Cybersicherheit in Unternehmen und Staat

Herr Dr. Herpig, wie schätzen Sie die aktuelle Lage in der Cybersicherheit ein?

Die Bedrohungslage nimmt weiter zu. Wir sehen mehr Gefährdungsakteure und tendenziell mehr und effektivere Cyberoperationen. Aus den USA kam die Ankündigung, dass Behörden und Firmen unter Donald Trump offensiver tätig werden wollen als bisher. Wenn Staaten offensiver agieren, fühlen sich andere häufig ebenfalls motiviert, nachzuziehen. Das bedeutet mehr Aktivität insgesamt. Ein relativ neuer Aspekt ist dabei der Bereich KI-Agenten: Es gibt erste Versuche, auch durch staatliche Akteure, Teile der „Kill Chain“ zu automatisieren. Das bedeutet mehr als nur optimierte Phishing-Mails durch Chatbots. Ich forsche seit Ende letzten Jahres dazu und wir führen Interviews, führen Umfragen und Workshops durch, um zu verstehen, welche Teile der Kill Chain sich in welcher Art mit KI-Agenten verbessern oder automatisieren lassen und was das dann für reale Operationen bedeutet. Eine zentrale Frage ist dabei auch, ob es einen Verlust an Kontrolle gibt, wenn man solche KI-Agenten-Systeme einsetzt, und was das für die Gesamtlage bedeutet. Auf jeden Fall werden wir weiterhin einen Anstieg der Bedrohungen sehen sowie mehr und gegebenenfalls auch effektivere Cyberoperationen.

Wenn wir gerade bei staatlichen Akteuren sind: Aktive Cyberabwehr beziehungsweise „Hackbacks“ wurden zuletzt in der deutschen Politik viel diskutiert. Ist es überhaupt möglich, den Urheber eines Cyberangriffs allein anhand einer IP-Adresse sicher zu bestimmen?

Nicht notwendigerweise. Und das Thema ist auch größer als nur „IP-Adresse“. Wenn wir über intrusive Operationen sprechen, geht es ja darum, eine gegnerische Operation zu unterbrechen, Schaden abzumildern oder auch Attribution, also Zurechnung, zu unterstützen. Technisch haben wir hier in den letzten zehn Jahren Fortschritte gemacht. Man schaut sich kompromittierte Systeme an, analysiert, woher Kommandos kommen, nämlich oft über Zwischenebenen wie Botnetze oder kompromittierte Infrastruktur. Wenn ein Akteur beispielsweise ein Botnetz aus kompromittierten Heimroutern nutzt – etwa in Deutschland – könnte man mit Unterstützung der Provider diese Router in einen „Walled Garden“ bringen, sodass sie nicht mehr ins Internet kommen, bevor sie gepatcht sind. Oder wenn Open-Relay-Botnetze oder Tor-Strukturen als Zwischenebenen genutzt werden – angemietet oder zuvor kompromittiert – könnte man diese ihrerseits stören, ausschalten oder updaten. Das sind aber rechtlich heikle und technisch aufwendige Operationen.

Für mich lautet die Kernfrage deshalb weniger „Sollten wir das grundsätzlich machen?“, sondern vielmehr: „Wie effektiv ist das wirklich?“ Wenn Unternehmen nicht patchen, nicht einmal wissen, welche Systeme sie einsetzen, keine Backups und keine Krisenkommunikation haben, dann bringt es wenig, wenn Bundespolizei, BKA oder wer auch immer ein paar Mal im Jahr im Ausland Angreifer-Infrastruktur stört. Das demonstriert der Öffentlichkeit zwar Entschlossenheit, aber macht uns nicht fundamental sicherer. Punktuelle aktive Cyberabwehr kann funktionieren, aber sie wird nicht die Wende bringen. Vor allem nicht, wenn man nicht gleichzeitig die grundlegenden Sicherheits- und Resilienzthemen löst.

In Deutschland ist das Thema stark politisiert, deshalb diskutieren wir es seit zehn, zwölf Jahren, ohne in der konkreten Ausgestaltung wirklich voranzukommen. Oft stehen sich zwei Lager gegenüber: „auf keinen Fall“ versus „unbedingt“. Aber zu selten wird präzise diskutiert: Welche Behörde soll welche Befugnisse bekommen? Woher kommen Ausstattung, Ressourcen, Technik? Was soll konkret passieren? Wie soll es passieren, und wann, und mit welcher Kontrolle? Mit dem aktuellen Entwurf für ein „Gesetz zur Stärkung der Cybersicherheit“ haben wir hier einen Fortschritt gemacht. Aber auch hierdrin bleiben weiterhin viele Fragen offen.

