Von Christian Unger

Potsdam Attacken mit Schadsoftware auf Firmen und Ämter, Fake News russischer Geheimdienste, Cybersabotage an wichtiger Infrastruktur – für Deutschlands Cyberabwehrbehörde sind es raue Zeiten. Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, sieht trotzdem Entwicklungen, die Hoffnung machen in einer Welt, in der Deutschland immer stärker ins Visier ausländischer Akteure gerät.

Die Iberische Halbinsel erlebte einen Ausfall der Energieversorgung, des Stroms, das Internets. Was wissen Sie über den Blackout?

Claudia Plattner: Von den Fachleuten in Spanien wissen wir, dass es weiterhin keine Hinweise auf einen Cyberangriff als Ursache für den massenhaften Stromausfall gibt. Das ist der derzeitige Stand der Ermittlungen.

Sind Cyberkriminelle und Hacker in der Lage, einen solchen weitreichenden Angriff auszuführen?

Das Stromnetz in Deutschland gilt derzeit als sicher und stabil. Es gibt umfangreiche Schutzmaßnahmen und Redundanzen. Zugleich bin ich keine Energieexpertin. Aber wir müssen gewährleisten können, dass sich Stromversorger und Netzbetreiber in Deutschland, aber auch private Haushalte mit ihren Geräten gegen Cyberangriffe schützen können. Da sehen wir wachsende Angriffsflächen für Cyberkriminelle.

Welche sind das?

Zum einen wird die Energieversorgung in Deutschland dezentraler. Überall entstehen kleine Kraftwerke oder Windparks. Diese Anlagen sind unterschiedlich stark geschützt. Aber oft eben auch weniger gut gegen Angreifer von außen gesichert als etwa große Kraftwerksbetreiber. Zum anderen digitalisiert sich die Stromversorgung weiter, sogenannte Smart Grids optimieren den Energieverbrauch. Wir brauchen diese Modernisierung, wir müssen sie aber gut schützen. Wir haben in der Vergangenheit sehr ausgefeilte Attacken etwa auf IT-Dienstleister erlebt. Diese Angriffe sind von langer Hand vorbereitet, die Strategien der Täter sind komplex.

Die Bedrohung ist nicht neu. Warum ist bisher nicht ausreichend passiert?

Es passiert viel. Der Schutz der kritischen Infrastruktur ist besser als noch vor einigen Jahren. Wir haben in den Schutz von Daten investiert, wir haben ein Netzwerk an Helfern für den Notfall aufgebaut, wir verfolgen Cyberkriminelle stärker. Zugleich müssen wir noch mehr in die IT-Sicherheit investieren, das ist auch klar. Wenn wir jetzt nicht handeln, laufen wir in das Risiko, dass Angreifer unsere Infrastruktur schwächen. Deutschland ist im Visier von mehreren Staaten, darunter vor allem China und Russland, aber auch Nordkorea und Iran. Deutschland ist ein attraktives Ziel – sowohl aus wirtschaftlichen als auch aus geopolitischen Gründen.

Wie lange könnte Deutschland sich bei einem Massenausfall mit Notstrom versorgen?

Es gibt für Betriebe etwa in der Energiewirtschaft oder dem Gesundheitssystem klare Vorgaben, wie lange ein Notbetrieb aufrechterhalten werden muss. Das wird auch regelmäßig geprüft, Ernstfälle trainiert. Gleichzeitig zeigt das Beispiel Spanien und Portugal, dass der wirtschaftliche Schaden, aber auch die gesellschaftliche Verunsicherung sehr groß wären.

Gerade erst warnen die Sicherheitsbehörden vor Cyberangriffen aus Russland, mit denen Logistikketten ausspioniert werden sollen. Auch um Hilfen für die Ukraine zu sabotieren.

Von Russland geht im Moment die dringendste und unmittelbarste Gefahr für Deutschlands Cybersicherheit aus. Russland geht aggressiv vor, verfolgt seine geopolitischen Ziele mit Spionage und Sabotage und lässt zudem Cyberkriminelle gewähren. China konzentriert sich auf Spionage, verfolgt damit langfristige Ziele. Auch von den Cyberkriminellen, die Nordkorea zugeordnet werden, geht eine Gefahr für Deutschland aus.

