"Ob ich dem deutschen Staat einen Hackback ohne Kollateralschäden zutraue, weiß ich nicht", sagt Dr. Jörg Ochs, IT-Leiter der Stadtwerke München. Nachdem kritische Infrastrukturen in der Ukraine im Laufe des Krieges immer wieder das Opfer von Cyberattacken durch Russland wurden, sorgt man sich auch hierzulande vor Angriffen oder gar einem Cyberkrieg.
In einer Diskussionsrunde kamen Ochs, Dr. Reinhard Brandl, Mitglied des deutschen Bundestages und digitalpolitischer Sprecher der Unionsfraktion, Cyberrisk-Berater Martin Braun sowie Ralph Kreter, Area VP Central and Eastern Europe beim Technologieanbieter Deep Instinct, in München zusammen.
Unternehmen, die zur Grundversorgung des Landes beitragen, wie die Stadtwerke, werden aufgrund des Kriegsgeschehens besonders in die Verantwortung genommen, um ihre IT-Systeme zu schützen. Ochs und sein Team sind gut vorbereitet: Innerhalb von sechs Stunden sei das Münchner Versorgungsunternehmen in der Lage, den Strom für die komplette Stadt wiederherzustellen, sollte dieser großflächig im Zuge eines Cyberangriffs abgeschaltet werden.
Für IT-Sicherheit fehlt es an Zuständigkeiten
Was jedoch die aktive Cyberabwehr der Bundesregierung angeht, ist Ochs skeptisch. "Wenn die Zuständigkeiten einmal geregelt sind, dann traue ich dem Staat einen Hackback schon zu."
Zwar hatte sich Bundesinnenministerin Nancy Faeser jüngst gegen Cyber-Gegenangriffe ausgesprochen. Sollten allerdings russische Akteure, wie zum Beispiel der russische Militär-Geheimdienst G.R.U. konkret die Versorgung in Deutschland angreifen, seien Hackbacks von Nöten, sagt Brandl. Generell stehe er jedoch hinter Faesers Ansicht, dass Gegenangriffe neue Sicherheitsrisiken bergen könnten.
Grundlagen für Cybersicherheitsstrategien bieten das IT-Sicherheitsgesetz 2.0 und die Kritisverordnung. Dieses gibt Unternehmen mit kritischen Infrastrukturen ein Mindestmaß an Sicherheitsmaßnahmen vor, wie zum Beispiel den Einsatz von Lösungen zur Erkennung von Angriffen. Soweit so gut. Was Deutschland jedoch fehle, sei ein rechtlicher Rahmen für eine aktive Cyberabwehr, sagt Brandl.
Auch in den Unternehmen, die Braun bisher betreute, fehle es an Struktur. "Was Lösungen und Technologien angeht, sind die Unternehmen sehr gut aufgestellt. Aber es fehlt ganz extrem an Organisationsstrukturen und die Fähigkeit, das eigene Risiko einzuschätzen." Fehlen Organisation und Verständnis, dauert die Wiederherstellung der Systeme im Angriffsfall länger, was die Unternehmen wiederum viel Geld kostet. "Organisation ist 60 Prozent, Technologien sind 40 Prozent, um einen erfolgreichen Cyberangriff abzuwehren und Schäden zu minimieren", sagt Braun. Dafür fehle es jedoch vor allem in den Führungsebenen an Security Awareness.
IT-Sicherheit gesetzlich verankern
Braun empfiehlt rechtliche Vorgaben, die das Management dazu verpflichten, sich der IT-Sicherheit in ihren Unternehmen anzunehmen. "Wir sehen es schon beim Datenschutz. Hier gibt es mit der DSGVO bereits einen gesetzlichen Rahmen und Bußgelder. Für die Cybersecurity muss das zwangsläufig auch passieren", sagt Braun.
Für die Bewertung und Verfolgung von Datenschutzverstößen, sind die Bundesdatenschutzbeauftragten sowie die Datenschutzbeauftragten der Bundesländer zuständig. Was die IT-Sicherheit angeht, landet man hier wieder bei der Frage nach der Zuständigkeit.
"Vom Bund gibt es keine zuständige Sicherheitsbehörde für die Cyberabwehr. Aktuell sind dafür die Polizeien der Bundesländer verantwortlich. Die Polizei hat an sich auch die Möglichkeiten, um zum Beispiel Angriffs-Server abzuschalten. Auf groß angelegte Attacken sind die Länder aber nicht vorbereitet", ergänzt Brandl. Er begrüßt die Grundgesetzänderung, die Faeser vorgeschlagen hat, damit der Bund die führende Rolle in der Cybersicherheit einnimmt.
Kritisiert haben die Diskussionsteilnehmer außerdem, dass das zusätzliche Sondervermögen von 100 Milliarden Euro nur an die Bundeswehr geht und nicht in die Cyberabwehr investiert wird.
Das Grundproblem: der IT-Fachkräftemangel
Doch selbst mit finanziellen Investitionen, bleibt immer noch die Frage nach dem Personal. Wie viele Branchen ist auch der ITK-Markt vom Fachkräftemangel betroffen, an Security-Experten fehlt es besonders. Ihre Aufgabe ist es, die Systeme zu warten, zu verwalten, Cyberangriffe zu erkennen und abzuwehren. Diese Aufgaben können nicht an die ohnehin meist überlasteten IT-Teams ausgelagert werden, es braucht Spezialisten.
Auf eine halbe Millionen Euro schätzt Ochs die jährlichen Ausgaben der Stadtwerke München für die Rekrutierung neuer IT-Mitarbeiter. "Wir machen viel, um auf uns aufmerksam zu machen. Wir machen Kinowerbung, Plakate, Veranstaltungen, Tech-Talks und Podcasts. Wir werben aber nicht mehr mit den Stadtwerken München. Sondern wir werben mit Menschen und Projekten und spannenden Themen. Wir zeigen unsere Mitarbeiter, die stolz sind auf zum Beispiel die Apps, die sie programmiert haben."
Braun hat eine weitere Idee: "Wenn wir uns das duale Ausbildungssystem in Deutschland ansehen, ist dort nichts passiert. An der IHK gibt es die Ausbildungsberufe Fachinformatiker für Systemintegration und Fachinformatiker für Anwendungsentwicklung. In der IT und vor allem in der IT-Sicherheit hat sich jedoch sehr viel getan. Hier müssen neue Berufsbilder und neue Anreize geschaffen werden, wie kürzere Ausbildungszeiten und Bootcamps."
Leider gehen Veränderungen wie diese nur langsam von statten. Und "nicht jedes Unternehmen ist in der Lage, so schnell wie die Stadtwerke München wieder betriebsfähig zu sein. Dennoch ist es extrem wichtig, vorzusorgen", appelliert Kreter. "Viele Unternehmen erholen sich nicht von einem Cyberangriff und müssen deshalb schließen. Ich möchte jedem kleinen und großen Unternehmen und jeder kleinen und großen Stadt nahelegen, sich auf einen Cybersecurity-Notfall vorzubereiten."