Survival of the fittest – Öffentliche Sicherheit braucht Cybersecurity
Wer in der digitalen Welt bestehen will, muss Sicherheit integriert denken und leben.
In den vergangenen Monaten konnten wir weltweit steigende Angriffe auf IT-Infrastrukturen beobachten. Angriffe sind grundsätzlich nicht neu. Die Dimension und Tragweite haben sich jedoch geändert. Kritische Infrastrukturen sind zunehmend betroffen, mit der Folge, dass Informationen sowie digitale Services nicht verfügbar waren und Vertrauliches an die Öffentlichkeit gelangte. Es sind keine digitalen Unfälle. Fast alle Vorfälle wurden gezielt und mit krimineller Energie ausgelöst, mit direktem Einfluss auf die Öffentlichen Sicherheit. Auch der Öffentlichkeit wird zunehmend bewusst, dass Angriffe aus der digitalen Welt reale Gefahren darstellen. Elementare Dinge unseres täglichen Lebens werden beeinträchtigt, beispielsweise die Strom- und Treibstoffversorgung, die Telefonie sowie der Zugriff auf Onlinedaten.
Die Angriffsentwicklungen laut BSI Lagebericht 2021 zeigen deutlich, dass es keine Frage mehr ist, ob man angegriffen wird, sondern eher wann und wie groß der Schaden ist. Auch die cyber-kriminellen Erpressungsmethoden steigen kontinuierlich. Private Unternehmen und öffentliche Einrichtungen stehen zugleich im Fadenkreuz. Die kleinste Lücke in der Absicherung reicht aus, um Daten zu verschlüsseln bzw. abfließen zu lassen oder Infrastrukturen zu überlasten und außer Betrieb zu nehmen. Gegenüber dem Vorjahr weist das BSI rund 22 Prozent mehr Schadcode-Programme aus. Die Angreifer rüsten auf. Und auch die Sicherheitsbehörden und Privatwirtschaft versuchen, dem Wettlauf Stand zu halten.
Absicherung der Technik – nur eine Seite der Medaille
Ausspähung von Unternehmen und Organisationen hat es schon immer gegeben. Seit geraumer Zeit jedoch erfolgen die Angriffe nicht nur vor Ort, sondern auch im digitalen Raum. Öffentliche Sicherheit ist nicht abstrakt, sondern basiert auf konkreten Maßnahmen – im Großen und im Kleinen.
Dank Digitalisierung können attraktive Services und Verwaltungsdienstleistungen bereitgestellt und zugleich interne Abläufe vereinfacht und beschleunigt werden. Infolge der stetigen Vernetzung ist die Cybersecurity zum maßgebliche Erfolgsfaktor geworden. Jede Organisation, ob Bezirksamt, Bürgerbüro aber auch Energieversorger und Arztpraxis, muss ihre Prozesse, Infrastrukturen sowie den Datenaustausch nach innen und außen ausreichend absichern.
Der Gesetzgeber hat mit dem IT-Sicherheitsgesetz und der KRITIS-Verordnung – neben den etablierten Sicherheitsstandards und Best Practices – eine solide Basis für eine Grundabsicherung kritischer Infrastrukturen geschaffen, regelmäßige Wirksamkeitsprüfungen der Sicherheitsmaßnahmen vorgegeben und Meldepflichten bei Sicherheitsvorfällen etabliert.
Mit dem IT-Sicherheitsgesetz 2.0 wurden die Rahmenbedingungen zu Absicherungen geschärft und das Anwendungsgebiet ausgeweitet. Es ist zwingend notwendig, dass die kritischen Infrastrukturen auf Basis der definierten Schwellenwerte auch als solche eingestuft und entsprechend abgesichert werden. Wer eine kritische Infrastruktur betreibt, hat damit eine entsprechende Verantwortung, sie im Sinne der Öffentlichen Sicherheit proaktiv zu schützen.
Allein mit technologischer Absicherung ist es jedoch nicht getan. Es gilt, Sicherheit im Bewusstsein und im Handeln der Mitarbeitenden, aber auch in den Prozessen und Strukturen zu verankern. Sicherheit muss zum immanenten Teil der Kultur einer Organisation gemacht werden. Doch genau daran hapert es oft. Sicherheit kommt in der Praxis meist als Add-On und wird meist nicht von Anfang mitgedacht und integriert.
Cybersecurity – gemeinsam mit Konzept und Ressourcen
Da alle Lebensbereiche mittlerweile maßgeblich durch IT unterstützt werden, sind auch die verschiedenen Aspekte der Cybersecurity wesentlich für die Öffentliche Sicherheit. Auch in der digitalisierten Welt braucht es ein enges und schnelles Zusammenspiel aller Akteure auf den verschiedenen Ebenen. Ebenso sind Kooperationen in und zwischen öffentlichem, privatem und zivilem Sektor zwingend erforderlich. Sicherheit kann nur gemeinsam erreicht werden.
Wenn Meldepflichten nicht eingehalten halten werden, weil Reputationsverlust befürchtet wird, ist das kontraproduktiv. Andere Risikogruppen müssen gewarnt werden und eine Koordination der Vorfallbehandlung und -auswertung muss erfolgen. Im Bereich Cybercrime gab es in den vergangenen Jahren positive Veränderungen. Die Strafverfolgung wird zunehmend kooperativ und im Interesse ausfallsicherer Geschäftsprozesse von Unternehmen und Behörden vorangetrieben. Die Rahmenbedingungen müssen weiterhin Anreize für Kooperationen geben.
Mit der Cybersicherheitsstrategie für Deutschland hat die Bunderegierung im September die Leitlinien für das eigene Handeln verabschiedet. Diese müssen Basis und Anreiz für eine entsprechende Cybersicherheitsstrategie in den föderalen Strukturen sein. Ob Deutschland den Wettlauf um Öffentliche Sicherheit gewinnt, ist neben technischer Absicherung und ausreichend Ressourcen eine Frage der Sicherheitskultur.