AG-Blog: Cybersicherheit als strategische Notwendigkeit – internationale Bedrohungslagen und staatliche Handlungsoptionen im Fokus
Cyberangriffe auf öffentliche Behörden, Desinformationskampagnen auf Social Media und immer professioneller agierende Angreifer*innen: Bedrohungen im Cyberraum sind kein Zukunftsszenario, sondern bestimmen zunehmend den politischen und gesellschaftlichen Diskurs. Deswegen traf sich die AG Innovativer Staat, um sich gemeinsam über aktuelle Entwicklungen und Perspektiven der (inter-)nationalen Cybersicherheitspolitik auszutauschen.
Berlin. Ob im Kontext weltpolitischer Spannungen oder in lokalen Verwaltungen – Cyberangriffe haben sich längst zu einer allgegenwärtigen Gefahr für unsere (digitale) Infrastruktur entwickelt. Als Folge ist Cybersicherheit eine strategische Notwendigkeit geworden. Wie können also Staaten und Behörden auf Cyberangriffe reagieren und sich auf sie vorbereiten? Welche Bedeutung hat die aktuelle Cyberbedrohungslage für Bundesbehörden, aber auch für Kommunen? Und wie positioniert sich Deutschland in diesem Kontext? Diesen Fragen widmeten sich die Teilnehmenden der AG Innovativer Staat in ihrer ersten Sitzung 2025. Begrüßt wurden die Gäste von Jan-Lars Bey von Cassini und der neuen Co-Leitung der AG Başak Akbayir von Gartner.
Der Instrumentenkoffer der (inter-)nationalen Cybersicherheitspolitik
Den Anfang machte Christina Rupp von interface (früher: Stiftung Neue Verantwortung), die einen Überblick über die geopolitische und internationale Cybersicherheitspolitik gab.
Die Cybersicherheitslage hat sich sowohl qualitativ als auch quantitativ erhöht.
Außerdem sei seit Anfang der 2000er Jahre eine Diversifizierung der internationalen Gefährdungspotenziale zu erkennen. Neben Wirtschafts- und politischer Spionage hätten im Cyberraum zudem Cyberoperationen zur (staatlichen) Überwachung, im Kontext militärischer Operationen oder zum Zwecke der Sabotage und Subversion mit dem Ziel, die öffentliche Meinung zu beeinflussen, zugenommen. Auch Deutschland sei von einer Vielzahl an Cyberoperationen betroffen.
Was können Staaten tun, um politisch auf solche Cyberoperationen zu reagieren? Laut Rupp müsse zunächst die schwierige Frage geklärt werden, wer hinter den böswilligen Aktivitäten stecke. Anschließend könnten Staaten verschiedene Instrumente wählen – etwa Informationen an weitere potenziell betroffene Staaten weitergeben, Cyberoperationen öffentlich bestimmten Akteur*innen zuschreiben oder diplomatische sowie strafrechtliche Maßnahmen ergreifen. Als Ultima Ratio könne ebenfalls auf nachrichtendienstliche oder militärische Operationen zurückgegriffen werden. Aber auch internationale Kooperationen im Rahmen der UN, G7, NATO oder EU seien ein wichtiger Ansatz, um sich bereits im Vorfeld auf die Abwehr von Cyberoperationen vorzubereiten und gemeinsame Verhaltensregeln zu definieren. An den Input anschließend, diskutierten die Teilnehmenden mit Christina Rupp unter anderem, inwieweit aktive Cyberabwehr ebenfalls zu dem staatlichen Handlungsinstrumentarium gehörten und wie Staaten mit Schwachstellen umgehen sollen.
Human Firewalls für die Informationssicherheit
Was bedeuten diese internationalen Bedrohungslagen der Cybersicherheit ganz konkret für unsere Bundesbehörden? Antworten auf diese Frage gab Lars Kukuk, CISO der Bundesagentur für Arbeit (BA). Die BA betreibt eine der größten IT-Landschaften Europas. Aufgrund der verarbeiteten Datenmengen sei sie ein häufiges Ziel für Cyberangriffe. Die Bundesbehörde blocke in 24 Stunden 3,5 Millionen Seitenaufrufe und wehre 23.000 Virenangriffe ab, so Kukuk. Allgemein seien die größten Risiken DDoS-Attacken, Malware, Angriffe über die Supply Chain und Schwachstellen in gekaufter oder OpenSource-Software.
