https://www.faz.net/-gqz-9fgea

Nationale IT-Sicherheit : Wie gemütlich es sich im Fadenkreuz lebt

  • -Aktualisiert am

Horst Seehofer mit dem BSI-Präsidenten Arne Schoenbohm bei der Vorstellung des BSI-Berichts in der vergangenen Woche Bild: Felipe Trueba/EPA-EFE/REX

Und dann wird zurückgehackt: Bei der Präsentation des alarmierenden Lageberichts seiner IT-Sicherheitsbehörde lässt Horst Seehofer viele Fragen offen. Was weiß er über die wahren Gegner?

          Die Angriffe sind in vollem Gange: Fast jeden zweiten Tag geht bei der Meldestelle des Nationalen IT-Lagezentrums eine jener Nachrichten ein, die als „Sofort-Meldung“ eingestuft ist. Auf mehr als hundertfünfzig solch dringender Alarmierungen läpperte sich die Zahl im letzten Jahr. So steht es im Lagebericht vom Bundesamt für Sicherheit (BSI) in der Informationstechnik. Innenminister Horst Seehofer stellte den Bericht seiner IT-Sicherheitsbehörde am Donnerstag höchstselbst vor. Besonders alarmiert wirkte er allerdings nicht. Dass Anfang des Jahres ein Hack im deutschen Regierungsnetzwerk herauskam, hat offenbar keinen nachhaltigen Schrecken erzeugt. Seehofer liest ein paar Sätze zu dem Vorfall ab – keine weiteren Kommentare.

          Wie viele Menschen hat auch er sich damit abgefunden, dass gefährliche IT-Angriffe heute zum Alltag gehören. Sie wirken abstrakt, irgendwer mit Ahnung kümmert sich schon darum. Die Tatsache, dass wir immer technikabhängiger sind, andauernd Computern vertrauen und ihnen manchmal sogar unsere Gesundheit und unser Leben überantworten, hat sich noch nicht so weit ins kollektive Bewusstsein eingeprägt, dass der alarmierende BSI-Lagebericht übermäßig viel Aufmerksamkeit erhalten hätte. Dabei hält das BSI nicht hinter dem Berg, worin die neue Gefährlichkeit besteht: Zum einen werden alle möglichen Computersysteme vernetzt, zum anderen steigt die Angriffsqualität. Hinzu kommen über 750 Millionen bekannte Schadprogramme, die auf Computern lungern oder auf dem Weg dahin sind. Wegen dieser Bedrohungssituation sei von einem neuen Niveau der „Gefährdungslage“ auszugehen, forciert durch Kriminelle und Geheimdienste.

          Doch Seehofer entwickelte bei dieser Gefährdung wenig Elan für das Gegensteuern. Wenn seine Experten erklären, dass mindestens eine sechsstellige Anzahl Computersysteme in Deutschland bereits infiziert ist, um demnächst zu einem Botnetz zu gehören, erwähnte der Minister das nicht einmal. Mag das BSI in seinem Bericht auch schreiben, dass der Erpressungs-Trojaner „WannaCry“ nach Schätzungen global bis zu vier Milliarden Dollar Schaden verursacht habe, Seehofer konzentrierte sich nur aufs fehlerfreie Ablesen.

          Der Bürger in der Verantwortung

          Mit fast identischen Worten wie einst Thomas de Maizière leierte der Innenminister die Ansätze der Cyber-Sicherheitsstrategie der Bundesregierung herunter: Die Bürger müssten auch Verantwortung für die IT-Sicherheit übernehmen und Staat und Wirtschaft sollten eng bei der Abwehr von Angriffen kooperieren. Selbst eine Art IT-Gütesiegel, das de Maizière schon für das Jahr 2017 angekündigt hatte, kramte Seehofer erneut hervor: Es solle bald kommen. Beim Zuhören konnte man sich kaum des Eindrucks erwehren, dass die Ministeriumsmitarbeiter für ihn eine alte Rede von de Maizière kopierten.

          Doch immerhin eine Neuigkeit kann der Innenminister vorweisen: Seehofer erwähnt in der Pressekonferenz die neue Agentur ADIC, die er zusammen mit der Verteidigungsministerin Ursula von der Leyen kürzlich ins Leben rief. ADIC steht für Agentur für Disruptive Innovationen in der Cybersicherheit.

