So ist die Cyber-Abwehr in Deutschland organisiert
Wer kümmert sich eigentlich um die Cyber-Sicherheit in Deutschland? Wer das beantworten will, muss erst mal tief Luft holen.
Polizei, Geheimdienste und ein eigenes Bundesamt: Bei der IT-Sicherheit reden viele mit in Deutschland. Auch beim Datenklau mit rund 1.000 Betroffenen ist gleich eine ganze Behördenriege involviert. "Übersicht in dem Sinne haben wir leider nicht - dem Föderalismus sei Dank", heißt es seufzend aus Sicherheitskreisen. Und BKA-Chef Holger Münch beklagte jüngst, auch bei der Polizei gelte zwischen Bund und Ländern viel zu häufig der Grundsatz "Jeder macht seins".
"Wir haben ein buntes Potpourri an Behörden, die sich mit dem Thema Cyber-Sicherheit beschäftigen", bemängelt der FDP-Bundestagsabgeordnete Jimmy Schulz, der Vorsitzende des Digitalausschusses. "Was wir jedoch nicht haben, ist eine Stelle, an der die Fäden zusammenlaufen." Es brauche ein Digitalministerium.
Ein Überblick:
Polizei
Beim Verdacht auf Verbrechen ermittelt die Polizei - so auch beim Thema Cyber-Sicherheit. Da es bei Vergehen im digitalen Raum oft keinen physischen Tatort gibt und häufig nicht klar ist, wo der Täter sich befindet oder ob er im Auftrag eines Staates handelt, ist das Bundeskriminalamt (BKA) oder auch das Bundesamt für Verfassungsschutz (BfV) die erste Anlaufstelle. Falls ein örtlicher Bezug deutlich wird, kann der Fall an ein Landeskriminalamt weitergereicht werden.
Beim Bundeskriminalamt arbeiten rund 140 Mitarbeiter an der Bekämpfung von Cybercrime, wie aus einer Auskunft der Bundesregierung auf eine Anfrage der FDP-Fraktion aus dem letzten Sommer hervorgeht. Das BKA will nun auch eine eigene Abteilung für den Bereich schaffen.
Bundesamt für Sicherheit in der Informationstechnik
Das BSI mit seinen etwa 800 Mitarbeitern befasst sich mit grundlegenden Fragen der IT-Sicherheit und soll diese stärken. Dazu entwickelt es unter anderem Standards und Tipps. Wirtschaft und Institutionen berät es im Rahmen der Allianz für Cyber-Sicherheit. Das BSI soll außerdem die Netze der Regierung und des Bundes vor Angriffen schützen.
Cyber-Abwehrzentrum
Hier sitzen unter Federführung des BSI Vertreter unter anderem des Bundeskriminalamts, der Bundespolizei, der Nachrichtendienste und der Bundeswehr zusammen und sollen sich abstimmen. In Zukunft sollen die Länder stärker eingebunden werden. Das Innenministerium spricht von einem "Cyber-Abwehrzentrum plus".
Bundesamt für Verfassungsschutz (BfV)
Die Abwehr von Cyber-Angriffen hat an Bedeutung für den deutschen Inlandsgeheimdienst gewonnen. Im Mittelpunkt steht etwa die Abwehr von möglichen Attacken auf kritische Infrastruktur wie Unternehmen zur Energie- oder Wasserversorgung oder auch auf deutsche Wirtschaftsunternehmen.
Bei Vorfällen wie dem aktuellen Datendiebstahl ist aber nicht zwangsweise das BfV zuständig - vor allem dann nicht, wenn es etwa um private Nachrichten in sozialen Medien geht. Das BfV werde ja auch nicht tätig, wenn in die Wohnung eines Politikers eingebrochen und Wertgegenstände gestohlen würden, heißt es als Beispiel.
Häufig ist es allerdings so, dass direkt nach Bekanntwerden einer Cyber-Attacke nicht klar ist, um welche Hintergründe es geht. So prüft das BfV auch im aktuellen Fall, ob ein ausländischer Nachrichtendienst dahinter stecken könnte - solange der Urheber nicht enttarnt ist.
Bundesnachrichtendienst (BND)
Der deutsche Auslandsgeheimdienst BND arbeitet bei der Abwehr von Cyber-Angriffen aus dem Ausland eng mit dem BSI und dem BfV zusammen. Im Idealfall kann er Schad-Software aus dem Ausland erkennen, bevor diese deutsche Infrastruktur erreicht. Diese BND-Informationen sollen den Inlandsbehörden Abwehrmaßnahmen ermöglichen, um den Schaden durch solche gefährliche Software zu begrenzen.
In den vergangenen Jahren haben die deutschen Sicherheitsbehörden vor allem mit gefährlichen Cyber-Attacken aus Russland und China zu tun, bei denen häufig auch staatliche Stellen im Hintergrund vermutet werden.
