Cyberangriffe – die unsichtbare Bedrohung

Immer wieder schaffen es Cybervorfälle in die bundesweiten Schlagzeilen: Ein Krankenhaus muss sich von der Notfallversorgung abmelden, weil Kriminelle die internen Informationstechnik-Systeme (kurz: IT-Systeme) durch sogenannte Ransomware verschlüsselt haben und ein Lösegeld verlangen. Schadsoftwarewellen wie 2017 WannaCry und NotPetya oder 2019 und 2020 Emotet sorgten sektorübergreifend für Ausfälle bei Kritischen Infrastrukturen (kurz: KRITIS).

Die Folgen: Stromausfälle und Ausfall kritischer Dienstleistungen

2015 und 2016 führten Angriffe auf mehrere regionale Energieversorger sowie einen Übertragungsnetzbetreiber in der Ukraine sogar zu den ersten bestätigten Stromausfällen durch Cybersabotage. Aber auch fehlerhafte Software-Updates oder Konfigurationsfehler verursachen immer wieder unerwartete Ausfälle kritischer Dienstleistungen.

Fortschreitende Digitalisierung birgt Gefahren

Gleichzeitig nimmt die Verbreitung und Nutzung von Informations- und Kommunikationstechnik seit Jahren kontinuierlich zu. Automatisierung und der sekundenschnelle Austausch von Daten bergen enorme Möglichkeiten zur Effizienzsteigerung. Daher können auch sicherheitskritische Bereiche – beispielsweise die Betreiber Kritischer Infrastrukturen – nicht mehr auf Informations- und Kommunikationstechnik verzichten.

Informationstechnik und Telekommunikation

KRITIS-Sektor

Informationstechnik und Telekommunikation (kurz: IKT) sind unverzichtbare Dienstleistungen für Staat, Wirtschaft und Gesellschaft.

Die fortschreitende Digitalisierung in allen Bereichen treibt außerdem die Vernetzung immer weiter voran. Zu guter Letzt sind viele Betreiber Kritischer Infrastrukturen in vielfacher Weise voneinander abhängig, auch sektorübergreifend. Vor dem Hintergrund dieser potenziellen Störungskaskade ist nicht auszuschließen, dass Störungen in einer Kritischen Infrastruktur auf andere übertragen werden.

Die Wahrscheinlichkeit, dass kritische Dienstleistungen aufgrund von Cybergefahren ausfallen, ist heute so hoch, dass sie ständig mitgedacht werden muss.

Aufgaben des BBK bei Cybergefahren

Die Bundesregierung nimmt die Gefahr von Cybervorfällen sehr ernst und hat eine Cyber-Sicherheitsstrategie für Deutschland entwickelt. Sie steckt den Rahmen für sämtliche Aktivitäten zum Schutz vor Cybergefahren ab. In verantwortlicher Rolle ist selbstverständlich auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe involviert.

Störungen des öffentlichen Sicherheit vermeiden

Übergeordnetes Ziel des BBK im Umgang mit Cybergefahren ist es, gravierende Ausfälle kritischer Dienstleistungen und damit erhebliche Störungen der öffentlichen Sicherheit zu vermeiden. Das BBK beschäftigt sich folglich insbesondere mit den Auswirkungen, die Cybervorfälle über den Cyberraum hinaus haben können.

Im Fokus des BBK stehen vier komplexe Aufgabenbereiche:

• die Suche nach Möglichkeiten zur Vorsorge,
• die Minderung der Folgen, die Cybervorfälle beispielsweise auf die Verfügbarkeit kritischer Dienstleistungen haben können,
• die Warnung und Information der Bevölkerung sowie
• das Bevölkerungsschutzsystem in Deutschland.

Dem All-Gefahren-Ansatz folgend strebt das BBK an, den Cyberbereich in das allgemeine Risiko- und Krisenmanagement zu integrieren. Dies würde den ganzheitlichen Ansatz des Bundesamtes stärken.

KRITIS-Gefahren­

Gefahrenlagen

Kritische Infrastrukturen sind nicht nur alltäglichen Störungen, sondern auch Extremereignissen ausgesetzt. Hierzu gehören Naturgefahren, technisches Versagen und vorsätzliche Handlungen.

Das IT-Sicherheitsgesetz 2015

Das IT-Sicherheitsgesetz 2015 hat die Aufgaben des BBK in Bezug auf Cybergefahren noch einmal konkretisiert:

In seine Zuständigkeit fällt demnach die Analyse potenzieller Auswirkungen, die erfolgte oder versuchte IT-Angriffe, Sicherheitslücken und Schadprogramme auf die Verfügbarkeit Kritischer Infrastrukturen haben können. Außerdem soll es bei der Prüfung branchenspezifischer Sicherheitsstandards mitwirken.

