Cyber-Strategie: Bund rüstet gegen digitalen Angriff

„Das Internet ist wie die Wasser- und Stromversorgung zur kritischen Infrastruktur geworden. Wenn es ausfällt, wird es kritisch für das Land“, sagt Bundesinnenminister Thomas de Maizière. „Wir brauchen das Netz so wie die Luft zum Atmen“, erklärt die IT-Beauftragte der Bundesregierung, Cornelia Rogall-Grothe. Und Bundeswirtschaftsminister Rainer Brüderle ergänzt: „Im Internet ist die Ansteckungsgefahr mit Viren größer als in der Berliner U-Bahn.“ Das Bundeskabinett hat in seiner Sitzung vom Mittwoch die von de Maizière vorgelegte „Cyber-Sicherheitsstrategie für Deutschland“ beschlossen. Sie sieht vor, ein Nationales Cyber-Abwehrzentrum sowie einen Nationalen Cyber-Sicherheitsrat einzurichten, um ein „verfügbares, freies und sicheres Internet“ zu gewährleisten, wie de Maizière sagte. An ähnlichen Strategien wird derzeit auch in Großbritannien und in Frankreich gearbeitet.

Alle zwei Sekunden wird ein neues Schadprogramm auf das Internet losgelassen, jede Minute werden zwei Onlineidentitäten gestohlen, täglich greifen vier bis fünf Trojanische Pferde das Regierungsnetz an und in jedem Monat werden 30 000 Versuche unternommen, in dieses Netz einzudringen, führte Hartmut Isselhorst, Abteilungsleiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI), aus. Und etwa einmal wöchentlich ist einer dieser Angriffe, der zumeist aus dem Ausland kommt, auf eine deutsche Behörde erfolgreich, fügte de Maizière hinzu. „Deutschland wird permanent cyber-attackiert“, fasste Isselhorst die Erkenntnisse des BSI zusammen.

Zur raschen Einrichtung von Abwehrzentrum und Sicherheitsrat hat insbesondere der Stuxnet-Schock beigetragen. Im Sommer 2010 wurde ein komplexer Computerschädling entdeckt, der zielgerichtet zur Störung der iranischen Urananreicherungsanlagen entwickelt wurde und nach Einschätzung vieler Experten nur von einem ausländischen Geheimdienst stammen kann. Es dauerte seinerzeit einige Tage, bis ausgeschlossen wurde, ob auch in Deutschland Industrieanlagen oder Kernkraftwerke betroffen waren. „Neue Angriffsmechanismen, wie sie bei Stuxnet zu beobachten waren, orientieren sich nicht an der klassischen Aufgabenteilung deutscher Behörden“, sagte BSI-Präsident Michael Hange, der mit dem Cyber-Abwehrzentrum für eine bessere Prävention, Reaktion und Frühwarnung sorgen will.

Das Zentrum zur Abwehr digitaler Angriffe auf Behörden, Unternehmen und Bürger wird vom 1. April an unter der Federführung des BSI arbeiten. Die Leitung liegt bei Cornelia Rogall-Grothe. Allein beim Bund arbeitet eine halbe Million Beschäftigte in 450 Behörden, die Zusammenarbeit untereinander aber auch mit Wirtschaft und Bürgern sei ohne verlässliche Informations- und Kommunikationstechnik nicht mehr denkbar, erklärte sie. Das BSI entsendet sechs Mitarbeiter in die Einrichtung, je zwei Mitarbeiter stammen vom Bundesamt für Verfassungsschutz und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Hinzu kommen Mitarbeiter von Bundeskriminalamt, Bundespolizei, Zollkriminalamt, Bundesnachrichtendienst und der Bundeswehr.

Die Bedenken gegen die Vermischung von innerer und äußerer Sicht, die unter anderem in der FDP-Fraktion geäußert wurden, seien durch „strikte Wahrung der gesetzlichen Aufgaben und Befugnisse aller mitwirkenden Stellen“ ausgeräumt worden, erklärte de Maizière. Nötig sei neben den nationalen Anstrengungen zudem eine internationale Abstimmung der Bemühungen um Cyber-Sicherheit. Es gebe dazu bereits Kontakte mit der Europäischen Union. Ein geeignetes Forum sei außerdem die Gruppe der sieben führenden Industriestaaten (G-7).

Das Abwehrzentrum soll den Cyber-Sicherheitsrat „regelmäßig und anlassbezogen“ über Bedrohungen informieren und Empfehlungen abgeben. Zum Sicherheitsrat gehören Bundeskanzleramt, Auswärtiges Amt, die Ministerien für Inneres, Verteidigung, Wirtschaft, Justiz, Finanzen sowie Vertreter der Länder.

40 Prozent des Wirtschaftswachstums in Deutschland ist auf die Entwicklungen im IT-Sektor zurückzuführen, sagte der Bundeswirtschaftsminister. Brüderle kündigte zugleich für den 29. März die Einrichtung einer Task Force „IT-Sicherheit“ an, an der Wirtschaft und Wissenschaft beteiligt werden sollen.