Cyber-Abwehr der Bundeswehr
Das Militär hat die Cyber-Abwehr mit dem Kommando Cyber- und Informationsraum (KdoCIR) zentralisiert. Anders als in der föderal angelegten Struktur der Zivilwelt sind damit alle Teilbereiche für den Schutz der IT-Systeme zusammengeführt.
Inzwischen arbeiten rund 14.500 Zivilisten und Soldaten für den Cyber-Bereich, nicht alle sind direkt für den Schutz der IT-Systeme zuständig. Allein 2017 gab es etwa 8.000 Vorfälle der Gefahrenstufe "hoch". Bei erkannten Cyber-Angriffen und kritischen IT-Sicherheitsvorkommnissen kommt eine Art schnelle Eingreiftruppe zum Einsatz, sogenannte Computer Emergency Response Teams, um die IT-Sicherheit wieder herzustellen.
Den Blogger und Netzpolitik-Experten Markus Beckedahl treibt die Vielfalt an Behörden zwar um. Den Knackpunkt sieht er aber woanders: "Es ist schwierig, sich bei der IT-Sicherheit abzustimmen, wenn an den entscheidenden Stellen Juristen sitzen und keine Informatiker."
Innenministerium konkretisiert Cyberabwehr-Pläne des Bundes
Foto: Bundesinnenministerium, über dts
Berlin (dts) – Bundesinnenministerin Nancy Faeser (SPD) hat ihre Pläne für eine Stärkung der deutschen Cyberabwehr konkretisiert. „Wir brauchen gefahrenabwehrende Befugnisse, mit denen Cyberangriffe verhindert, beendet oder zumindest abgeschwächt werden können“, sagte Faeser dem „Handelsblatt“ (Freitagausgabe).
Da Gefahrenabwehr überwiegend Ländersache ist, strebt die Ministerin eine Grundgesetzänderung an. Damit solle der Bund die „führende Rolle in der Abwehr von Cyber-Gefahren“ erhalten. Die neue Cybersicherheitsagenda des Innenministeriums, die Faeser noch vor der Sommerpause vorstellen will, beinhaltet demnach auch eine Stärkung der Cyber-Sicherheitsbehörde des Bundes. „Wir werden das Bundesamt für Sicherheit in der Informationstechnik zur Zentralstelle der IT-Sicherheit ausbauen und die Zusammenarbeit zwischen Bund und Ländern deutlich vertiefen“, sagte die Ministerin.
Faeser betonte in diesem Zusammenhang Bedeutung der Informationssicherheit für die Funktionsfähigkeit von Staat, Wirtschaft und Gesellschaft. „Angesichts des furchtbaren russischen Angriffskriegs gegen die Ukraine wird immer deutlicher, wie sehr die äußere und die innere Sicherheit miteinander zusammenhängen“, sagte sie. Das gelte gerade für die Cybersicherheit. „Wir sehen, wie wichtig sichere digitale Systeme, Prozesse und Strukturen für unsere wehrhafte Demokratie sind.“
Der Staat müsse in diesem Bereich widerstandsfähiger werden. „Denn es geht um die Funktionsfähigkeit unserer kritischen Infrastruktur und damit um die Versorgung von Millionen Menschen.“
Cyber-Abwehr im Gesundheitssektor stärken
Sicherheitsvorfälle
Auch vor dem Ukraine-Krieg nahmen seit Jahren die Bedrohungen auf die IT-Infrastruktur der pharmazeutischen Industrie zu. Der Cyber-Angriff gegen die Europäische Arzneimittelagentur EMA im Jahr 2021 ist nur ein prominentes Beispiel. Wie lief die Attacke ab? Über den Zugriff auf den Rechner eines Dienstleisters der EMA konnten sich die Angreifer Daten des Zulassungsantrags des COVID-19-Impfstoffs der Pharmaunternehmen BioNTech und Pfizer aneignen. Angreifer hatten die Zugangsdaten für das Nutzerkonto bei der EMA ausspioniert und sich remote verbunden. Ziel war es, Zweifel über den Impfstoff zu veröffentlichen, was glücklicherweise nicht gelang. Andernfalls hätte dies für die weltweite Impfkampagne gravierende Folge haben können. Der illegale Zugang gelang, weil für den angegriffenen Rechners zwar eine Zwei-Faktor-Authentisierung für das System der EMA genutzt wurde. Allerdings waren beide Faktoren lokal gespeichert, wodurch die Sicherheitsschranke ausgehebelt werden konnte.
