💬 „Dein Argument“ greift Euren Input auf: Auch Kommentare aus der BR24-Community sind Anlass für diesen Beitrag. 💬
Februar dieses Jahres: Während sich auf der Münchner Sicherheitskonferenz die politische Elite lauthals über die Zukunft der transatlantischen Werte- und Sicherheitsgemeinschaft streitet, geht im Hintergrund ein leiser, aber wirkungsvoller Angriff vonstatten. Die Website der Bayerischen Staatsregierung ist plötzlich nicht mehr erreichbar. Statt Pressemitteilungen und Informationen zur jüngsten Kabinettssitzung sehen Besucher nur Fehlermeldungen. Der Grund: Eine mutmaßlich prorussische Cyberattacke hat die digitale Infrastruktur lahmgelegt.
Wie verdächtig ist eine „verdächtigte Aktivität“?
Solche Vorfälle sind längst keine Einzelfälle mehr. Das Landesamt für Sicherheit in der Informationstechnik (LSI) verzeichnete im Jahr 2024 rund 5.800 „verdächtige Aktivitäten“ gegen bayerische Landesbehörden – mehr als je zuvor. Eine beunruhigende Statistik, doch was bedeutet diese Zahl wirklich? Handelt es sich bei jeder „verdächtigen Aktivität“ um harmlose Spam-Mails oder ausgeklügelte Hackerangriffe, die tatsächlich Schaden anrichten könnten?
„Ich habe mir erst mal gedacht, dass diese Zahl halt irgendwie gar nichts aussagt“, findet Manuel Atug, Sprecher der AG Kritis, einer unabhängigen Gruppe, die sich mit der IT-Sicherheit kritischer Infrastrukturen befasst. „Verdächtige Aktivitäten, ob 6.000, 60.000 oder 600.000 oder nur 10, sind erst mal nur verdächtig. Das ist so weit nichts Schlimmes.“
Digitales Grundrauschen
Atug stellt die Aussagekraft dieser Zahlen infrage und erklärt das Phänomen anhand eines Alltagsbeispiels: „Das ist wie ein digitales Grundrauschen – so wie auch jeden Tag tausende Menschen über eine rote Ampel gehen. Eigentlich illegal, aber meist ohne gravierende Folgen“. Im Internet sei ein gewisses Maß an verdächtigen Aktivitäten normal, betont der IT-Sicherheitsexperte.
Die eigentlich relevante Frage ist: Wie viele dieser Auffälligkeiten stellten tatsächlich eine ernsthafte Bedrohung dar? Eine Frage, die sich auch BR24-User „Happy“ stellt: „‚5.800 verdächtige Aktivitäten‘. Ich müsste direkt mal überlegen, ob ich als Einzelperson nicht ebenso viele verdächtige Aktivitäten über mein E-Mail-Postfach erhalte.“ Er kritisiert einen früheren Bericht bei BR24: „Verdächtige Aktivitäten sind keine erfolgreichen Hackerangriffe. Wie viele waren denn nun erfolgreich?“
Der BR hat diese Frage dem LSI gestellt. Die Antwort fällt knapp aus: „Nur ein Bruchteil hiervon war tatsächlich ein kritischer IT-Sicherheitsvorfall, also eine bestätigte Sicherheitsverletzung, die ein unmittelbares Eingreifen erfordern.“ Mit anderen Worten: Die meisten „Bedrohungen“ entpuppten sich bei näherer Betrachtung als harmlos.
Risiken wachsen
Doch hinter solchen Zahlenspielen steht durchaus eine beunruhigende Realität. Denn während Behörden Auffälligkeiten zählen, wachsen die echten Risiken stetig an. Der Branchenverband Bitkom beziffert die Cyberschäden in Deutschland bereits auf 267 Milliarden Euro – eine gewaltige Summe, die durch rechtzeitige Investitionen in Sicherheitsmaßnahmen hätte reduziert werden können.
Die Gesetzgebung versucht zwar, gegenzusteuern. Mit der NIST-2-Richtlinie für Cybersicherheit und dem Kritis-Dach-Gesetz wurden Rahmenbedingungen geschaffen, die kritische Infrastrukturen schützen sollen. Doch es gibt eine entscheidende Schwachstelle: Staatliche Einrichtungen und Verwaltungen werden von diesen Sicherheitsanforderungen häufig ausgenommen.
Atug beschreibt das Problem so: „Beim Staat und der Verwaltung sieht man leider sehr oft ein Cyber-Wimmelbild der Verantwortungsdiffusion.“ Er bemängelt die Diskrepanz zwischen politischen Absichtserklärungen und tatsächlicher Umsetzung: „Es wird immer wieder angebracht, man müsste Dinge tun. PolitikerInnen fordern, jetzt brauchen wir wirklich Maßnahmen, aber tatsächliche Umsetzung erfolgt leider sehr träge.“ Dies führe zu einem erheblichen Investitionsstau, der die Funktionsfähigkeit staatlicher Infrastrukturen gefährde – weit unter dem Niveau, das eigentlich notwendig wäre.
Geld alleine? Hilft nicht
Ein Hoffnungsschimmer: Union und SPD planen ein Sondervermögen für Infrastruktur, das möglicherweise auch helfen könnte, diesen Investitionsstau zu beheben. Und die Grünen wiederum fordern in einem alternativen Gesetzesentwurf zum schwarz-roten Vorhaben, Verteidigungsausgaben von der Schuldenbremse auszunehmen, Sicherheit breiter zu definieren. Das könnte dann dazu führen, dass auch Investitionen in die Cybersicherheit nicht auf die Schuldenbremse angerechnet würden.
Klar ist: Angesichts der aktuellen geopolitischen Lage wäre mehr Cyberresilienz notwendiger denn je. Doch Manuel Atug von der AG Kritis warnt vor falschen Prioritäten: „Man wird damit sicherlich nicht in kürzester Zeit einen Investitionsrückstau von circa den letzten 40 Jahren beheben können. Das wird auch einige Jahre dauern, um das zu reparieren.“ Er begrüßt zwar mehr Investitionen in diesen Bereich, warnt aber zugleich: „Wenn damit nur irgendwelche Glitzer-Hype-KI-Lösungen gekauft werden, dann wird dieses Geld leider verbrannt.“