Wenn man von dieser politisierten Debatte einen Schritt zurückgeht: Wie gut ist Deutschland organisatorisch überhaupt aufgestellt, um Cybersicherheit als Gesamtsystem zu steuern?

Ich fange mal mit dem Positiven an: Wir haben in Deutschland ein stark gewachsenes Ökosystem an Akteuren. Wir haben auf Bundesebene das Bundesamt für Sicherheit in der Informationstechnik (BSI), Bundeskriminalamt (BKA), das Bundesamt für Verfassungsschutz (BfV) die Bundeswehr und mehr. Das setzt sich auf Landesebene fort, inklusive Landesämter für Verfassungsschutz und weiterer Stellen. Diese Strukturen sind historisch gewachsen und im deutschen System grundsätzlich nachvollziehbar.

Das Problem ist aber, dass die einzelnen Organisationen weitgehend unabhängig voneinander und wenig koordiniert arbeiten, sowohl was den Austausch der Behörden untereinander als auch die Kommunikation zwischen Bund und Ländern betrifft. Das BSI macht BSI-Sachen, BKA macht BKA-Sachen, das BfV macht BfV-Sachen und die Bundeswehr Bundeswehr-Sachen. Um das zusammenzubringen, hat man zentrale Strukturen geschaffen: operativ das Nationale Cyber-Abwehrzentrum und strategisch den Nationalen Cyber-Sicherheitsrat. Das ist „okay“, aber es fängt das Grundproblem des sehr dezentralen Gerüsts nicht ausreichend auf. Beide Institutionen sind aus meiner Sicht auch nicht wirklich funktional. Den Nationalen Cyber-Sicherheitsrat würde ich sogar als dysfunktional beschreiben, und das Cyber-Abwehrzentrum ist inzwischen mehrfach reformiert worden. Unklar ist, ob hier mit Bezug auf die operative Arbeit wirklich eine signifikante Steigerung der Leistungsfähigkeit eingetreten ist.

Dazu kommen die klassischen Reibungen: Der Bund verfolgt eine nationale Cyber-Sicherheitsstrategie, ohne die Länder wirklich einzubeziehen. Die Länder haben eigene Strategien, ohne sauber an die nationale Strategie anzudocken. Ein Problem ist auch die Konkurrenz zwischen den Behörden. Ein Beispiel: Wenn der Verfassungsschutz Attribution machen will, obwohl das BSI technisch möglicherweise stärker ist, spielt da auch Eigenlogik rein: Man will im eigenen Ressort gut aussehen, um Ressourcen und Stellen zu bekommen. Und wenn Behördenleitungen nicht miteinander sprechen, weil jeder am Ende mehr aus dem Ressort ziehen will, ist das aus der jeweiligen Behördenperspektive zwar nachvollziehbar, aber gesamtstaatlich desaströs.

Wie könnte eine Lösung aussehen, um diese Strukturen zu entzerren und effizienter zu machen?

Wie man föderale Systeme besser steuert, darüber haben sich natürlich schon viele Menschen seit Jahrzehnten Gedanken gemacht. Wir haben immerhin den Vorteil, dass wir mit dem BSI eine Spezialbehörde haben, die sich sehr stark dem Thema zugewandt hat. Ein Weg wäre, mehr Befugnisse von anderen Behörden auf das BSI zu übertragen – also mehr Zentralisierung. Der zweite Weg wäre, die zentralen Akteure, also den Nationalen Cyber-Sicherheitsrat und das Nationales Cyber-Abwehrzentrum, strukturell so zu reformieren, dass sie ihre Aufgabe wirklich erfüllen können. Beide müssten noch stärker in die Länder hineinwirken. Im Kern heißt das: horizontal die Bundesbehörden strategisch und operativ besser verbinden und vertikal diese Verbindung in die Länder hinein herstellen. Dafür braucht es aber den politischen Willen. Denn es reicht nicht, Strukturen zu zeichnen: Man müsste auch Verfehlungen adressieren. Wenn Behörde A wieder etwas rausgibt, ohne Behörde B einzubinden, muss das auf den Tisch – und es muss Folgen haben.

