„Der Gegner ist viel flexibler als wir und hält sich eben nicht an Regeln.“

Verwaltung der Zukunft: Angesichts der zunehmenden geopolitischen Spannungen: Wie hat sich die Qualität hybrider Bedrohungen in den letzten Jahren verändert?

Andreas Könen: Vielleicht muss man zunächst einmal einen Blick darauf werfen, woraus sich hybride Bedrohungen konstituieren: Spionage ist kein neues Phänomen, weder im analogen noch im digitalen Raum. Als ich beim BSI angefangen habe, haben wir gerade die ersten großen Beobachtungen gemacht, dass aus Russland und China Angriffe auf unsere Netze stattfanden. Und zwar mit dem Zweck der Informationsgewinnung. Dann kamen nach und nach die nächsten Schritte, bei denen durch Cyberangriffe auch Sabotage vorbereitet, wenn nicht am Ende sogar ausgeführt wurde. 

Die Krimkrise ist ein deutliches Beispiel dafür, dass die Ukraine bereits im Vorfeld durch digitale Sabotageakte betroffen war. Diese haben sich dann beim Beginn des Ukraine-Krieges auch physisch geäußert, wenn man den Angriff auf den Satellitennetz-Provider Viasat als einen physischen Angriff bezeichnen mag.

Dazu kommt auch, dass Methoden, die früher im Kalten Krieg als psychologische Kriegsführung bezeichnet wurden, in eine Atmosphäre aus Desinformation, Fake News und Beeinflussung von Medien – vornehmlich von Seiten Chinas und Russlands – gewechselt sind.

Aus diesen unterschiedlichen Angriffsmethoden konstituieren sich dann hybride Bedrohungen.

VdZ: Welche Rolle spielt dabei Künstliche Intelligenz?

Könen: Ich glaube, dass die Rolle von Künstlicher Intelligenz ein wenig überschätzt wird. Klar, die KI ist vorhanden und wird zum Beispiel genutzt, um uns bei cyberkriminellen Aktionen ein wenig schneller aufs Glatteis zu führen: Die entsprechenden E-Mails sehen deutlich ähnlicher aus als das, was wir vorher kannten, kein schlechtes Deutsch mehr, manchmal täuschend ähnlich wie beim vorgetäuschten Absender.

Aber dennoch ist KI noch nicht an dem Punkt angekommen, wo der Angreifer wirklich vollautomatisiert auf unsere Infrastruktur einwirkt und die entscheidenden Knotenpunkte unseres Netzes attackiert. Das sehen wir aktuell noch nicht.

VdZ: Wie sieht die Vernetzung in Deutschland aus, wenn es darum geht, hybride Angriffe lageübergreifend zu erkennen?

Könen: Ich bin da ganz deutlich: Wir sind schlecht aufgestellt, weil die siloartigen Organisationsstrukturen unserer Sicherheitsbehörden die Vernetzung behindern. Ein bisschen Hoffnung macht mir an der Stelle der Nationale Sicherheitsrat. Dieser ist eine Einrichtung, in der eine deutschlandweite Gesamtlage generiert werden soll. Ich habe mit Personen vor Ort gesprochen, und das lässt meine Überzeugung wachsen, dass da Menschen am Werk sind, die diese übergreifende Dimension verstanden haben.

Was ich auf der anderen Seite halb hilfreich, halb in den alten Strukturen verhaftet finde, ist das hybride Lagezentrum, das jetzt angekündigt wurde. Auf der einen Seite schön, dass diese hybriden Effekte und das Zusammenwirken verschiedener Phänomenbereiche dort besprochen werden. Aber es ist ein weiteres Zentrum, und erneut eines, das auf keiner rechtlichen Grundlage steht, sondern nach dem Prinzip des Hörensagens arbeitet, nach dem Motto: „Ich schmeiß' dir was über den Zaun, weil ich es dir offiziell nicht geben darf.“ Wir werden sehen, ob das funktioniert. 

VdZ: Wie berücksichtigt der Operationsplan Deutschland das veränderte Lagebild hybrider Bedrohungen?

Könen: Der Operationsplan Deutschland bringt zunächst etwas zurück, worüber wir am Anfang gesprochen haben. Früher hat man unter dem Begriff „hybrid“ hybride Kriegsführung im militärischen Sinne verstanden. Wenn also zur realen physischen Kriegsführung psychologische Kriegsführung hinzukommt und als außenpolitisches Druckmittel verwendet wird. 

Weil der Begriff hybrid sich jetzt massiv erweitert hat, gewinnt der Operationsplan eine mehrfache Bedeutung. Er muss auf der einen Seite eine Aufstellung der Bundesrepublik Deutschland für den wirklichen physischen Krieg erreichen. 

