Der Befund klingt dramatisch. Die Bedrohung durch Cyberattacken scheint nach Darstellung des Bundesinnenministeriums und des ihm zugeordneten Bundesamtes für Sicherheit in der Informationstechnik (BSI) rasant zu wachsen.

Die derzeitige Cyber-Bedrohungslage sei „angespannt bis kritisch“, sagte Innenminister Horst Seehofer (CSU) am Donnerstag bei der Vorstellung des BSI-Lageberichts zur IT-Sicherheit in Deutschland 2021. „Wir müssen davon ausgehen, dass dies dauerhaft so bleibt oder sogar zunehmen wird.“ Der Präsident des Bundesamtes, Arne Schönbohm, äußerte sich noch drastischer: „Im Bereich der Informationssicherheit haben wir, zumindest in Teilbereichen, Alarmstufe Rot“.

Vielen Hackern geht es um Geld

Der Lagebericht deckt den Zeitraum von Juni 2020 bis einschließlich Mai 2021 ab. Das BSI hat 144 Millionen neue Schadprogramm-Varianten festgestellt. Das sei ein Zuwachs von 22 Prozent im Vergleich zum Vorjahr, heißt es. Höchstwert an nur einem Tag war ein Anstieg um 553.000 Schadprogramme, im Durchschnitt waren es alle 24 Stunden knapp 400.000.

Vielen Hackern geht es vor allem um Geld. „Der Berichtszeitraum war geprägt von einer spürbaren Ausweitung cyberkrimineller Erpressungsmethoden und Angriffen auf für die Gesellschaft elementare Bereiche, wie die Stromversorgung und das Gesundheitswesen“, sagen Ministerium und BSI. Im Report wird als Beispiel ein gravierender Fall genannt.

[Wenn Sie aktuelle Nachrichten aus Berlin, Deutschland und der Welt live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Im September 2020 traf eine Cyberattacke das Uniklinikum Düsseldorf. Mutmaßlich russische Hacker infiltrierten die IT mit Ransomware. Die angegriffenen Dateien wurden verschlüsselt, um für die Freigabe Lösegeld zu erpressen. Das Krankenhaus musste sich knapp zwei Wochen wegen Ausfalls zentraler Systeme von der Notfallversorgung abmelden.

„Planbare und ambulante Behandlungen wurden abgesagt beziehungsweise verschoben und die Aufnahme neuer Patientinnen und Patienten wurde eingestellt“, steht im BSI-Bericht. „Die Kommunikation über E-Mail sowie die telefonische Erreichbarkeit des Klinikums waren eingeschränkt.“

Die Hacker hinterließen auch ein Erpresserschreiben, das sich allerdings an die Universität richtete, nicht an das Klinikum. Als die Täter mitbekamen, dass sie ein Krankenhaus attackiert hatten, zeigten sie sich gnädig und händigten einen digitalen Schlüssel zur Wiederherstellung von IT-Systemen und Daten aus. Der Vorfall verdeutliche „die Gefahren eines Cyber-Angriffs für Organisationen im Gesundheitswesen und deren IT-Infrastrukturen“, schreibt das BSI.

Stärkt eine Ampel-Koalition die Cybersicherheit?

Wie also gelingt der kommenden Regierung ein besserer Schutz von Krankenhäusern, Verwaltung und Bürger:innen? Aus den bisherigen Sondierungsergebnissen von SPD, Grünen und FDP ergibt sich keine klare Antwort auf die Frage, wo das Thema Cybersicherheit in einer zukünftigen Regierung aufgehangen werden könnte.

Zwar mahnte Seehofer in Richtung der künftigen Koalitionäre, dass man „die allgemeine Sicherheit von der Cybersicherheit nicht trennen“ könne – doch es ist kein Geheimnis, dass FDP und Grüne in genau diesem Punkt auch über andere Optionen nachdenken. Anlässlich des Berichts mahnte der stellvertretende Fraktionsvorsitzende der Grünen, Konstantin von Notz, nun endlich „klare Rechtsgrundlagen“ und „unabhängige Aufsichtsstrukturen“ im Bereich IT-Sicherheit zu schaffen.

In Fachkreisen wird schon seit Jahren gefordert, dem Bundesamt für die Sicherheit in der Informationstechnik eine stärkere Unabhängigkeit vom Innenministerium zuzugestehen. Solange das BSI als nachgelagerte Behörde eng an die Weisungsbefugnis des BMI gebunden sei, könne es kaum wirkungsvolle, unabhängige Kontrolle der IT in Ministerien und Verwaltung geben, so die einhellige Meinung unter Cybersicherheitsexperten wie Sven Herpig von der Stiftung Neue Veranwortung.

Zielkonflikt zwischen IT-Sicherheit und Ermittlungsarbeit von Sicherheitsbehörden

Darüber hinaus sei die bisherige IT-Sicherheitspolitik der Bundesregierung „hoch widersprüchlich“, so von Notz weiter. „Insgesamt war die Bundesregierung eher Teil des Problems denn der Lösung.“ Ein Grund dafür ist, dass die Regierung gleichermaßen für Cybersicherheit und für Ermittlungserfolge des Bundeskriminalamtes und der Nachrichtendienste verantwortlich ist.

Diese doppelte Aufgabenstellung führt unweigerlich zu einem Zielkonflikt: IT-Sicherheit steigt mit jeder lückenlosen Verschlüsselung digitaler Kommunikation; Sicherheitsbehörden sind dagegen darauf angewiesen, dass Kriminelle nicht über abhörsichere Kanäle kommunizieren. Daher möchte auch der Bundesnachrichtendienst einige Sicherheitslücken nicht melden, sondern selbst für Ermittlungen nutzen.

„Zu oft wird rechtspolitisch vertreten, dass die Sicherheitsinteressen den Vorrang vor IT-Sicherheit genießen“, sagt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Uni Bremen. Dass auch die vor einigen Monaten von der Bundesregierung erneuerte Cybersicherheitsstrategie davon nicht abrücke, zeige, „dass IT-Sicherheit in der Politik noch nicht wirklich verstanden wurde".

Mehr zum Thema Jede Dritte hat Mängel in IT-Sicherheit Kliniken besonders verletzlich bei Hackerangriffen

Insgesamt mache der BSI-Bericht den Eindruck, „dass die Große Koalition dem komplexen und wichtigen Thema IT-Sicherheit nicht gewachsen war“, sagte am Donnerstag auch Mario Brandenburg, technologiepolitischer Sprecher der FDP-Fraktion. Er fordert eine Meldepflicht für entdeckte Sicherheitslücken. Ähnliches hatte auch SPD-Chefin Saskia Esken im vergangenen Jahr verlangt, konnte sich aber innerhalb der Großen Koalition nicht durchsetzen.