Als Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist Claudia Plattner verantwortlich für die Cybersicherheit von Bundesnetzen und kritischer Infrastruktur in Deutschland, etwa die IT des Bundestages, oder unserer Strom- und Wasserversorgung. Welchen Bedrohungen wir ausgesetzt sind und vor welchen Herausforderungen Deutschland steht - darüber hat BR-Chefredakteur Christian Nitsche in "7 Fragen Zukunft" mit Claudia Plattner gesprochen.
Christian Nitsche: Frau Plattner, wenn wir über Cyberattacken reden – wie stark schädigt das unsere Wirtschaft?
Claudia Plattner: Es ist tatsächlich eine erschreckend hohe Zahl. Die Schäden aufgrund von Cyberkriminalität 2024 nur in Deutschland schätzt der Bitkom-Verein auf 179 Milliarden Euro. Das ist eine atemberaubende Zahl, absurd! Wir streiten über jeden Euro, um uns irgendwo gut schützen zu können. Und dann fließt diese Menge Geld quasi aus dem Land und schädigt uns entsprechend. Das ist ein wirtschaftlicher Faktor, der ist echt nicht zu unterschätzen. Das ist gigantisch.
Nitsche: Wenn Firmen angegriffen werden, dann stellt man sich ja vor: Der Hacker will in die Firmenzentrale - in den innersten Bereich des Servers - und die Firmengeheimnisse stehlen. Aber es geht auch viel simpler. E-Mails auslesen, in denen vielleicht etwas börsenrelevantes drinsteht - und wenn das nach außen dringt, geht der Börsenkurs nach unten. Ist man so erpressbar?
Plattner: Ja, gar keine Frage. E-Mails sind ein ganz wunderbares Ziel. Die werden gerne abgegriffen und gerne genutzt. Und man muss die E-Mails gar nicht einzeln abfangen, sondern, was man ganz wunderbar machen kann, ist: Die Exchange Server angreifen (Microsoft Exchange Server: Software für Geschäfts-, Schul- oder Uni-E-Mail-Konten; Anm. d. Redaktion). Nur mal so als Beispiel: 37 Prozent der Exchange Server in Deutschland sind verwundbar, weil die einfach nicht auf der neuesten Version sind. Siebenunddreißig Prozent. In Zahlen heißt das: 17.000 E-Mail-Server in Deutschland sind vergleichsweise leicht angreifbar. Dabei ist es eigentlich nicht so schwer, sie abzusichern. Man muss nur die neueste Version einspielen. Das heißt, es braucht ganz oft noch nicht mal einen wirklich klugen Angreifer, sondern nur eine veraltete Instanz eines E-Mail-Servers.
Im Video: Chefin für Cybersicherheit: Wie verwundbar ist Deutschland wirklich? I 7 Fragen Zukunft
Wo Deutschland am verwundbarsten ist
Nitsche: Wo sind wir am verwundbarsten?
Plattner: Ich glaube, in der Fläche haben wir definitiv ein Thema, gerade bei kleinen und mittelständischen Organisationen. Dazu zähle ich nicht nur Unternehmen, sondern auch Institutionen, zum Beispiel Kommunen, Krankenhäuser, Universitäten und Ähnliches. Da haben wir eigentlich das größte Problem, weil dort das Know-how, die Ressourcen, oft auch die Awareness noch gar nicht so richtig da ist. Also kleine und mittelständische Organisationen, sage ich immer, das sind meine Problemkinder.
Nitsche: Wer sind unsere Feinde im Cyberspace? Und was haben die eigentlich vor?
Plattner: Wir haben viele Gruppen aus Russland, wir haben auch viele aus China, aus Nordkorea und auch gerne mal aus dem Iran. Das sind die "Profis", wenn man so will. Und die haben wiederum jede Menge Zulieferer und Kleinkriminelle, die mithelfen. Da hat sich inzwischen eine ganze Industrie herausgebildet, das müssen wir leider so festhalten. Das ist lukrativ.
Nitsche: Russland ist ganz vorne mit dabei?