Was wissen Sie über die Täter, die hinter den Angriffen stecken?

Die Zuordnung von Angriffen ist komplex. Oft können wir aber die Handschrift der jeweiligen Angreifer gut erkennen. Die Vorgehensweise der Täter ist meist typisch für bestimmte Gruppierungen, auch die Software, die Cyberspione nutzen, lässt sich identifizieren. Das Auswärtige Amt nutzt diese Informationen, um einen Cyberangriff einem bestimmten Land zuzuordnen. Wann man es dann auch laut bekannt gibt, ist eine politische Frage.

Welche Hinweise gibt es, dass Russland bereits KI-Software einsetzt, um Desinformationen auch in Deutschland zu streuen?

Wir sehen, dass prorussische Akteure bei ihren Kampagnen zur Desinformation in Deutschland bereits Fake-Bilder oder Fake-Videos einsetzen, die durch Künstliche Intelligenz erstellt oder manipuliert wurden. Das ist bisher kein Massenphänomen. Aber wir rechnen damit, dass Staaten wie Russland künftig bei Desinformationskampagnen stärker auf KI setzen werden, um Debatten in Deutschland zu manipulieren.

Können Sie Beispiele nennen?

Ein Beispiel für den Schaden, den Desinformation durch KI anrichten kann, ist das Bild des früheren Papstes Franziskus im Gucci-Mantel. So was kann einen Ruf erheblich beschädigen. Dem Foto selbst werden Sie nicht gleich ansehen, dass es gefälscht ist. Das lässt sich aber durch den Vatikan schnell als Fake entlarven. Zugleich wird die KI immer besser. Im Kampf gegen Fake-News und Desinformation brauchen europäische Staaten künftig stärker den Einsatz von digitalen Siegeln und Wasserzeichen, um Informationen als echt zu markieren. Eine Rede etwa des Bundeskanzlers oder ein Video des Außenministers müssten viel häufiger als heute mit digitalen Zeichen geschützt und authentifiziert werden. Das macht Informationen für jeden überprüfbar. Wir nutzen die vorhandenen Werkzeuge zu wenig im Kampf gegen digitale Fälschungen.

Bisher nutzen Staaten und Behörden digitale Wasserzeichen kaum.

Die EU ist gefragt, bei den Plattformbetreibern den Nutzen dieser digitalen Siegel durchzusetzen. Dabei helfen wir gern mit.

Das klingt eher nach 2035.

Mein Ziel ist, dass wir es schneller hinbekommen.

Sie warnen in Ihrem aktuellen Lagebild vor Ransomware-Angriffen vor allem auf Unternehmen. Wie hoch sind die Fallzahlen?

Was wir als BSI erkennen, ist, dass deutlich mehr Unternehmen besser auf Angriffe durch Cyberkriminelle vorbereitet sind, die Täter haben es schwerer. Die Schutzmaßnahmen gegen Erpressung mit gestohlenen Daten wirken, 2024 haben wir 35 Prozent weniger Lösegeldzahlungen bei Erpressungsversuchen gesehen als noch im Jahr zuvor. Das liegt auch daran, dass Unternehmen durch Vorsorge schneller wieder auf die Beine kommen, wenn ein Angriff doch erfolgreich war. Das hilft uns. Zugleich sehen wir, dass die Lösegeldzahlungen in den einzelnen Fällen erfolgreicher Infiltration eines Unternehmens mit Schadsoftware ansteigen.

Woran liegt das?

Der Wert von Unternehmensdaten ist hoch. Viele Cyberkriminelle gehen mit der Angriffssoftware den zusätzlichen Schritt und sperren nicht nur die Server einer Firma, sondern saugen auch Daten des Betriebs ab. Dann hilft es nichts, wenn eine Firma die Server wieder neu aufsetzt. Denn die Daten bleiben weg – dann zahlen viele doch das geforderte Lösegeld.