IT-Sicherheit und Zuständigkeiten"Wir haben ein Riesenproblem": Deutschland fehlt der Cyber-Überblick

• Die Chefin des Bundesamtes für Sicherheit in der Informationstechnik (BS) möchte ihr Haus gern als Zentralstelle aufbauen. Dort sollen sich Bund und Länder besser für die Cybersicherheit koordinieren.
• Das ist nötig, weil Cybersicherheit im föderalen Deutschland bislang komplex geregelt ist. Ein Rechtswissenschaftler weiß, inwieweit das am Grundgesetz liegt.
• Die mitteldeutschen Länder begrüßen die Idee einer BSI-Zentralstelle, sind aber noch nicht zufrieden mit der rechtlichen Umsetzung.

Claudia Plattner, die Chefin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erzählt an einem Beispiel, wo ihr der Cyberüberblick fehlt: Der Chef einer Bank könnte sie anrufen und von einem Angriff gegen seine Bank berichten. "Er muss wissen, ob es nur seine Bank betrifft, den ganzen Bankensektor, die Region, in der seine Bank sitzt oder ganz Deutschland", sagt Plattner im MDR SACHSEN ANHALT-Podcast "Digital leben". Beantworten kann Plattner all diese Fragen nicht – weder für den Bankensektor noch für die Chemie- oder die Rüstungsindustrie oder für großflächige Angriffe auf die öffentliche Verwaltung von Bund, Ländern und Kommunen. "Wir haben diesen Überblick nicht immer."

Ihrem BSI fehlt dafür der Cyberüberblick. "Diese Informationen wünschen wir uns. Sie sind wichtig, weil wir die Verteidigung der Systeme darauf abstellen müssen." Die richtigen Gegenmaßnahmen bei Cyberangriffen kann nur treffen, wer das ganze Ausmaß kennt. Andere Länder seien zwar besser, sagt Plattner – die eigentliche Frage sei aber, ob Deutschland gut genug aufgestellt ist. "Wir brauchen die Informationen. Wir müssen in dem Moment darauf reagieren können, in dem die Angriffe ablaufen."

Seit Monaten macht die BSI-Präsidentin auf die weiter steigenden Cybergefahren aufmerksam:

    • In einem Gastbeitrag für den "Tagesspiegel" schreibt sie: "Die Frage ist nicht, ob, sondern wann Deutschland auch großflächig, tiefgreifend und nachhaltig von einem Cyberangriff getroffen wird."
    • In einem Interview mit dem Youtube-Kanal "Jung und Naiv" sagt sie: "Wir haben das Riesenproblem Cybersicherheit und kümmern uns darum, dass das hoffentlich immer besser wird. Ich möchte, dass wir das Thema in den Griff bekommen, bevor es einmal richtig groß knallt."
    • Und dem "Merkur" sagt sie: "Wenn durch einen Cyberangriff in München und Hamburg gleichzeitig die Lichter ausgehen, müssen wir sofort gemeinsam handeln können. Das ist aber in wichtigen Aspekten zurzeit nicht möglich"

Plattner sagt, neben einem Cyberüberblick würden auch gemeinsame Übungen von Bund, Ländern, Kommunen und Unternehmen für Cyberfälle fehlen. "Miteinander offen und regelmäßig zu üben, ist wichtig. So werden die Wege ganz, ganz kurz." Denn in einer Krise hänge alles davon ab, wie gut die Informationen sind und wie schnell man reagieren könne. "Aber Verfassungsrechtler sagen, das gebe das Grundgesetz so nicht her", sagt Plattner.

Es sei auch rechtlich nicht möglich, Software-Werkzeuge zu teilen. Das BSI hat zum Beispiel Erkennungs-und Präventionssysteme für Schadprogramm entwickelt. Sie werden für die Netze des Bundes eingesetzt. "Aber den Ländern dürfen wir das nicht zur Verfügung stellen", sagt Plattner. Gerade kleine Bundesländer würden solche Tools gern nutzen. "Wir hätten sie da und es geht nicht."

Das wirke oft unverständlich, aber es seien Fakten, mit denen man umgehen müsse. "Ich will, dass wir Lösungen dafür finden. Bis jetzt haben wir sie noch nicht", sagt Plattner. Und als das Grundgesetz geschrieben wurde, habe man sich über solche Fragen sicher keine Gedanken gemacht.

Plattner ist Mathematikerin. Über die rechtlichen Hürden sagt sie im Podcast "Digital leben": "Klar macht mich das wahnsinnig. Ich möchte, dass wir das besser zusammen hinbekommen, weil die Bürgerinnen und Bürger von uns natürlich erwarten, dass wir das Land so gut es geht schützen." Das wollten alle Beteiligten, sagt Plattner: "Über das grundsätzliche Ziel sind wir uns einig. Es wird schwierig in der Frage, wie wir dorthin kommen." In der Diskussion sei, das BSI als Zentralstelle auszubauen und das Grundgesetz zu ändern.

Ist die Cybersicherheit Deutschlands wegen des Grundgesetzes so schwierig zu regeln? "Es gibt mehrere Artikel im Grundgesetz, an denen das liegt", sagt Dennis Kipker. Er ist Rechtswissenschaftler, Professor für IT-Sicherheitsrecht und wissenschaftlicher Direktor des "Cyber Intelligence Institute" in Frankfurt/Main. Grund für verfassungsrechtliche Sorgen ist die Gesetzgebungskompetenz in Artikel 73. Sie liegt grundsätzlich bei den Ländern, sagt Kipker. Zum Beispiel bei der Gefahrenabwehr. "Insofern ist das BSI eigentlich eine Ausnahme."