          Dass mit ADIC eine gemeinsame Agentur für zivile Beamte und für Soldaten der Bundeswehr im „Cyber- und Informationsraum“ gegründet wurde, sollte eigentlich aufhorchen lassen. Da mag das BSI-Lagebild noch so düster und nach den Worten Seehofers „besorgniserregend“ sein: Ein eigenes Arsenal von Cyberwaffen und geheimes Wissen um Schwachstellen für ihren Einsatz anzulegen und dafür ordentlich Geld zur Verfügung zu stellen, ließ sich der Minister trotzdem nicht nehmen.

          FAZ.NET komplett

          Zugang zu allen exklusiven F+Artikeln und somit zur ganzen Vielfalt von FAZ.NET – für nur 2,95 Euro pro Woche

          Mehr erfahren

          Betont Seehofer im Vorwort des BSI-Lageberichts noch, Deutschland mitsamt der Wirtschaft und den Behörden stünde „weiterhin im Fadenkreuz von Cyber-Angriffen“, dann klingt reichlich hohl, wenn in der Pressekonferenz dann zur IT-Attacke geblasen wird – zumal gemeinsam mit Militärs. Und ADIC ist nur ein Teil der neuen Offensivstrategie, ein anderer ist die „aktive Cyberabwehr“.

          Wer ist der Gegner?

          Der Begriff umschreibt die Idee, dass man bei einem Angriff nicht defensiv bleibt, sondern Gegenmaßnahmen ergreift, also „zurückhackt“. Seehofer erklärte, sie liege ihm „besonders am Herzen“, da man im Koalitionsvertrag beschlossen habe, die Cyberabwehr zu stärken. Dies schließe die „aktive Cyberabwehr“ mit ein. Das ist eine recht freie Interpretation des Wortlauts des Koalitionsvertrags, der in Wahrheit Abwehr und gerade keinen aktiven Angriff vorsieht.

          Seehofer sagte, man erörtere gerade innerhalb der Bundesregierung rechtliche Rahmenbedingungen einer „aktiven Cyberabwehr“. Doch mit rechtlichen Regeln ist es keineswegs getan. Wer nämlich eine „aktive Cyberabwehr“ wünscht, muss zuerst Fragen beantworten: Gegen wen wehren wir uns denn aktiv? Wer ist der Gegner? Und was passiert, wenn man gegen das falsche Ziel zurückschlägt?

          Wasserdichte Kriterien anzugeben, was eine aktive Gegenmaßnahme auslösen darf, ist ein haariges juristisches Problem und auch ein praktisches: Es ist schwierig, digitale Angreifer auszumachen. Denn deren sichere Bestimmung ist in der Regel erst nach einer gewissen Zeit und einer technischen Analyse möglich und bleibt oft auch ungelöst. Nur auf vage Indizien oder „Cui bono“-Plausibilitäten hin eine aktive Gegenwehr loszutreten, birgt dagegen ein enormes Eskalationspotential von sich aufschaukelnden IT-Angriffen.

          Auch das BSI benennt – aus fachlicher Kenntnis der Probleme bei der Attribution – Ross und Reiter nur zögerlich. Im Bericht ist immer wieder von neuen oder gerade bekannt gewordenen Angriffswerkzeugen die Rede, man verzichtet aber oft darauf, die Angreifer zu benennen – entweder weil man sie nicht sicher ausmachen kann, oder weil sie den Geheimdiensten zuzuordnen sind.

          Weitere Themen

          Fans gedenken Michael Jackson Video-Seite öffnen

          Zehn Jahre nach dem Tod : Fans gedenken Michael Jackson

          Zehn Jahre nach seinem Tod ist er für sie immer noch ein Idol - trotz der Missbrauchsvorwürfe. Hunderte Menschen versammelten sich vor dem Forest-Lawn-Friedhof oder auf dem „Walk of Fame“ um dem „King of Pop“ zu gedenken.

          Topmeldungen

          Der Fall Lübcke : Wie ein Bumerang

          In Wiesbaden und Berlin bestimmt der Fall Stephan E. die Tagesordnungen. Nicht nur die Frage nach dessen Bezügen zum NSU ist noch zu klären. Die Grünen beklagen eine „eklatante Analyseschwäche“ des Verfassungsschutzes.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.