Deutschlands "offene Flanke": Die Angst vor Wladimir Putins Cyberwaffen

Deutsche Sicherheitsbehörden im Alarmmodus: Russische Cyberangriffe könnten jederzeit starten, heißt es. Politiker und Experten warnen vor einer "offenen Flanke" – und einer riskanten Idee von Innenministerin Faeser.

"Die russische Cybermacht ist ziemlich stark. Und sie kommt." Die Warnung von Joe Biden vor groß angelegten Cyberattacken Russlands kommt nicht zufällig in einem Moment, da Putins Krieg immer mehr ins Stocken gerät. Der Kremlchef stehe "mit dem Rücken zur Wand", so der US-Präsident Anfang der Woche, und greife daher zu immer "schädlicheren Taktiken".

Auch in Deutschland sind Sicherheitsbehörden alarmiert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor russischen Hackerattacken auf deutsche "Hochwertziele". Es bestehe eine "abstrakte erhöhte Bedrohungslage für Deutschland", so die Behörde auf Anfrage. Das gelte auch für Einrichtungen der Kritischen Infrastruktur (KRITIS) wie Wasser- und Elektrizitätswerke oder Krankenhäuser, die das BSI zu verstärkter Wachsamkeit aufgerufen hat.

Es gebe zudem eine Reihe "unzusammenhängender IT-Sicherheitsvorfälle", die vereinzelt "Auswirkungen" auf Deutschland gehabt hätten. Ob und wie die Kriegsparteien darin verwickelt waren, ließe sich allerdings nicht sagen, so ein Sprecher.

Eben noch Freunde, jetzt schon Feinde?

Konkrete Hinweise zu russischen Angriffsvorbereitungen scheint das BSI nicht zu haben. Und ob Moskau auch seinen alten Nord-Stream-Partner Berlin in den Cyberkrieg hineinzieht und wenn ja, in welcher Form, ist noch unklar.

Das allerdings muss nichts heißen. Denn wie schnell eine Eskalation digitaler Kriegsführung auch scheinbar Unbeteiligte treffen kann, zeigte kürzlich der mutmaßliche russische Angriff auf das Satellitennetz Ka-Sat. Neben dem wohl eigentlichen Ziel – dem ukrainischen Militär, das Ka-Sat nutzte – waren plötzlich auch Tausende Windkraftanlagen unter anderem in Deutschland betroffen, die sich durch die Attacke nicht mehr aus der Ferne warten ließen. Ein Kollateralschaden, der laut Anlagenbetreiber erst in Monaten behoben sein wird.

Der Fall zeigt, wie weitreichend die Auswirkungen von Cyberangriffen sein können, wenn viele Firmen dieselbe Software benutzen oder über dieselben Netze verbunden sind. Doch wie ernst ist die Lage wirklich? Und wie gut ist Deutschland im Ernstfall gegen Putins Cyberkrieger gewappnet?

Der Schutz gegen Putins Cyberarmee? "Mittelgut"

Wie viel Schaden Putins Cyberkrieger anrichten könnten, haben sie in der Vergangenheit mehrfach bewiesen. Neben Angriffen auf Wahlen in den USA und Frankreich war auch der Bundestag schon mehrfach Opfer.

Der erste bekannte Fall war 2015, als Hacker, mutmaßlich im Auftrag Moskaus, in den Maschinenraum des deutschen Parlaments eindrangen, Daten ausspähten und sogar Rechner von Abgeordneten übernahmen. Das war vor sieben Jahren. Doch auch heute fällt die deutsche Cyber-Abwehrfähigkeit eher mau aus.

"Beim Thema Cyberangriffe haben wir in Deutschland eine offene Flanke", sagt der Parlamentarische Geschäftsführer der FDP-Bundestagsfraktion, Stephan Thomae. Das gelte auch und vor allem für den Schutz kritischer Infrastrukturen, der in Thomaes Bewertung eher durchschnittlich wegkommt: "Auf einer Skala von eins bis zehn würde ich sagen: sechs." Soll das beruhigen vor dem Hintergrund einer "erhöhten Bedrohungslage"? "Immerhin sind wir nicht blank", sagt Thomae.