Weil Cyberbedrohungen nicht an Grenzen der Bundesländer oder Kommunen Halt machten, könnte man Cybersicherheit und Cyberabwehr verfassungsrechtlich als länderübergreifende Sache in Artikel 73 anerkennen, sagt Kipker. So würden besser Möglichkeiten geschaffen, damit Bund, Ländern und Kommunen zusammenarbeiten können.

Aber was nach Kipkers Meinung heute bereits möglich ist: Dass das BSI Informationen mit den Kommunen teilt. "Das halte ich für verfassungsrechtlich unproblematisch und Kommunen würden das bestimmt begrüßen." Der Gedanke ist alles andere als neu: Bereits 2016 hatte die Bundesregierung in ihrer Cybersicherheitsstrategie angekündigt, dass das BSI zusammen mit den kommunalen Spitzenverbänden und den Ländern ein kommunales Lagebild erarbeitet. (PDF, S 36)

Rechtlich möglich sei das, sagt Kipker: Das Grundgesetz mit der darin verbrieften kommunalen Selbstverwaltung würde kein Hindernis sein, um Informationen zu teilen. "Aber das müssen die Länder regeln."

Geschieht das? Sachsens Innenminister Armin Schuster (CDU) hat angekündigt, dass die Staatsregierung im Sommer eine Cybersicherheitsstrategie verabschiedet. Unklar ist, ob dort die Kommunen mit einbezogen werden. Sachsen hat bereits ein IT-Sicherheitsgesetz, das in Teilen Kommunen betrifft. Sachsen-Anhalt bereitet ein solches seit längerem vor, weil die europäische Gesetzgebung darauf dringt. Aber die Cybersicherheit von Kommunen scheint bislang dort keine große Rolle zu spielen.

Damit Bund und Länder besser zusammenarbeiten, wünscht sich BSI-Chefin Plattner, dass ihr Haus eine Zentralstelle wird. "Dort müssen wir eine Koordinationsfähigkeit miteinander herstellen", sagt Plattner. Niemand würde dabei Kompetenzen verlieren – es gehe ausschließlich darum, dass Bund und Länder übergreifend zusammenarbeiten dürfen. Die Abstimmung würde mit einer Zentralstelle zwar nicht weniger komplex werden, aber es gebe sie immerhin, sagt Plattner.

Die Landesregierungen von Thüringen und Sachsen-Anhalt unterstützen die Idee vom BSI als einer Zentralstelle vollständig. Derzeit sei die Zusammenarbeit mit dem BSI nur ausnahmsweise und punktuell als Amtshilfe beschränkt, schreibt Thüringens SPD-geführtes Innenministerium. Das FDP-geführte Ministerium für Infrastruktur und Digitales in Sachsen-Anhalt schreibt: "Dem vom Bund eingebrachten Vorschlag zur Grundgesetzänderung zur rechtlichen Ausgestaltung steht die Landesregierung jedoch kritisch gegenüber."

Sachsens Chief Information Officer Thomas Popp, der in Sachsens CDU-geführter Staatskanzlei arbeitet, sagt, es gebe bereits viele rechtliche Möglichkeiten für besseren Austausch. Popp verweist auf die Kooperationsvereinbarung, die Sachsen im vergangenen Jahr mit dem BSI geschlossen hat. Auch Sachsen-Anhalt hatte eine solche Vereinbarung mit dem BSI getroffen.

Bereits jetzt gibt es das Nationale IT-Lagezentrum, das im Februar erneuert wurde und beim BSI in Bonn angesiedelt ist und bei dem zwei Bundesländer als Vertreter der Länder dabei sind. Sachsens Innenminister Armin Schuster hat kürzlich angekündigt: "Wir wollen da rein." So könne man sich ersparen, wahnsinnig viel selbst zu machen. "Ich möchte das Know-how dort abschöpfen und nach Dresden transportieren." Das könnte am Ende schlanker, schneller und schlagkräftiger sein als ein eigens Landesamt für IT-Sicherheit aufzubauen, so Schuster. Landeseigene Institutionen für die Cybersicherheit haben zum Beispiel Bayern und Baden-Württemberg.

Zusammenarbeiten, Informationen teilen und einheitlich reagieren – bei Cybergefahren diskutiert Deutschland über Zuständigkeiten und Gesetzeskompetenzen. Nun sind Politiker und Juristen gefragt. BSI-Chefin Plattner mahnt zur Eile: "Je früher wir Klarheit haben, desto besser. Und desto eher können wir auch noch einmal nachbessern."

Für Rechtswissenschaftler Dennis Kipker ist jedenfalls klar: Die Diskussion um die Cybersicherheit hierzulande stellt das föderale Gefüge Deutschlands nicht grundsätzlich in Frage. Aber dabei würden viele Doppelzuständigkeiten sichtbar. Geht es zum Beispiel um die Cybersicherheit im Energie- und Telekommunikationsbereich, ist die Bundesnetzagentur zuständig; im Finanzsektor ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beteiligt, sagt Kipker. "Dieses Problem wird in der ganzen Debatte oft ausgeklammert. Aber wir müssen es zeitgleich angehen, wenn wir das BSI zu einer Zentralstelle für die deutsche Cybersicherheit machen wollen."

MDR (Marcel Roth)