Der Operationsplan muss auch die weit größere Aufgabe erfüllen, neue hybride Szenarien abzubilden. Er muss die Bevölkerung auf Szenarien vorbereiten, in denen psychologischer Druck ausgeübt, Meinungen manipuliert sowie Cyberangriffe verübt werden oder gar Angst erzeugt wird. 

VdZ: Mit der NIS-2-Richtlinie der EU steigen die Anforderungen im Bereich Cybersicherheit massiv. Ist Deutschland organisatorisch überhaupt in der Lage, diese Regulierung wirksam umzusetzen?

Könen: Auf der einen Seite sage ich klipp und klar: Das ist eine sehr gute und konsequente Weiterentwicklung der Gesetzgebung im Cybersicherheitsbereich. Auf der anderen Seite stellt sich aber heraus, dass die Anforderungen tatsächlich immens sind. Wir haben jetzt knapp 30.000 Unternehmen, die sich beim BSI registrieren müssten; nach NIS-2 war bis zum 6. März dafür Zeit, eine sehr knappe Frist. Von den drei Monaten im Gesetz hat das BSI auch nur zwei übriggelassen, das kritisiere ich. Ich kritisiere auch den Zugang, den das BSI dafür nutzt. Für das Meldeportal benötigen wir keinen Hyperscaler aus den USA, das kann man im Sinne digitaler Souveränität mit nationalen Bordmitteln bestreiten.

Entscheidend ist, dass sich jetzt sehr viel mehr Unternehmen überlegen müssen, ob sie die Anforderungen der Informations- und Cybersicherheit erfüllen. Das ist erst einmal gut. Das bringt jedoch bei kleineren Unternehmen oder denjenigen, die einer Branche angehören, die wenig mit IT zu tun hat, natürlich Schwierigkeiten mit sich.

Bei den Behörden ist das allerdings nicht anders. Von den 200 Bundesbehörden – ich weiß es noch aus meiner eigenen Zeit – gibt es einige, die gut aufgestellt sind, die vor allem auch Dienstleister beauftragen. Aber es gibt auch eine ganze Menge, entschuldigen Sie, Wald- und Wiesenbehörden, die sich damit genauso schwertun wie die kleinen Unternehmen aus der Wirtschaft.

VdZ: Wie ist der aktuelle Stand der digitalen Souveränität in Europa?

Könen: Die EU besitzt ihre Stärken da, wo es um die abstrakte Wahrnehmung einer Gesamtlage und das Erkennen von grundsätzlichen Gefahren geht. Das, was mit der 5G-Toolbox mal begonnen hat – dass man die Mitgliedstaaten gewarnt hat, aufzupassen, wo sie ihr Telekommunikationsequipment kaufen –, hat sich tatsächlich im politischen Handeln der Europäischen Union sehr stark niedergeschlagen.

Und es findet sich letztendlich in der deutschen Gesetzgebung zum NIS-2 wieder, denn da gibt es den Paragrafen 41, der klar sagt, was kritische Komponenten sind und welcher Mechanismus herrschen sollte, um kritische Komponenten aus nicht vertrauenswürdigen Ländern auszuschließen. Da habe ich lange für gekämpft und plädiert.

Ich bin dankbar, dass die jetzige Regierung das von der Spitze her endlich umsetzt. Herr Merz hat auf einer Veranstaltung, bei der ich zuletzt war, ganz klar einen 360-Grad-Blick eingenommen. Er hat in differenzierter  Weise nicht nur China und Russland genannt, sondern auch die USA. Ich denke, das war ein klarer Weg in eine neue politische Aufstellung, die ich absolut gut und richtig finde.

VdZ: Das KRITIS-Dachgesetz soll die Resilienz Kritischer Infrastrukturen sichern, steht aber unter anderem wegen der hohen Schwellenwerte in der Kritik. Wie beurteilen Sie das?

Könen: Mit den Schwellenwerten ist das eine interessante Diskussion, weil die durchaus zwiegespalten ist. Die eine Seite ist die Bundesseite, für die ich ja selbst mitverantwortlich war. Dort haben die Kollegen in der Abteilung Krisenmanagement stets deutlich gemacht, dass wir mit dem KRITIS-Dachgesetz nur einen bestimmten Umfang auf Bundesebene tatsächlich abdecken können.

Die Länder sehen das anders, sie sind näher dran. Sie sagen, dass viele versorgungskritische Unternehmen vor Ort nicht unter die hohen Schwellen des Bundes fallen, und fordern niedrigere Schwellen. Das kann ich erstmal nur befürworten. Aber die Länder möchten das selbst in die Hand nehmen, jedes von den 16 nach eigenen Maßstäben. Das ist wieder ein Problem.