Deswegen habe die BA bereits seit 2016 ein eigenes Computer Emergency Response Team (CERT). „Man muss immer ein Stück schneller sein als die anderen“, erklärte Kukuk. Dazu gehöre auch, Mitarbeitende proaktiv zu sensibilisieren und kontinuierlich in IT-Sicherheitsthemen weiterzubilden, indem etwa rollenbasierte Trainings durchgeführt oder Zertifikate für Mitarbeiter*innen ausgestellt würden:
Wir alle müssen eine Human Firewall werden.
Denn nur so könne die Informationssicherheit aufrechterhalten und das Vertrauen der Kund*innen in die BA und ihre sicheren IT-Systeme gestärkt werden.
Das Ende der digitalen Lieferkette: IT-Sicherheit als Herausforderung für Kommunen
Weitere praxisnahe Einblicke in die Bedeutung der internationalen Cybersicherheitslage für Behörden gab Lars Hoppmann von VITAKO, der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister. Er richtete den Blick auf „das Ende der digitalen Lieferkette“ – die Kommunen. Die kommunale Ebene stehe vor anderen Herausforderungen als Bundesbehörden, da sich die ständigen Veränderungen wie etwa der demografische oder der Wertewandel auch vor Ort in der IT widerspiegelten. Bei über 11.000 Kommunen und der dadurch bedingten zersplitterten und vielfältigen Landschaft von kommunalen IT-Dienstleistern sei ein stringentes Vorgehen im Bereich der IT-Sicherheit eher schwierig. Hinzu komme, dass sich die Zahl von derzeit 39.000 offenen kommunalen IT-Stellen bis 2030 auf 140.000 erhöhen werde.
Diese komplexe Gemengelage treffe auf eine gravierend veränderte cyberpolitische Bedrohungslage – und das könne besonders auf der kommunalen Ebene schwerwiegende Auswirkungen haben. Kommunen erbrächten 80 Prozent der Verwaltungsleistungen für Bürger*innen. Sollte die kommunale IT von Cyberangriffen betroffen sein, funktioniere die Verwaltung vor Ort für Bürger*innen nicht mehr. Das wiederum könne das Vertrauen in den Staat enorm gefährden. Deswegen forderte Hoppmann, das BSI zur Zentralstelle auch für Kommunen auszubauen und die kommunale IT als kritische Infrastruktur (KRITIS) zu klassifizieren, die einheitlichen Sicherheitsstandards unterliegen sollte:
Cybersicherheit ist eine gesamtstaatliche und gesamtgesellschaftliche Aufgabe.
Komplexe Bedrohungen verlangen koordiniertes Handeln: Cybersicherheit als Gemeinschaftsaufgabe
Zum Abschluss gab Friederike Dahns, Abteilungsleiterin im Bundesministerium des Innern, Einblicke in die aktuelle Arbeit des BMI im Bereich der Cyber- und Informationssicherheit. Die Cyberangriffe, die KRITIS, Wirtschaft und Behörden träfen, würden immer komplexer, erläuterte Dahns. Dies sei auch auf eine Professionalisierung der Täter*innen zurückzuführen und darauf, dass die Grenze zwischen staatlichen und kriminellen Angriffen zunehmend verschwimme. Vor diesem Hintergrund sei es enorm wichtig, dass die beschlossene Grundgesetzänderung zur Schuldenbremse auch die Cybersicherheit umfasse, da es mehr Investment in Hardware im Bereich der IT-Sicherheit bedürfe. Aber Hardware allein sei nicht genug. Es brauche zudem auch kompetente Menschen und eine interföderale Zusammenarbeit, um gemeinsam auf Bedrohungslagen reagieren zu können.
Als wichtige Akteur*innen für jene Kooperation zwischen den staatlichen Ebenen sieht Dahns das Bundesamt für Sicherheit in der Informationstechnik (BSI) und darüber hinaus auch das Nationale Cyberabwehrzentrum an – aber:
Ich plädiere für ein ausgeweitetes, verzahntes System der Cybersicherheit. Das umfasst, dass alle Behörden im Bereich der Cybersicherheit prüfen, ob sie ausreichend Cybersicherheitskompetenzen haben.
Dabei dürfe es jedoch keinen Kompetenzneid geben, denn IT-Sicherheit gehe alle etwas an.
Im Anschluss diskutierte Friederike Dahns gemeinsam mit den Gäst*innen unter anderem über die Umsetzung der NIS-2-Richtlinie und neue Technologien im Bereich der IT-Sicherheit wie etwa Quanten-Computing und Post-Quanten-Kryptographie.