Auch der digitalpolitische Sprecher der SPD-Fraktion im Bundestag, Jens Zimmermann, stuft die deutsche Brandmauer gegen Putins Computerarmee als "mittelgut" ein. Bei den Dax-Unternehmen und großen Mittelständlern sei die Sensibilität für solche Angriffe inzwischen vorhanden. "Das große Probleme sehe ich aber in der Fläche: Bei Verwaltungen kleinerer Städte oder kommunalen Wasserwerken, wo die digitale Sicherheit oft nicht mitgedacht wurde." Hier könnten Hacker zwar weniger Schaden anrichten, weil weniger Menschen betroffen wären, aber leichter eindringen. "Ein beliebtes Passwort in Deutschland ist weiterhin 123456."

Ein Bäcker, der nicht backt, ein Supermarkt ohne Kühlfach

"Manche kommunale Verwaltungen oder Krankenhäuser laufen noch mit Windows 98", sagt Manuel Atug, Sprecher der AG Kritis, einem unabhängigen Fachgremium, das sich mit der IT-Sicherheit Kritischer Infrastruktur beschäftigt. "Was soll ich dazu noch sagen?" Er poche seit Jahren darauf, bessere Vorbereitungen zu treffen und mehr in die digitale Sicherheit zu investieren.

Atug spricht wortreich über die Versäumnisse deutscher Behörden und Firmen, über mangelnde "awareness" und falsche Prioritäten. Doch beim Thema Cyberangriffe äußert er sich zurückhaltend – und warnt vor Panikmache.

"Das BSI hat es richtig gemacht: Es hat die Alarmstufe auf Orange gesetzt, nicht auf Rot. Wir sind auf erhöhter Bereitschaft, aber bislang gibt es keine Hinweise auf verstärkte russische Aktivitäten." Überhaupt habe es in der Geschichte des BSI überhaupt nur drei Mal eine rote Alarmstufe gegeben. Was Russland bisher an Cyberkriegsführung in der Ukraine gefahren habe, sei überschaubar. "Wir haben Krieg in der Ukraine, keinen Cyberkrieg. Offenbar sind die russischen Hacker und Cyberangriffe im Allgemeinen nicht ganz so effektiv, wie immer behauptet wird."

Natürlich bestehe die Gefahr, dass eine essenzielle Versorgungsleistung für kurze Zeit unterbrochen werden könnte. Die Folge könnte eine fatale Kettenreaktion sein: "Wenn ein Angreifer es schafft, eine lokale Stromversorgung für mehrere Tage auszuschalten, fallen etwa auch Kühlsysteme aus. Die Supermärkte könnten ihre Waren nicht mehr kühlen und die Großbäckereien ihre Brötchen nicht mehr aufbacken oder hätten keinen Teig mehr auf Halde."

Doch es gebe kaum Beispiele für erfolgreiche Angriffe dieser Größenordnung. Sein Rat lautet daher: Ruhe bewahren, Systeme updaten, Backups machen.

Digitale Gegenschläge

Im Bundesinnenministerium sieht man das anders. Ressortchefin Nancy Faeser (SPD) hatte im "Spiegel" zuletzt "aktive Maßnahmen der Cyberabwehr" in Reaktion auf russische Cyberoperationen gefordert. Auch über "Eingriffe in IT-Systeme fremder Staaten" müsse diskutiert werden, auch wenn dies "weitreichende Schritte" wären.

Die sogenannten "Hackbacks", also das Zurückhacken bei Cyberangriffen, um Täter zu identifizieren, geklaute Daten zu vernichten oder fremde IT-Systeme zu zerstören, wurden im Ampelkoalitionsvertrag eigentlich ausgeschlossen. Faeser will die Debatte vor dem Hintergrund des Ukraine-Kriegs neu führen.

Allerdings ist unklar, ob sie sich durchsetzen kann. Denn Hackbacks sind nicht nur bei Sicherheitsexperten, sondern auch bei vielen Fachpolitikern extrem unbeliebt. Der Grund ist simpel: Um digitale Gegenschläge ausführen zu können, müssen Behörden Sicherheitslücken in Software aufspüren und ausnutzen, anstatt sie von Herstellern schließen zu lassen. Doch solange Schwachstellen in verbreiteten Systemen nicht behoben werden, können sie auch von böswilligen Akteure gefunden und ausgebeutet werden. Das gefährdet die Sicherheit aller Nutzer.

"In der Welt der Internetausdrucker ein Thema"

Mit ihrem Vorstoß scheint Faeser nach t-online-Informationen daher auch auf wenig Zustimmung in der Ampel zu stoßen. "Nancy Faeser hat sich jetzt zweimal zu Digitalthemen geäußert: Das erste Mal zur Telegram-Sperre. Jetzt zum Hackback. Beide Male ging das ziemlich daneben", heißt es hinter vorgehaltener Hand in Koalitionskreisen.

