đŹ âDein Argumentâ greift Euren Input auf: Auch Kommentare aus der BR24-Community sind Anlass fĂŒr diesen Beitrag. đŹ
Februar dieses Jahres: WĂ€hrend sich auf der MĂŒnchner Sicherheitskonferenz die politische Elite lauthals ĂŒber die Zukunft der transatlantischen Werte- und Sicherheitsgemeinschaft streitet, geht im Hintergrund ein leiser, aber wirkungsvoller Angriff vonstatten. Die Website der Bayerischen Staatsregierung ist plötzlich nicht mehr erreichbar. Statt Pressemitteilungen und Informationen zur jĂŒngsten Kabinettssitzung sehen Besucher nur Fehlermeldungen. Der Grund: Eine mutmaĂlich prorussische Cyberattacke hat die digitale Infrastruktur lahmgelegt.
Wie verdĂ€chtig ist eine âverdĂ€chtigte AktivitĂ€tâ?
Solche VorfĂ€lle sind lĂ€ngst keine EinzelfĂ€lle mehr. Das Landesamt fĂŒr Sicherheit in der Informationstechnik (LSI) verzeichnete im Jahr 2024 rund 5.800 âverdĂ€chtige AktivitĂ€tenâ gegen bayerische Landesbehörden â mehr als je zuvor. Eine beunruhigende Statistik, doch was bedeutet diese Zahl wirklich? Handelt es sich bei jeder âverdĂ€chtigen AktivitĂ€tâ um harmlose Spam-Mails oder ausgeklĂŒgelte Hackerangriffe, die tatsĂ€chlich Schaden anrichten könnten?
âIch habe mir erst mal gedacht, dass diese Zahl halt irgendwie gar nichts aussagtâ, findet Manuel Atug, Sprecher der AG Kritis, einer unabhĂ€ngigen Gruppe, die sich mit der IT-Sicherheit kritischer Infrastrukturen befasst. âVerdĂ€chtige AktivitĂ€ten, ob 6.000, 60.000 oder 600.000 oder nur 10, sind erst mal nur verdĂ€chtig. Das ist so weit nichts Schlimmes.â
Digitales Grundrauschen
Atug stellt die Aussagekraft dieser Zahlen infrage und erklĂ€rt das PhĂ€nomen anhand eines Alltagsbeispiels: âDas ist wie ein digitales Grundrauschen â so wie auch jeden Tag tausende Menschen ĂŒber eine rote Ampel gehen. Eigentlich illegal, aber meist ohne gravierende Folgenâ. Im Internet sei ein gewisses MaĂ an verdĂ€chtigen AktivitĂ€ten normal, betont der IT-Sicherheitsexperte.
Die eigentlich relevante Frage ist: Wie viele dieser AuffĂ€lligkeiten stellten tatsĂ€chlich eine ernsthafte Bedrohung dar? Eine Frage, die sich auch BR24-User âHappyâ stellt: ââ5.800 verdĂ€chtige AktivitĂ€tenâ. Ich mĂŒsste direkt mal ĂŒberlegen, ob ich als Einzelperson nicht ebenso viele verdĂ€chtige AktivitĂ€ten ĂŒber mein E-Mail-Postfach erhalte.â Er kritisiert einen frĂŒheren Bericht bei BR24: âVerdĂ€chtige AktivitĂ€ten sind keine erfolgreichen Hackerangriffe. Wie viele waren denn nun erfolgreich?â
Der BR hat diese Frage dem LSI gestellt. Die Antwort fĂ€llt knapp aus: âNur ein Bruchteil hiervon war tatsĂ€chlich ein kritischer IT-Sicherheitsvorfall, also eine bestĂ€tigte Sicherheitsverletzung, die ein unmittelbares Eingreifen erfordern.â Mit anderen Worten: Die meisten âBedrohungenâ entpuppten sich bei nĂ€herer Betrachtung als harmlos.
Risiken wachsen
Doch hinter solchen Zahlenspielen steht durchaus eine beunruhigende RealitĂ€t. Denn wĂ€hrend Behörden AuffĂ€lligkeiten zĂ€hlen, wachsen die echten Risiken stetig an. Der Branchenverband Bitkom beziffert die CyberschĂ€den in Deutschland bereits auf 267 Milliarden Euro â eine gewaltige Summe, die durch rechtzeitige Investitionen in SicherheitsmaĂnahmen hĂ€tte reduziert werden können.
Die Gesetzgebung versucht zwar, gegenzusteuern. Mit der NIST-2-Richtlinie fĂŒr Cybersicherheit und dem Kritis-Dach-Gesetz wurden Rahmenbedingungen geschaffen, die kritische Infrastrukturen schĂŒtzen sollen. Doch es gibt eine entscheidende Schwachstelle: Staatliche Einrichtungen und Verwaltungen werden von diesen Sicherheitsanforderungen hĂ€ufig ausgenommen.
Atug beschreibt das Problem so: âBeim Staat und der Verwaltung sieht man leider sehr oft ein Cyber-Wimmelbild der Verantwortungsdiffusion.â Er bemĂ€ngelt die Diskrepanz zwischen politischen AbsichtserklĂ€rungen und tatsĂ€chlicher Umsetzung: âEs wird immer wieder angebracht, man mĂŒsste Dinge tun. PolitikerInnen fordern, jetzt brauchen wir wirklich MaĂnahmen, aber tatsĂ€chliche Umsetzung erfolgt leider sehr trĂ€ge.â Dies fĂŒhre zu einem erheblichen Investitionsstau, der die FunktionsfĂ€higkeit staatlicher Infrastrukturen gefĂ€hrde â weit unter dem Niveau, das eigentlich notwendig wĂ€re.
Geld alleine? Hilft nicht
Ein Hoffnungsschimmer: Union und SPD planen ein Sondervermögen fĂŒr Infrastruktur, das möglicherweise auch helfen könnte, diesen Investitionsstau zu beheben. Und die GrĂŒnen wiederum fordern in einem alternativen Gesetzesentwurf zum schwarz-roten Vorhaben, Verteidigungsausgaben von der Schuldenbremse auszunehmen, Sicherheit breiter zu definieren. Das könnte dann dazu fĂŒhren, dass auch Investitionen in die Cybersicherheit nicht auf die Schuldenbremse angerechnet wĂŒrden.
Klar ist: Angesichts der aktuellen geopolitischen Lage wĂ€re mehr Cyberresilienz notwendiger denn je. Doch Manuel Atug von der AG Kritis warnt vor falschen PrioritĂ€ten: âMan wird damit sicherlich nicht in kĂŒrzester Zeit einen InvestitionsrĂŒckstau von circa den letzten 40 Jahren beheben können. Das wird auch einige Jahre dauern, um das zu reparieren.â Er begrĂŒĂt zwar mehr Investitionen in diesen Bereich, warnt aber zugleich: âWenn damit nur irgendwelche Glitzer-Hype-KI-Lösungen gekauft werden, dann wird dieses Geld leider verbrannt.â
