Stetige Bedrohungen: „Deutschland befindet sich in einer akuten hybriden Notsituation“

Es war ein Sondereinsatz für die Feuerwehr am Berliner Flughafen BER. Dabei brannte es nur im übertragenen Sinne. Nach einer Hackerattacke waren die Computersysteme für Check-In-Schalter nicht mehr nutzbar, maschinenlesbare Kofferanhänger kamen nicht mehr aus dem Drucker. Von Hand beschriebene Banderolen verlangsamten die Abläufe.

Im Terminalkeller bildete sich ein Rückstau an Koffern, die es nicht mehr rechtzeitig ins Flugzeug geschafft hatten, obwohl die Mehrzahl der Maschinen verspätet abhob. Die Feuerwehr musste ran. In der Halle für die Passagiere staute es sich auch, Abgleiche mit Listen und handschriftliche Bordkarten ersetzten Technik. Alle verfügbaren Kräfte von Dienstleistern, Fluggesellschaften und aus eigenen Abteilungen seien zusammengezogen worden, sagte ein Flughafensprecher. „Dennoch dauert vieles länger.“

Angegriffen wurde nicht der BER, sondern das Unternehmen Collins Aerospace , das auf einer IT-Plattform Daten von Flughäfen und Airlines zusammenführt. Die Attacke störte ebenso den Betrieb in London-Heathrow, in Dublin und in Brüssel. Und das war nur einer von mehreren Zwischenfällen in europäischen Flughäfen – oder besser über europäischen Flughäfen. In Kopenhagen stoppten Drohnen den Betrieb, an weiteren skandinavischen Airports wurden Flugobjekte gesichtet. Ministerpräsidentin Mette Frederiksen sprach vom „bislang schwersten Anschlag auf dänische kritische Infrastruktur“.

Es sind nicht nur Flughäfen, die zuletzt wiederholt zum Ziel von Hackerangriffen und Sabotageakten geworden sind. Unbekannte öffneten erst diese Woche an der wichtigen Zugstrecke zwischen Köln und Düsseldorf einen unterirdischen Schacht, durchtrennten Signalkabel und legten so den Bahnverkehr lahm. Auch bei Aachen sind am Montag Signalkabel der Bahn durchtrennt worden; in Koblenz war schon zu Beginn des Monats ein Hochspannungskabel angeflext und damit ein Kabelbrand ausgelöst worden. Nach einem Brandanschlag auf zwei Hochspannungsmasten vor zwei Wochen waren im Südosten Berlins mehr als 50.000 private Haushalte und gut 3000 Unternehmen mehr als 60 Stunden vom Stromnetz abgeschnitten.

Die Bedrohungslage ist komplex und diffus. Sie reicht von islamistischen, links- und rechtsextremen Organisationen im Inland bis zu professionellen Cyberkriminelle und staatlichen Akteuren wie Russland, China, Nordkorea und Iran, die zunehmend aggressiver versuchen, die deutsche Demokratie zu destabilisieren. Immer häufiger ist davon die Rede, dass die staatlichen Akteure mit kriminellen Hackerbanden gemeinsame Sache machen. Ziel ist es ganz offensichtlich, Unsicherheit zu verbreiten. Wie bedrohlich ist die Lage? Und wie gut ist unsere kritische Infrastruktur gegen physische und digitale Sabotage geschützt?

Für Sinan Selen ist jedenfalls eine Sache klar: „Wir werden angegriffen“, sagte der designierte Präsident des Bundesamtes für Verfassungsschutz jüngst während der Vorstellung des Wirtschaftsschutzberichtes mit dem Digitalverband Bitkom. „Gegnerische Geheimdienste nehmen die deutsche Wirtschaft zunehmend ins Visier.“ Dem Bericht zufolge haben 46 Prozent der angegriffenen Unternehmen mindestens einen Angriff aus Russland festgestellt und genau so viele aus China. Im vergangenen Jahr lag der Wert für Russland noch bei 39 Prozent, für China bei 45 Prozent.

Während für China nach wie vor die Wirtschaftsspionage ein Schwerpunkt sei, sei Russland deutlich stärker im Rahmen hybrider Angriffe und Sabotageoperationen aktiv, berichtete Selen. Besonders interessant für russische Angreifer seien Verteidigungsstrukturen, aber auch die Rüstungsindustrie sowie die Bereiche Künstliche Intelligenz und Weltraum. „Die Angreifer beschränken sich dabei nicht auf digitale oder analoge Methoden, sondern verweben diese“, sagte Selen. „Wir sehen ein Einschleichen in die Netze, oft verschleiert und sehr vorsichtig, um möglichst lange unter dem Radar zu bleiben.“ Daraus gewonnene Informationen würden dann auch genutzt, um Desinformationen zu streuen oder Sabotageoperationen vorzubereiten – sowohl in der realen Welt als auch im Cyberraum.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhielt zwischen Juli 2023 und Juni 2024 insgesamt 726 Meldungen von Störungen, die zu einer erheblichen Beeinträchtigung der kritischen Infrastruktur geführt haben oder hätten führen können. Davon entfielen 185 auf den Transport- und Verkehrssektor, 141 auf den Gesundheitssektor und 137 auf den Bereich Energie. Im Vorjahr waren es noch weniger als 500 Meldungen insgesamt.