Neben den Grünen, die schon seit Jahren gegen den immer wiederkehrenden Vorschlag mobilmachen, kommt auch aus der FDP Skepsis. Der parlamentarische Geschäftsführer der Liberalen im Bundestag, Stephan Thomae, sagt zu t-online: "Wenn ich mit Hackbacks die Zerstörung fremder IT-Systeme meine, um Cyberangriffe zu verhindern, dann sind wir im Bereich militärischer Auslandseinsätze." Von digitalen Gegenschlägen halte er schon allein aus rechtlichen Gründen wenig. "Die beste Form der Abwehr ist Prävention."

Auch aus Faesers eigenen Reihen kommt Kritik. Der digitalpolitische Sprecher der SPD-Fraktion im Bundestag, Jens Zimmermann, hält nichts von der Diskussion um digitale Gegenschläge: "Hackbacks sind in der Welt der Internetausdrucker ein Thema." Solche "Fantasiekonstrukte" seien nicht hilfreich. "Viel wichtiger ist es zu verstehen, wer angreift und wie, um entsprechende Sicherheitsvorkehrungen frühzeitig umzusetzen."

Auch dürfe man sich nicht blenden lassen von der angeblichen Übermacht russischer Hacker, gibt der Digitalpolitiker zu bedenken: "Unter dem Stichwort Hacktivism werden auch westliche Unternehmen angegriffen, etwa weil sie noch Geschäfte mit Russland machen." Schnell sei der Schluss gezogen: "Aha, die Russen kommen. Dabei sind das vielleicht Kiddies aus Kreuzberg, die sich gut mit Computern auskennen."

Auch SPD-Innenexperte Sebastian Hartmann fordert gegenüber t-online, den Fokus auf defensive Maßnahmen zu richten, etwa "massive Investitionen im Digitalbereich sowie eine stärkere Regulierung kritischer Infrastrukturen". Cyberangriffe hätten unkontrollierbare Folgen und die Identifizierung ressourcenstarker Angreifer – "attribution" im Fachjargon – sei oft nicht möglich, da diese häufig ihre Spuren verwischten.

Innenministerium legt nach

Doch die breite Kritik scheint an der Innenministerin bisher abzuprallen. Gegenüber t-online legt das Innenministerium nach: "Die Gefahr von Cyberattacken in Deutschland ist sehr ernst zu nehmen." Insbesondere "Angriffe hochgradig krimineller Ransomware-Erpressergruppen" aus dem russischsprachigen Bereich hätten zugenommen.

Daher müsse man zum Schutz kritischer Infrastrukturen und staatlicher Einrichtungen auch über "gezielte Maßnahmen" nachdenken, "um Täter und Tatstrukturen auch im Ausland zu identifizieren, ihre Verschleierungsmaßnahmen, hinter denen sie glauben, sicher zu sein, aufzudecken und die Durchführung von Angriffen zu verhindern."

Ob es Faeser wirklich schafft, der alten Debatte um Hackbacks neues Leben einzuhauen, wird sich jetzt zeigen. Für den Sicherheitsexperten Manuel Atug ist die Tatsache, dass in allen drei Ampelparteien die Skepsis groß ist, noch kein Grund zur Entwarnung.

"Beim Thema Cyber ist es leider nicht so, dass die besten Argumente am Ende Gesetz werden." Es werde viel Symbolpolitik betrieben, auch ließen sich Politiker oft von Powerpoint-Präsentationen von Beratern und Rüstungsfirmen beeindrucken, die ihnen die neuesten Cybertools als vermeintliche Lösungen verkaufen wollen. Es gebe Politiker, deren digitale Kenntnisse "auf der Höhe eines Faxgeräts" seien und die daher nicht wüssten, wenn ihnen ein X für ein U vorgemacht werde.

Er hoffe trotzdem, dass sich in dem Falle die Vernunft durchsetze, sagt Atug. Die Politik sollte statt auf "innovativ klingende Cyberwaffen" der Industrie auf defensive Maßnahmen setzen. "Prävention ist nicht sexy. Aber Resilienz bietet immer noch den besten Schutz vor Cyberangriffen." Egal, ob diese aus Moskau, Peking oder Washington kämen.