Erweiterte Vorsorgepflichten durch IT-Sicherheitsgesetz 2.0
Aufgrund nicht vorhersehbarer Folgewirkungen von Cyber-Angriffen und der engen Abhängigkeiten in digitalisierten Infrastrukturen sind Datenschutz, Risikomanagement und Informationssicherheit für die pharmazeutische Branche wichtiger denn je. Um die grundlegenden GxP-Anforderungen der Patientensicherheit, Produktqualität und Datenintegrität Rechnung zu tragen, gilt es ein robustes Schutzniveau aufzubauen.
Das deutsche IT-Sicherheitsgesetz (IT-SiG) fordert seit Juli 2015 den Schutz von kritischen Infrastrukturen (siehe §8a BSIG) und verpflichtet auch im Gesundheitssektor KRITIS-Betreiber, alle für die Erbringung kritischer Dienstleistungen (kDL) erforderlichen IT-Systeme nach dem Stand der Technik abzusichern. Was der "Stand der Technik" ist, lässt sich zum Beispiel anhand existierender nationaler oder internationaler Standards und Normen von beispielsweise DIN, ISO, DKE oder ISO/IEC oder anhand branchenspezifischer Standards wie den B3S Pharma feststellen. Ende Mai 2021 ist das novellierte IT-Sicherheitsgesetz 2.0 in Deutschland in Kraft getreten. Somit kommen auf KRITIS-Betreiber erweiterte Vorsorgepflichten zu, z.B. durch den Einsatz von Systemen zur Angriffserkennung sowie umfangreichere Meldepflichten bei Sicherheitsvorfällen. Ebenso wird dem Thema Cyber-Sicherheit u. a. in der Lieferkette weiterer Nachdruck verliehen.
KRITIS-Unternehmen müssen regelmäßig nachweisen, dass alle verfügbaren Optionen der Cybersicherheit zum Schutz ihrer Systeme eingesetzt werden. Gemäß der Verordnung BSI-Kritis-V sind KRITIS-Betreiber dazu verpflichtet:
eine Kontaktstelle zu benennen,
IT-Störungen umgehend zu melden,
den "Stand der Technik" gemäß branchenspezifischer Sicherheitsstandards umzusetzen.
Mit dem IT-Sicherheitsgesetz will der Gesetzgeber wirksame Schutzmechanismen für die kritischen Infrastrukturen in Deutschland festschreiben. Ähnliche Regelungen gibt es inzwischen europaweit. Die Einhaltung der im IT-SiG beschriebenen Anforderungen müssen von den KRITIS-Betreibern gegenüber dem BSI im zweijährigen Turnus nachgewiesen werden. Dies geschieht im Rahmen einer Prüfung gemäß § 8a BSI Gesetz (BSIG) durch eine qualifizierte Stelle bzw. eines Prüfdienstleisters wie DEKRA.
Regulatorische Grundlagen
Als Reaktion auf die stetig wachsenden Gefahren hat sich die Etablierung eines unternehmensweiten Informationssicherheitsmanagementsystem (ISMS) bewährt. Ein ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation. Die Verfahren unterstützen, die Anforderungen an die Informationssicherheit fortlaufend zu definieren, zu steuern, zu kontrollieren und zu verbessern. Vor allem gilt es, mit einem ISMS die Entwicklungen der Organisation und der Kundenanforderungen regelmäßig mit externen Einflüssen und Umgebungsfaktoren abzugleichen. Als regulatorische Grundlage sind im deutschsprachigen Raum mit der Norm ISO/IEC 27001 und dem „IT-Grundschutz“ des BSI zwei Standards weit verbreitet, die den Aufbau eines Managementsystems für die Informationssicherheit (ISMS) beschreiben.
Es ist zu erwarten, dass immer mehr auch kleinere Pharmafirmen mit kritischen Dienstleistungen zur Produktion, zum Transport oder Handel von verschreibungspflichtigen Arzneimitteln ein ISMS implementieren. Hierzu können, ähnlich wie in der Automobilindustrie (Beispiel: TISAX-Standards), pharmazeutische Dienstleister (Contract Manufacturing Organisations, CMO) oder auch Anlagenzulieferer von ihrem Auftraggeber verpflichtet werden.
Firmen der Pharmaindustrie, die nicht unter die KRITIS-Gesetzgebung fallen, haben die Möglichkeit auf den branchenspezifischen Sicherheitsstandards wie den B3S Pharma zurückzugreifen, um ein ISMS nach dem Stand der Technik aufzubauen und gegenüber dem BSI nachzuweisen. Ein B3S hilft bei der Umsetzung aktueller sicherheitstechnischer Standards und gibt Rechtssicherheit, was das BSI im jeweiligen Bereich konkret unter dem "Stand der Technik" versteht. Die Umsetzung eines bestehenden B3S ist für Betreiber jedoch nicht verpflichtend. Die Anforderungen gemäß § 8a Absatz 1 BSIG können auch auf eine andere als im B3S beschriebene Weise erfüllt werden.