Gesetze und Verordnungen des Bundes und Richtlinien der EU

Rechtlicher Rahmen

Der Schutz Kritischer Infrastrukturen in Deutschland wird auch durch den Gesetzgeber gestärkt. Dabei gibt es nicht das eine Gesetz für alle Fälle – aber viele wichtige Fachgesetze.

Leitfäden und Handlungsempfehlungen zum Schutz Kritischer Infrastrukturen

Darüber hinaus müssen die Effekte von Cybergefahren auch in den Leitfäden und Handlungsempfehlungen zum Schutz Kritischer Infrastrukturen berücksichtigt werden.

Des Weiteren hat das BBK die letzte Länder- und Ressortübergreifende Krisenmanagementübung LÜKEX 23 mit dem Szenario Cyberangriff auf Regierungshandeln ausgerichtet.

LÜKEX 2023

Länder- und Ressortübergreifende Krisenmanagementübung

Cyberangriff auf das Regierungshandeln: Die neunte Länder- und Ressortübergreifende Krisenmanagementübung fand vom 27. bis zum 28. September 2023 statt.

Akteursübergreifende Zusammenarbeit

Da es sich bei der Bekämpfung von Cybergefahren um eine gesamtgesellschaftliche Herausforderung handelt, leisten neben dem BBK eine Vielzahl von Akteuren aus Staat, Wirtschaft, Wissenschaft und Gesellschaft ihren Beitrag zur Cybersicherheit in Deutschland.

Einen Überblick bietet das „Online-Kompendium Cybersicherheit in Deutschland“ des Nationalen Pakts Cybersicherheit.

Damit die gemeinsamen Anstrengungen erfolgreich sind, ist eine gute Kooperation unerlässlich. Das BBK steht mit verschiedenen Akteuren in engem Austausch und engagiert sich in den zugehörigen Plattformen.

Gemeinsame Plattform Cyber-Abwehrzentrum

Im Nationalen Cyber-Abwehrzentrum (kurz: Cyber-AZ) in Bonn arbeitet das BBK über Verbindungspersonen mit anderen relevanten Behörden zusammen.

Quelle: BPol

Aktuell sind dort neben dem BBK folgende Kernbehörden vertreten:

• Bundesamt für den Militärischen Abschirmdienst (kurz: BAMAD)
• Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI)
• Bundesamt für Verfassungsschutz (kurz: BfV)
• Bundeskriminalamt (kurz: BKA)
• Bundesnachrichtendienst (kurz: BND)
• Bundespolizeipräsidium (kurz: BPOLP)
• Kommando Cyber- und Informationsraum (kurz: KdoCIR)

Weitere beteiligte Stellen als Assoziierte Einrichtungen:

• Zollkriminalamt (kurz: ZKA)
• Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin)

Weitere beteiligte Stellen als Partner:

• Cyberabwehr Bayern (kurz: CAB)
• Hessen CyberCompetenceCenter (kurz: Hessen3C)
• Schwerpunktstaatsanwaltschaften Cyber aus Bamberg und Köln

Das Cyber-AZ bietet als gemeinsame Plattform die Möglichkeit zum schnellen Informationsaustausch und zur besseren Koordinierung von Schutz- und Abwehrmaßnahmen gegen IT-Sicherheitsvorfälle. Vorfälle können zügig und umfassend bewertet werden, was die Erarbeitung abgestimmter Handlungsempfehlungen begünstigt.

Die Plattform dient unter anderem dazu, Analyseergebnisse sowie Informationen zu Verwundbarkeiten und Angriffsformen auszutauschen und Risikobewertungen zusammenzutragen. Relevante Ergebnisse werden den zuständigen Ministerien der Bundesregierung und den Bundesländern als gemeinsame Berichte zur Verfügung gestellt. Dabei arbeiten alle beteiligten Behörden unter Beibehaltung ihrer jeweiligen Aufgaben und gesetzlichen Befugnisse.

Zusammenarbeit im UP KRITIS

Auch im Umsetzungsplan Kritische Infrastrukturen (kurz: UP KRITIS), der öffentlich-privaten Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen, bilden Cybergefahren einen wichtigen Bestandteil des Austauschs. Ziel der Mitglieder ist es unter anderem, gemeinsam die Cyber-Sicherheitslage einzuschätzen und zu bewerten sowie die Robustheit von Informations- und Kommunikationstechnik-Komponenten in kritischen Prozessen zu fördern.