Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, die Bedrohungslage für Kritische Infrastrukturen sei so hoch wie nie zuvor. Was heißt das konkret?
Christine Hofer: Im Bereich der Kritischen Infrastrukturen sehen wir eine anhaltend angespannte Gefährdungslage. Diese ist auch in der sich zuspitzenden geopolitischen Lage begründet. Neben Cyberkriminellen müssen sich insbesondere Kritische Infrastrukturen auch gegen Cyberspionage und Cybersabotage wappnen. Die Urheberschaft von Cyberangriffen ist dabei eng mit der Motivation der Angreifer verknüpft. Cyberkriminalität ist längst eine professionelle Schattenwirtschaft geworden, bei der sich unterschiedliche Angreifergruppierungen auf verschiedene Angriffsszenarien spezialisiert haben. Ihre Werkzeuge und Infrastruktur können im Darknet wie Dienstleistungen gemietet werden. Cyberspionage und Cybersabotage werden meist staatlich gelenkten Gruppierungen zugeschrieben, die Übergänge sind allerdings fließend.
Mit dem Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie soll ein „hohes gemeinsames Cybersicherheitsniveau“ in der Union erreicht werden. Wird Deutschland dadurch sicherer?
Durch die Umsetzung der NIS-2-Richtlinie werden künftig rund 29.500 Unternehmen in Deutschland dazu verpflichtet, stärkere IT-Sicherheitsmaßnahmen umzusetzen. Außerdem werden sie gegenüber dem BSI meldepflichtig, wenn es zu IT-Sicherheitsvorfällen kommt. Wir erhoffen uns dadurch ein deutlich höheres IT-Sicherheitsniveau in der Breite und ein umfangreiches Lagebild für Deutschland. Das ist vor allem zur Früherkennung und zur Analyse von Angriffsmethoden von Bedeutung. Das BSI stellt zur NIS-2-Richtlinie umfangreiches Informationsmaterial zur Verfügung, damit Unternehmen sich frühzeitig und gezielt vorbereiten können.
Die Betreiber Kritischer Infrastrukturen müssen Ihnen aber auch jetzt schon IT-Sicherheitsvorfälle melden. Was wird Ihnen denn da so gemeldet?
Vorfälle, die geeignet sind, die Kritische Dienstleistung zu beeinträchtigen. Darunter fallen Soft- und Hardwarefehler, Fehlkonfigurationen, Stromausfälle und letztlich auch – erfolgreiche – Cyberangriffe. Letztere machen allerdings den geringsten Anteil der gemeldeten Störungen aus. Beispielhaft wären etwa die Störungen an mehreren europäischen Flughäfen zu nennen, die im vergangenen September durch einen erfolgreichen Cyberangriff auf einen Dienstleister ausgelöst wurden. In diesen Fällen ist für das BSI die Urheberschaft nachrangig, im Vordergrund stehen zunächst das schnelle Wiederanlaufen der Kritischen Dienstleistung und die Analyse des Geschehens, um daraus Präventionsempfehlungen auch für Dritte entwickeln zu können.
Wie zufrieden sind Sie mit der Umsetzung der IT-Maßnahmen bei den Unternehmen?
Deutschland muss im Bereich der Cybersicherheit insgesamt noch deutlich besser werden und darf in seinen Bemühungen auch nie nachlassen. Die Digitalisierung entwickelt sich stetig weiter und das tun Cyberkriminelle auch. Deswegen ist Cybersicherheit eine Daueraufgabe, die konsequent erledigt werden muss. Bei den Kritischen Infrastrukturen sehen wir insgesamt eine positive Tendenz. Die Resilienz erhöht sich Schritt für Schritt. Wir sehen in unserem Monitoring zunehmend bessere Werte etwa für die Umsetzung von Informationsmanagementsystemen (ISMS) und im Business Continuity Management. Trotzdem besteht hier weiterhin Nachholbedarf.
