BSI zur Cybersicherheit: Stabil unsicher

Die Vorstellung des sogenannten Lagebilds gehört seit Jahren fest zum Berliner Terminkalender: Traditionell stellen Bundesinnenminister und Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) dort zum einen den Stand der IT-Sicherheit vor. Und zum anderen eben die Maßnahmen, die gegen die Probleme helfen sollen.

Die Hauptbotschaft, die Bundesinnenminister Alexander Dobrindt (CSU) diesmal mitgebracht hat: Das BSI und auch seine Präsidentin leisten wichtige Arbeit. „Wir haben Pläne, das BSI deutlich zu stärken“, schildert der Vorgesetzte von BSI-Präsidentin Claudia Plattner. Um 65 Prozent solle der Haushalt der Bonner Behörde im kommenden Jahr anwachsen. Das liegt zum einen an neuen Zuständigkeiten: Mit dem Cyber Resilience Act wird das BSI erstmals eine Marktüberwachungsbehörde.

Künftig soll das BSI die IT-Sicherheit bei vernetzten Produkten auf dem Schirm haben, vom kleinen Consumer-Endgerät bis hin Komponenten, die in kritischen Infrastrukturen genutzt werden. Auch bei jenen wird das BSI 2026 deutlich mehr Zuständigkeiten bekommen – denn mit der anstehenden Verabschiedung des NIS2-Umsetzungsgesetzes werden künftig etwa 30.000 Stellen den erweiterten IT-Sicherheitsvorgaben unterliegen. Prüfkompetenzen, Beratung und auch die Bearbeitung von Sicherheitsvorfällen sollen beim BSI angesiedelt sein. Und auch die Federführung für die Cybersicherheit der Bundesverwaltung, der sogenannte CISO Bund, soll beim BSI beheimatet sein.

Sicherheitsprobleme in der Bundesverwaltung

Dass die Lage mehr Handeln erfordert, das stellt Bundesinnenminister Alexander Dobrindt klar heraus. Eine Bedrohung liege in „Angriffen staatlich gelenkter Gruppen, die geopolitisch aufgestellt sind und Deutschland ist eines der Topziele im Bereich der Cyberangriffe“, sagte der Innenminister – nach den USA, Indien und Japan sei es das viertrelevanteste Ziel. Und die Bundesverwaltung gibt dabei ein gutes Ziel ab, zeigt der BSI-Lagebericht: „Im aktuellen Berichtszeitraum wird unverändert vereinzelt ‒ in weniger als 10 Prozent der IP-Adressen ‒ Software eingesetzt, die bereits das Ende ihrer Lebensdauer überschritten hat.“ Hier könnte mit der Rolle als CISO auch ein härteres Durchgreifen des BSI möglich werden. „Bitteschön, Frau Plattner“, gibt Minister Alexander Dobrindt die Frage weiter, als er nach Windows 10 in der Bundesverwaltung gefragt wird. Die weist zum einen auf die lebenszeitverlängernden Möglichkeiten hin, aber auch auf die Notwendigkeit für neue Wege.

Insgesamt sei das Updateverhalten deutlich verbesserungsfähig. „Nach wie vor unzureichend geschützte Angriffsflächen“ wie etwa 30.000 verwundbare Microsoft Exchange-Server habe das BSI ausgemacht, berichtet Plattner. Im März 2024 waren es nur 17.000, die dem BSI bekannt waren. Jeden Tag würden 119 neue Schwachstellen der Behörde zur Kenntnis gelangen. Die gute Nachricht aus Sicht von Claudia Plattner: Die Resilienz bei Kritischen Infrastrukturen steigt allmählich an, wenn auch mit viel Luft nach oben. „Wir kommen vorwärts“, sagte die seit Mitte 2023 im Amt befindliche BSI-Präsidentin. Angreifer würden gezielt nach Lücken suchen: „Den Letzten beißen die Hunde.“ Zuletzt habe es immer wieder Probleme mit Software gegeben, die eigentlich für Sicherheit sorgen solle, etwa von VPN-Anbietern.