Für mich wäre die Lösung: Der Bund setzt die Maßstäbe, die Standards und die Vorgehensweisen, dann wäre es für alle 16 plus eins vereinheitlicht und alle wissen, woran sie sich halten müssen. Und die Länder setzen es auf ihrer Ebene um. 

VdZ: Wenn Sie ein zusätzliches Sicherheitsbudget frei priorisieren könnten für die nächsten Jahre, wo würden Sie es einsetzen?

Könen: Ich habe als Erstes an Cybersicherheit gedacht, klar, ich komme ja aus dem Business. Da muss ich aber erst einmal feststellen, dass das Budget jetzt da ist. Aufgrund des Beschlusses des Deutschen Bundestages zum Sondervermögen ist auf Druck der Grünen ein Passus hineingekommen, dass Cybersicherheit zu den Themen gehört, die über das Sondervermögen infrastrukturell gestärkt werden sollen. Da gibt es also ein Budget für die nächsten drei Jahre, das dafür zur Verfügung steht.

Deshalb kann das Geld eigentlich nur auf der einen Seite dazu dienen, unsere Lagebeobachtung zu schärfen. Dafür sollten wir Einrichtungen als Bund gründen und bezahlen, denen die Wirtschaft beitreten kann. Dann kommen die Unternehmen viel schneller, als wenn sie es selbst zahlen müssen. 

Und auf der anderen Seite brauchen wir eine Stärkung im Krisenmanagement. Das heißt, wir müssen genau die eben diskutierten Strukturen im OPLAN, im Krisenmanagement nach KRITIS-Dachgesetz und im Krisenmanagement nach NIS-2 mit entsprechenden Investitionen ausgestalten. Zum Beispiel benötigen wir Rückfallnetze für den Verteidigungsfall, damit unsere digitalen Netze auch dann funktionieren und für alle Fälle, in denen ein Teil der Infrastruktur ausfällt, Notfallinfrastrukturen vorhanden sind.

Die Ukraine ist darin sehr stark: Beschädigte Energieanlagen werden immer wieder instand gesetzt, sodass die Stromversorgung erneut funktioniert. Und wenn die Telekommunikationsnetze ausfallen, springt Starlink ein. Und auf so etwas muss man eben auch bei uns setzen. Dabei geht es nicht zwingend um Starlink selbst; es gibt auch ein europäisches Vorhaben mit vergleichbarer Zielsetzung. Eine solche Lösung wäre sehr sinnvoll und ist bereits in den laufenden Satellitenprogrammen angelegt. Federführend war hier weniger das Innenministerium, sondern vor allem das Wirtschaftsministerium. Das war ein wichtiger erster Schritt. Allerdings wird die Umsetzung viel Zeit in Anspruch nehmen – unter fünf bis zehn Jahren ist da nichts zu machen.

Das heißt, wir müssen uns auch zunächst mal überlegen, wie wir das in Deutschland anders lösen können. Ich behaupte, in bodengebundener Infrastruktur sind wir stark aufgestellt. Und die ist auch tatsächlich in vielerlei Hinsicht leichter zu verteidigen. Das sollten wir ausbauen. Wir haben viele Strecken entlang der Bahn, entlang der Autobahnen, entlang der Wasserstraßen. Wenn wir da investieren, sind wir, glaube ich, gut beraten. Das hilft unserer normalen Kommunikation im zivilen Leben genauso wie einer Notfallkommunikation.

VdZ: Gibt noch etwas, das Sie ergänzen möchten?

Könen: Ich würde abschließend noch gerne einen letzten Blick darauf werfen, wie wir uns in der Europäischen Union weiterentwickeln sollten. Es ist im Grunde während der letzten zwei Jahre meiner Zeit im Innenministerium klar geworden, dass die Europäische Union sehr viel getan hat, was rechtliche Regelungen im Cyberbereich angeht.

Aber auch bei uns war damals der Eindruck gewachsen, der heute in der Öffentlichkeit viel diskutiert wird, dass wir eine Grenze erreicht haben, bei der Regulierung gegen sich selbst zurückschlägt. Alles wird immer komplexer und schwieriger. Schauen Sie sich einen Cyber Resilience Act an, der sehr umfassend und präzise festlegt, wie digitale Produkte aussehen sollen. Da sind wir an einem Punkt, wo ich glaube, dass auch ein BSI dem nicht mehr nachkommen kann. Noch nicht mal in der Kooperation mit den zehn bis zwölf starken Cybersicherheitsbehörden, die wir in Europa haben.

Wir müssen uns darüber Gedanken machen, wie wir stärker in Umsetzung kommen, wie wir diese leichter machen und die Gesetzgebung zumindest streamlinen, wenn nicht zurückschneiden. Der Gegner ist viel flexibler als wir und er hält sich eben nicht an Regeln.