.
In dem Papier wird auch ein Recht auf Verschlüsselung und der Schutz der Privatsphäre gefordert. Interessant auch die Rolle von Bürgern und Bürgerinnen sowie von Interessenvertretern: „Unternehmen und Zivilgesellschaft müssen ein höheres Risikobewusstsein entwickeln, Verantwortung für ihre Cybersicherheit übernehmen und die dafür nötigen Fähigkeiten auch zur Selbsthilfe und Eigenvorsorge aufbauen“. Also ein Appell für mehr Eigenverantwortung. Wie weit diese gehen soll, bleibt allerdings offen.
Alles in allem bleibt die nationale Sicherheitsstrategie eher allgemein und unverbindlich. Das wird insbesondere von Branchenverbänden und -vertretern kritisiert. So moniert beispielsweise der Verband der Digitalwirtschaft Bitkom: „Deutschland ist im digitalen Raum auch künftig nur bedingt abwehrbereit. Die Nationale Sicherheitsstrategie bleibt deutlich hinter den Erwartungen und Anforderungen der digitalen Wirtschaft zurück.“
Autor: Uwe Sievers