Kein Hackback, nur Zerstörung von Angriffsinfrastruktur

Um auch das zu verhindern, will Alexander Dobrindt die Sicherheitsbehörden möglichst früh eingreifen lassen. Ein Hackback sei es nicht, was er plane. Es gehe darum, „neue Befugnisse für die Sicherheitsbehörden“ zu schaffen, „die uns auch ermöglichen, die Infrastruktur von Angreifern vom Netz zu nehmen, zu stören, zu zerstören.“ Dies solle auch dann möglich sein, wenn sich die Angreifer außerhalb der Bundesrepublik befinden. „Das ist kein Hackback“, meint Dobrindt: Es gehe um die Störung und Zerstörung im Zuge der Gefahrenabwehr. Ob das von der dann betroffenen anderen Seite genauso gewertet wird, bleibt bis auf weiteres offen. Da die Zuständigkeit dafür wohl nicht im BSI landen wird, spielt das eher bei anderen Behörden eine unmittelbare Rolle. Allerdings müsste die Bonner Behörde wohl dann mit Reaktionen auf diese „aktive Cyberabwehr“ umgehen.

Dass die geopolitischen Spannungen bis auf Produktebene Auswirkungen haben, zeichnet der BSI-Bericht noch einmal nach. Darin heißt es etwa, dass „Konzepte zur cybersicheren Umsetzung von Mieterstrommodellen, Energy Sharing, Ladeinfrastrukturen sowie zur Eigenverbrauchsoptimierung und flexiblen Speichernutzung gemeinsam mit der Branche und beteiligten Behörden erarbeitet und nach Stand der Technik umgesetzt werden“ müssten – weil viele einzelne und über die Cloud vernetzte Objekte nicht automatisch dazu führen würden, dass etwas als kritische Infrastruktur eingestuft würde.

Kritis-Gesetzgebung und dezentrale Kritikalität

Dieses Grundproblem betrifft nicht nur Produkte der Energieversorgung, sondern etwa auch Autos und Sicherheitstechnik wie Videokameras. Eine Zertifizierung allein kann dieses Problem kaum lösen, da viele Produkte regelmäßig – auch im Sinne der IT-Sicherheit – Updates erhalten müssten, wie Claudia Plattner am Vormittag beschreibt:

„Bei vielen Produkten müssen wir gar nicht über Hintertüren, sondern über Vordertüren sprechen.“ Produkte aus China seien dabei verstärkt im Fokus, sagt Plattner. „Dazu kommt, dass der Hersteller diese Daten, die Sie auf diesem Gerät produzieren, auf einem Server sammelt“, mahnt Innenminister Alexander Dobrindt. „Der Zugriff auf diesen kann von unterschiedlicher Stelle möglich sein.“ Wie relevant das sei, sei oft nicht unmittelbar absehbar, sagt Dobrindt, erst in der Zusammenführung ergebe sich daraus ein Problem, etwa beim Schutz kritischer Infrastruktur. „Oftmals ist die boshafte Vermutung, die man haben kann, gar nicht so weit weg von der Realität.“

Was aber die Konsequenz daraus sei? Für Claudia Plattner ist das Konzept der Kontrollschichten maßgeblich, mit denen Zu- und Abfluss von Daten kontrolliert und notfalls auch eine Betriebsfähigkeit unabhängig vom Anbieter sichergestellt werden könne. Es hänge sehr stark von den einzelnen Komponenten ab, weshalb darauf jetzt auch der Fokus liege, schilderte Alexander Dobrindt die aktuelle Herangehensweise, bei kritischen Infrastrukturen könne es etwa in Bereichen zu Positivlisten kommen.

Dobrindt erwartet kein Verbot für chinesische Autos

Das weitere Vorgehen soll durch die neuen NIS2-Regeln genauer ausspezifiziert werden, die der Bundestag noch in dieser Woche verabschieden soll. Das aber wiederum wird nur für spezifische, kritische Infrastrukturen gelten. Könne als Konsequenz der Diskussion am Ende auch ein Betriebsverbot, etwa für chinesische Autos stehen? „Nein, damit rechne ich nicht“, sagt Alexander Dobrindt an diesem Morgen in Berlin.

Was das NIS2-Gesetz nur an einer Stelle mit sich bringt, die Opposition jedoch gerne hätte: „Um schwerwiegende Interessenkonflikte zu vermeiden, bleibt es zwingend notwendig, zumindest Teile des BSI endlich unabhängig zu stellen“, fordern Jeanne Dillschneider und Konstantin von Notz von den Grünen. Wie es um die Unabhängigkeit der Behörde an kritischen Stellen ihrer Tätigkeit bestellt ist, wenn politische Wünsche und technische Einschätzungen aufeinanderprallen, darum gab es in der Vergangenheit bereits mehrfach Diskussionen.

(mho)