Fragt man Dennis-Kenji Kipker nach dem aktuellen Schutz der deutschen kritischen Infrastruktur, antwortet er mit einer Schulnote: nicht ausreichend. Der IT-Sicherheitsrechtler Kipker ist Mitgründer des Cyberintelligence-Instituts in Frankfurt und forscht seit Jahren zu dem Thema. „Deutschland befindet sich in einer akuten hybriden Notsituation“, sagt Kipker. Dabei seien die Angreifer im strukturellen Vorteil – hybride Attacken könnten mit vergleichsweise geringem Aufwand hohe Wirkung entfalten. „Das Thema ist bei den Betreibern viel zu lange liegen geblieben“, sagt Kipker.

Wer zur kritischen Infrastruktur zählt, ist seit zehn Jahren verpflichtet, dem BSI Vorkehrungen für eine Betriebsfortführung im Krisenfall nachzuweisen. Auf einer Skala zwischen null und fünf landet ein Großteil der Unternehmen beim Einsatz von Systemen zur Angriffserkennung beispielsweise nur beim Reifegrad Zwei oder Drei. Für Kipker offenbart das eine „erschreckende Nachlässigkeit“. Er fordert den zügigen Aufbau eines deutschlandweiten Lagebildes, das schnelle Gefahrenbewertungen ermögliche. „Es gilt der Grundsatz: je präziser die Analyse, desto wirksamer die Abwehr.“

Dabei sind die technischen und organisatorischen Maßnahmen zum Schutz vor Cyberattacken bekannt. Einhundertprozentige Cybersicherheit gibt es aber nicht – deshalb rückt auch die Vorbereitung darauf in den Fokus, was passiert, wenn es passiert ist. Lange Ausfälle kritischer Infrastruktur sind vermeidbar, sagt der IT-Sicherheitsfachmann Johannes Rundtfeld. Er hat die AG KRITIS mitgegründet, eine ehrenamtliche Gruppe an IT-Fachleuten, die sich auf die Verbesserung der IT-Sicherheit in den kritischen Infrastrukturen spezialisiert hat. „Wer sich ordentlich vorbereitet hat, sollte in wenigen Stunden die Versorgung wiederherstellen können“, sagt Rundtfeld. Man könne sich durch Backups, Übungen, ein etabliertes Notfallmanagement und Strategien zur Weiterführung kritischer Geschäftsprozesse bei Ausfällen vorbereiten.

Tatsächlich stecken Unternehmen mehr Geld in ihre Cybersicherheit. 2022 investierten deutsche Unternehmen einer Auswertung des Bitkom zufolge im Durchschnitt gerade einmal neun Prozent ihres Budgets für den IT-Betrieb in Cybersicherheit, in diesem Jahr waren es 18 Prozent. Das liegt zwar immer noch unter der vom BSI empfohlenen 20-Prozent-Marke, aber die Richtung stimmt. „Sorgen bereitet mir aber die breite Masse der staatlichen und kritischen Infrastrukturen“, sagt Dirk Arendt, der für das japanische IT-Sicherheitsunternehmen Trend Micro in Deutschland das Geschäft mit der öffentlichen Hand verantwortet. Er zählt auf: Landkreise und Kommunen, lokale Energieversorger, kleine Krankenhäuser. „Hier stellen Personal- und Ressourcenmangel noch immer immense Hürden für eine zeitgemäße Absicherung da.“

Zumal es ja nicht nur den digitalen Raum zu schützen gilt. 2144 Anlagen sind aktuell beim BSI als kritische Infrastruktur registriert. Die meisten davon entfallen mit 517 auf den Energiesektor, gefolgt von der Siedlungsabfallentsorgung und dem Gesundheitsbereich. Allein das Stromnetz in Deutschland ist 1,9 Millionen Kilometer lang, das entspricht etwa 48-mal dem Erdumfang. Knapp ein Fünftel davon verlaufen oberirdisch als Freileitungen. Auch die Deutsche Bahn verwaltet über ihre Infrastrukturgesellschaft 33.365 Schienenkilometer.