Der Staat kann andererseits nicht alles regeln. Sie sagten vorhin sinngemäß: Wenn Unternehmen kein Risiko- oder Passwortmanagement betreiben, dann helfen auch die besten staatlichen Strukturen nichts. Welche Maßnahmen sollten Mittelständler aus Ihrer Sicht unbedingt umsetzen?

Ich glaube, die Liste ist tatsächlich sehr kurz. Erstens: Ich muss wissen, was ich überhaupt einsetze. Sie werden kaum ein Unternehmen oder eine Behörde finden, die wirklich sauber weiß, welche Hardware und Software überall im Einsatz ist. Zweitens: Patch-Status kennen und ein vernünftiges Patch-Management etablieren. Drittens: Eine Risikoanalyse fahren. Also: Auf welche Dinge kann ich wie lange verzichten, bevor mein Unternehmen den Bach runtergeht, und was sind die „Kronjuwelen“. Diese müssen Sie identifizieren und dann priorisiert gezielt härten. Und viertens, beziehungsweise als vierter und fünfter Punkt, wenn man das trennt: Backup und Krisenplanung. Also Backups machen, Backups einspielen können, Backups getrennt vom Live-System halten und im Notfall genau wissen, wie ich die Kronjuwelen so schnell wie möglich wieder ans Laufen bekomme. Der Rest dauert dann eben im Zweifel länger, aber der Kernbetrieb steht schnell wieder.

Aber die Realität sieht oft anders aus, oder?

Leider ja. Im Sommer letzten Jahres hat der Bundesrechnungshof einen Bericht geschrieben, der geleakt wurde. Darin stand, dass von fünf befragten Rechenzentren des Bundes, die im Spannungs- und Verteidigungsfall die wichtigsten IT-Dienste des Bundes hosten, kein einziges getestet hat, ob die Backups überhaupt funktionieren. Sie wussten teilweise nicht einmal, ob sie überhaupt Backups haben.

Diese Rechenzentren sind mit die wichtigsten Systeme, die wir in diesem Land haben, um Funktionsfähigkeit im Spannungs- und Verteidigungsfall aufrechtzuerhalten. Und selbst dort konnte man die niedrigschwelligsten Fragen – „Haben wir ein Backup? Wo ist es? Wie schnell kann ich es einspielen? Funktioniert es?“ – nicht sauber beantwortet. Dann kann man sich bei anderen Behörden, Ländern und Unternehmen den Rest denken.

Gleichzeitig gibt es aber auch eine große Diversität: Finanzdienstleister sind überdurchschnittlich gut aufgestellt, Stromnetzbetreiber ebenfalls. Es gibt also auch Bereiche, die deutlich weiter sind. Aber im Durchschnitt haben wir noch sehr viel Luft nach oben, gerade bei den Unternehmen, die nicht reguliert sind oder die nicht so streng reguliert sind wie im KRITIS-Bereich.

Mit der KRITIS-Gesetzgebung versucht der Gesetzgeber diesen Defiziten entgegenzuwirken und Unternehmen zu mehr Resilienz zu verpflichten. Wie bewerten Sie vor diesem Hintergrund das NIS-2-Umsetzungsgesetz?

Ganz ehrlich: Ich glaube, ein Großteil der Bundesregierung hat noch gar nicht damit angefangen, an dem Thema Cybersicherheit zu arbeiten. Ja, wir haben NIS-2 in nationales Recht umgesetzt, aber das ist im Kern derselbe Entwurf, den wir bereits vor über zwei Jahren diskutiert haben. Als ich im Oktober 2025 als Sachverständiger im Bundestag war, konnte ich im Grunde meine Stellungnahme aus 2023 verwenden. Wir haben viel Zeit verloren und am Ende die Minimalversion verabschiedet, die man auch schon vor zwei Jahren hätte verabschieden können. Das ist für mich kein Durchbruch.

Positiv zu beurteilen ist andererseits, dass Innenminister Alexander Dobrindt das Thema Cybersicherheit sehr früh weit oben auf die Agenda gesetzt hat – Stichwort „Cyberdome“. Was genau dieser Cyberdome sein soll und wie man ihn bewertet, ist zwar eine andere Frage. Aber diese Priorität gesetzt zu haben, ist erstmal begrüßenswert. Wenn der Minister sagt, dass er daran gemessen werden will, müssen die Behörden jetzt irgendetwas liefern. Wie gut und wie sinnvoll das am Ende ist, wird man dann sehen.