Plattner: Zunächst haben wir das banale Thema, dass die uns angreifen, um uns "auszunehmen". Also wirklich ganz klassisch: Cybercrime - aber auch Propaganda. Dafür werden gerne DDoS-Attacken genutzt (Distributed Denial of Service, engl. Verteilte Verweigerung des Dienstes, d.h. Server werden mit Anfragen bombardiert und gehen darunter in die Knie, Anm. d. Redaktion). So frei nach dem Motto: "Guck mal, ihr könnt ja noch nicht mal eure Kommunen, Krankenhäuser oder Institutionen des Bundes schützen." So ungefähr fühlt sich das für die Menschen dann an - und das ist genau der Effekt, den die erzielen wollen. Wenn wir uns anschauen, was aus China kommt: Da steht eher Spionage im Vordergrund. Hightech-Unternehmen sind superspannend, da gibt es eine Menge zu holen. Aber auch im politischen Raum. Da geht es dann gar nicht so sehr darum, möglichst laut und sichtbar irgendwas kaputtzumachen, oder Geld zu erpressen, sondern darum, möglichst lange unerkannt im Netzwerk zu sein und auf den geeigneten Zeitpunkt zu warten, an dem man dann irgendwie zuschlägt. Zwischen Spionage und Sabotage liegen manchmal nur zwei Klicks, wenn man schon im System ist.
Nitsche: Manche sagen, Cybercrime sei längst die bedeutendste Form von Kriminalität. Wo entwickelt sich das alles noch hin?
Plattner: Wir müssen jetzt schon feststellen: Du kannst heute Cyberkriminelle quasi mieten bzw. deren Services. Die arbeiten hervorragend zusammen, teilweise viel besser, als wir das tun. Ich vermute, dass wir gerade durch KI eine weitere Professionalisierung in dem Bereich sehen werden, einen höheren Automatisierungsgrad. Schwachstellen suchst du dir dann einfach irgendwann im Quelltext per KI. Und dann wird auch gleich noch per KI die Malware geschrieben, die das ganze ausnutzt. Das heißt für uns: Wir müssen mit denselben Methoden dieselbe Schwachstelle finden und den nötigen Patch schreiben – aber vor denen. Hier geht’s wirklich um Geschwindigkeit.
Brauchen wir eine Cyberarmee?
Nitsche: Brauchen wir auch eine größere Cyberarmee, die viel mehr Gegenangriffe starten kann?
Plattner: Was wir brauchen, ist Know-how im Digitalisierungs- und Technikbereich. Ob wir mehr Menschen brauchen, die Cyberangriffe fahren, da halte ich mich mal raus - aus dem einfachen Grund: Wir kümmern um den Schutz der Opfer.
Nitsche: Wer muss das entscheiden?
Plattner: Das müssen im Zweifel die Kolleginnen und Kollegen aus der Verteidigung und der Politik sagen.
Nitsche: Was sagen die Ihnen? Sagen die, es wäre gut, wenn sie mehr Asche hätten, dass sie mehr Leute brauchen?
Plattner: Die legen natürlich ein entsprechendes Augenmerk auf das Thema. Die Bundeswehr hat gerade eine vierte Säule aufgemacht, nämlich: Cyber. Das zeigt doch schon deutlich, wo die Reise hingeht. Ich persönlich halte es für klug. Aber: Wir brauchen als ganzes Land Fähigkeiten und Know-how im Technologiebereich. Also auch jemanden, der nicht im Verteidigungsministerium oder in der Bundeswehr unterwegs ist, sondern jemanden, der im Zweifelsfall bei einer Eisenbahn, bei einem Elektrizitätswerk, bei einem normalen, großen Konzern unterwegs ist. Wir müssen uns auf allen Ebenen schützen – und das findet halt auch im Zivilen statt, so wie beim Brandschutz. Das ist für mich der viel wichtigere Punkt: Dass wir es flächendeckend schaffen, das Know-how hier aufzubauen. Die Beurteilungsfähigkeit und auch die Handlungsfähigkeit.
Nitsche: Danke für das Gespräch.
Im Video-Interview bei "7 Fragen Zukunft" erklärt BSI-Präsidentin Claudia Plattner unter anderem auch, wie jeder Einzelne für sich das Risiko für Erpressungsversuche wie Ransomware-Attacken verringern kann. Was ist das perfekte Passwort (laut Plattner "gar keins")? Außerdem erklärt sie, wie das Bundesamt für Sicherheit in der Informationstechnik konkret auf Cyberattacken reagiert – und was an Deutschlands technologischer Abhängigkeit von anderen Staaten gefährlich ist.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!