„Die Vielzahl von Einrichtungen machen es Angreifern leicht, sich einzelne Anlagen zum Beispiel an und in entlegenen Waldstücken und fernab von größeren städtischen Bebauungen rauszusuchen und diese mit Brandbeschleuniger, Sprengmitteln oder Trennmitteln zu beschädigen“, sagt Hans-Walter Borries. Borries ist stellvertretender Vorstandsvorsitzender des Bundesverbands für den Schutz Kritischer Infrastruktur, Oberst der Reserve und forscht und lehrt an der Universität Witten und der Hochschule Magdeburg-Stendal zum Thema Sicherheit. Geht es nach ihm, sollten die Betreiber kritischer Infrastruktur und die Inhaber entsprechender Liegenschaften wichtige Anlagen besser schützen. Das gelinge neben mehr menschlichen Streifengängen vor allem über moderne Sensoren, die Eindringlinge melden – und gegebenenfalls auch über den Einsatz von Drohnen, 24 Stunden am Tag, sieben Tage die Woche.

Borries verweist auf das sogenannte Naumburger Modell. In der Kleinstadt Naumburg im Süden Sachsen-Anhalts hat der Verband zusammen mit Unternehmen und der Stadt digitale Alarmsysteme integriert, die alle Einrichtungen kritischer Infrastruktur mit den entsprechenden Sicherheitsbehörden vernetzen.

Der Sicherheitsfachmann pocht auch auf die Umsetzung neuer Regularien durch die Politik, die das Thema durchaus auf dem Schirm hat. Am Tag nach dem Stromausfall in Berlin beschloss das Kabinett am 10. September einen Gesetzentwurf zum besseren Schutz der kritischen Infrastruktur, das sogenannte KRITIS-Dachgesetz. „Widerstandsfähiger gegen Krisen und Angriffe“ werde Deutschland mit diesem Gesetz – so sieht es Innenminister Alexander Dobrindt (CSU). Das Gesetz definiert knapp ein Dutzend Bereiche der kritischen Infrastruktur: Energie, Verkehr, Finanzwesen, Sozialversicherung, Gesundheitswesen, Wasser, Ernährung, IT, Weltraum und Müllabfuhr. Die Betreiber von Anlagen aus diesen Bereichen bekommen mit dem Gesetz erstmals sektorenübergreifend einheitliche Sicherheitsvorgaben. Auch werden die Betreiber verpflichtet, Störfälle zu melden. Wer die Vorgaben ignoriert, dem droht ein Bußgeld von bis zu 500.000 Euro.

Das Gesetz beruht auf einer EU-Richtlinie mit dem Kürzel CER und entstand schon zu Zeiten der Ampelkoalition. Nach deren Bruch im November vergangenen Jahres wurde es aber nicht mehr vom Bundestag beschlossen. Zur kritischen Infrastruktur zählen laut dem Gesetz Einrichtungen, die mindestens 500.000 Menschen versorgen. Jeder Betreiber einer Anlage der kritischen Infrastruktur muss, wenn das Gesetz denn wie geplant 2026 in Kraft tritt, diese registrieren, Risikoanalysen durchführen und Resilienzpläne aufstellen. Diese müssen jedes denkbare Risiko berücksichtigen, von menschlichem Versagen über Naturkatastrophen bis zu Sabotage und Terror. Die Pläne können etwa die Bildung von Notfallteams, einen besseren Objektschutz, Maßnahmen zur Sicherstellung der Kommunikation, Notstromversorgung und Ähnliches enthalten. Eng mit dem KRITIS-Dachgesetz verbunden ist die Umsetzung der europäischen NIS-2-Richtlinie, die dem Schutz vor Cyberangriffen dient und die Ende Juli vom Kabinett beschlossen wurde.

Heiß diskutiert wird die Frage, wer die Kosten der zusätzlichen Schutzmaßnahmen tragen soll. An den Flughäfen wird schon der Ruf nach dem Staat lauter. „Flughäfen können nicht beurteilen, ob eine Störung von einem Hobby-Drohnenpiloten ausgeht oder Teil hybrider Kriegsführung ist. Der Schutz vor solchen Gefahren bleibt daher eine hoheitliche Aufgabe“, sagt Ralph Beisel, der Hauptgeschäftsführer des Flughafenverbands ADV. „Wir fordern den Einsatz modernster Technologien, klare Regelungen zur Abwehr von Drohnen und die Kostentragung durch die zuständigen Polizei- und Sicherheitsbehörden.“

Gut eine Woche nach der Hackerattacke auf Collins Aerospace ist immer noch offen, wann der Ausnahmezustand am Berliner Flughafen endet, schlimmstenfalls folgt noch eine Woche der Improvisation. Einige Airlines haben eigene IT herangeschafft, um für ihre Passagiere den Check-In etwas zu beschleunigen. Der Flughafen hat an der Gepäckförderanlage eine Sonderstation aufgebaut, um Koffer doch mit maschinenlesbaren Anhängern zu versehen. Es half auch, dass es zwei IT-Systeme für die Passagierabfertigung gibt. Das für die Schalter war gestört, das für Automaten für Check-In und Gepäckaufgabe funktionierte. All das entlastet – aber Normalität wäre besser.